Disposizione di riferimento del Regolamento
L’Art. 37, par. 5 recita: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Riferimento nelle Linee guida del WP29: par. 2.5, pp. 14-16.
Precedenti decisioni del Garante
Nota del 28 luglio 2017, “Quesiti in materia di certificazione delle competenze ai fini della prestazione di consulenza in materia di protezione dei dati personali” (doc. web n. 7057222); “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”, 15 dicembre 2017 (doc. web n. 7322110).
Decisioni di altri organismi: sentenza del Tar Friuli-Venezia Giulia, sez. I, del 13 settembre 2018, n. 287; atto di segnalazione dell’Autorità garante della concorrenza e del mercato AS1636 del 2 gennaio 2020.
Questione emersa dalle verifiche effettuate dall’Autorità.
In alcuni casi, è stato riscontrato che, in ambito pubblico, il titolare del trattamento, per selezionare una figura dotata delle competenze necessarie, ha richiesto che il candidato fosse in possesso di titoli specifici, come ad esempio uno specifico titolo di studio (perlopiù la laurea in giurisprudenza), l’iscrizione ad un determinato albo professionale (spesso quello di avvocato) o particolari tipologie di certificazione (come le cc.dd. certificazioni volontarie).
I requisiti in tal modo richiesti non sono stabiliti dal Regolamento o da altre disposizioni normative, e il loro eventuale possesso non equivale, di per sé, a un’abilitazione allo svolgimento del ruolo del RPD, né può sostituire in toto la valutazione del soggetto pubblico nell’analisi del possesso dei requisiti del RPD necessari per lo svolgimento dei suoi compiti. Pertanto, escludere alcuni candidati solo perché privi di determinati titoli potrebbe apparire sproporzionato e discriminatorio, tenuto conto che tali requisiti, di per sé, non sono necessariamente in grado di dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato della funzione di RPD (ad esempio, l’avvocato che non si è mai occupato di protezione dei dati personali), potendo, invece, escludere in modo ingiustificato dalla competizione soggetti ugualmente esperti della materia, come potrebbero esserlo soggetti non iscritti all’albo degli avvocati che dimostrino di aver completato la propria preparazione anche sul versante giuridico o di avere una comprovata esperienza in materia di protezione dei dati personali.
Misure indicate
Preliminarmente, si rende necessario che l’ente pubblico valuti le qualità professionali, le conoscenze specialistiche e l’esperienza in materia di protezione dei dati personali in capo alla figura da incaricare quale RPD, tenendo conto dei trattamenti che effettua, prestando particolare cura, ad esempio, alla complessità dei trattamenti stessi, alla qualità e quantità di dati personali trattati, all’esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell’Unione europea. Ciò comporta che, in ambito pubblico, il RPD debba certamente conoscere la normativa e le prassi nazionali ed europee in materia di protezione dei dati (a partire da un’approfondita conoscenza del Regolamento), nonché possedere un’adeguata conoscenza anche delle norme e procedure amministrative che caratterizzano lo specifico settore, in quanto la liceità del trattamento dei dati personali in questo ambito dipende dalla corretta applicazione delle regole di volta in volta previste dalla disciplina di settore.
Conoscenza di norme e prassi
Per quanto concerne la conoscenza di norme e prassi in materia di protezione dei dati personali, essa può essere dimostrata, in primo luogo, attraverso una documentata esperienza professionale e/o anche attraverso la partecipazione ad attività formative specialistiche (ad esempio, master, corsi di studio e professionali, specie se risulta documentato il livello di acquisizione delle conoscenze). Rientra in questo contesto anche la certificazione volontaria acquisita sulla base della norma tecnica italiana UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che può rappresentare un elemento utile di valutazione della preparazione del candidato, ma non un’abilitazione di per sé aprioristica.
Analogamente, la conoscenza specialistica sarà dimostrata dalle attività, dalle esperienze lavorative e professionali svolte, risultanti, ad esempio, dal curriculum e dalle autocertificazioni presentate. Particolare valore potrà assumere l’eventuale esperienza del candidato in organizzazioni simili a quella del titolare.
Competenze per ricoprire il ruolo di DPO
In tale contesto, preme in ogni caso evidenziare che la competenza a ricoprire il ruolo di RPD non può essere astrattamente riconosciuta in capo ad una qualsiasi figura per effetto del semplice possesso di specifici titoli (laurea, iscrizione ad un albo professionale, certificazione). Il titolare del trattamento è infatti tenuto a valutare nel complesso gli elementi previsti dall’art. 37, par. 5, del Regolamento e, qualora intenda richiedere un titolo di studio specifico, è chiamato a tenere in dovuta considerazione la proporzionalità tra quanto richiesto e la complessità del compito da svolgere nel caso concreto, comprovando le proprie scelte ai sensi degli artt. 5, par. 2, e 24 del Regolamento, a partire da un’adeguata motivazione nel provvedimento di assegnazione formale dell’incarico.
Pertanto, ne discende che, al momento della definizione dei requisiti in base ai quali individuare il soggetto da incaricare quale RPD, l’ente pubblico deve evitare restrizioni all’accesso alle selezioni che possano risultare sproporzionate e ingiustificate rispetto alla figura ritenuta necessaria, ma tenere in debita considerazione l’attinenza e la proporzionalità tra quanto richiesto (le qualità professionali di cui all’art. 37, par. 5, del Regolamento) e la complessità del compito da svolgere nel caso concreto (come il contesto in cui il RPD sarà chiamato ad operare o le caratteristiche dei trattamenti effettuati dall’ente designante).
Reference: Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico.