L’art. 37 par. 5 GDPR prevede che “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Il Garante Privacy lussemburghese ha emanato una sanzione di 18.000 euro nei confronti di una controllata pubblica per l’inadeguatezza del DPO. L’autorità di aspettava che il DPO avesse almeno tre anni di esperienza professionale nella protezione dei dati.
Tra i richiami che hanno portato alla multa, il principale è basato sul considerando 97 dello stesso GDPR, secondo cui “il titolare del trattamento o il responsabile del trattamento dovrebbe essere assistito da una persona che abbia una conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello interno del presente regolamento […]. Il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare del trattamento o dal responsabile del trattamento”.
E’ importante registrare l’indicazione arrivata dall’autorità lussemburghese non solo per il riferimento temporale, indicativo ma non tassativo, ma soprattutto ai fini della formazione e della scelta del DPO.
Fondamentale quindi che ogni DPO continui a curare la propria competenza e ogni titolare del trattamento scelga in modo oculato tale figura.