L’introduzione del Regolamento UE 2016/679, e nello specifico nelle ipotesi dell’art. 37, stabilisce l’obbligo, di disporre di un Responsabile della Protezione dei Dati (RPD), o Data Protection Officer (PDO), ovvero quella figura di oggettivo supporto alla correttezza del trattamento dei dati, e per la quale fioriscono interpretazioni diverse, ma persistono altrettante riserve sulle modalità di certificazione del possesso delle competenze, e quindi della professionalità specifica.

Ed allora: chi è il DPO?

Il DPO è un esperto, anzi l’esperto che, in possesso delle suddette specifiche competenze, è nelle condizioni di assicurare un’adeguata consulenza al management delle pubbliche amministrazioni e delle aziende in relazione alle prescrizioni di legge sulla protezione dei dati personali, verificando e vigilando sulla corretta interpretazione ed applicazione di tali prescrizioni, e svolgendo anche il ruolo ponte tra l’Autorità garante per la privacy ed i soggetti interessati.

L’azione del DPO, allora, si svolge tra compiti con profili di consulenza, a disposizione del Titolare e del Responsabile del Trattamento dati, e compiti di controllo, non solo a favore del Titolare e del Responsabile del trattamento dati, ma parimenti, e forse maggiormente, dei soggetti interessati cui i dati appartengono, e questo con l’obiettivo di assicurare che la organizzazione della pubblica amministrazione, dell’ordine professionale, dell’azienda, dell’Ente, etc., risponda in pieno alle previsioni del Regolamento Unitario, e che di conseguenza sia garantito l’obiettivo del trattamento dati operato in assoluta tutela degli interessati.

Ne deriva che il DPO,

per riuscire ad essere la figura centrale che l’ordinamento di specie disegna, deve inderogabilmente muovere da presupposti di terzietà ed integrità, e deve possedere la completa conoscenza della materia, che non è solo conoscenza legata alle previsioni specifiche, bensì una conoscenza dei profili di amministrazione, sia pubblica, che privata, di quelli di gestione, di quelli tecnici, di quelli organizzativi.

Bisogna subito tener presente, però, che il legislatore, sia unitario, che nazionale, non appare essere molto coerente con la fermezza dei principi che enuncia nel Regolamento; si vuol dire che, malgrado il DPO abbia questa specifica importanza, l’esecuzione della sua funzione non è sottoposta ad una insuperabile verifica professionale; se prendiamo la certificazione unitaria UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, in appendice B, proprio sul DPO, pretende specificamente che questi possieda requisiti su “Gestione della Privacy e Sicurezza delle Informazioni” con attestazione finale, in modo che, appunto, “determinate figure professionali possiedano, mantengano e migliorino nel tempo la necessaria competenza”.

Si tratta di una certificazione che si distingue per non essere obbligatoria,

che dunque ha valore poiché, legandosi alle previsioni del Regolamento Unitario ed ai suoi vastissimi profili, li dettaglia ancora di più, li irrobustisce, ma di certo non li impone; e quindi, trattandosi di adempimenti su base volontaria, enuncia la valenza di una formazione ad hoc, anche di livello modulare, che però sia stata organizzata ed erogata  da un soggetto formatore, con certificazione di ente terzo, ai sensi dell’art. 42, comma terzo, del Regolamento UE, in collegamento con gli artt. 39 e ss..

In buona sostanza, per fare il DPO, più che un dovere, la formazione adeguata, ed al contempo abilitante secondo i criteri generali prima richiamati, è assolutamente una questione di garanzia per i professionisti che intendono proporsi come DPO, ed a seguire lo è per tutti i soggetti (imprese, professionisti, amministrazioni, organizzazioni diverse) che intendono, ove non devono, avvalersi di un DPO.