Le
linee guida sul DPO specificano i requisiti soggettivi e oggettivi di
questa figura, la cui designazione sarà obbligatoria per tutti i soggetti
pubblici e per alcuni soggetti privati sulla base di criteri che il Gruppo ha
chiarito nel documento.
Nel documento vengono illustrate le competenze professionali e le garanzie di indipendenza e
inamovibilità di cui il DPO deve godere nello svolgimento delle proprie
attività di indirizzo e controllo all'interno dell’organizzazione del titolare.
L'unica norma da applicare con riferimento al data
protection officer è quindi il Regolamento UE 2016/679, in particolare i suoi
articoli 35-39. Le interpretazioni autentiche relative a tale figura sono ad
oggi solo quelle provenienti dal Gruppo di Lavoro Articolo 29 dei Garanti
Privacy UE con la relativa Linee Guida.
Proprio in tali documenti ufficiali, si chiarisce che il
DPO deve avere competenza sulle leggi e sulle pratiche di protezione dei dati
nazionali ed europee e una conoscenza approfondita del Regolamento, anche se
dal documento si evincono requisiti privi di specificità.
Non esiste, quindi, nessun percorso certificativo, per “creare”
dal nulla queste figure.
Sono necessari i vecchi e cari ingredienti, che
dovrebbero far parte del ricettario di qualsiasi buon professionista: tanto
studio, pratica e capacità, unità con la volontà, di risolvere i problemi dei propri clienti.
