Obiettivo: come fare (bene) il DPO

17 ottobre 2019Ultimo aggiornamento 30 settembre 2024
Tempo di lettura stimato: 5'
Il DPO è una figura centrale all’interno del nuovo impianto della privacy, inaugurato con l’entrata in vigore del GDPR.

Per questo, la formazione per questo ruolo è particolarmente importante. Corsi e master non mancano, ma forse manca la qualità: nonostante sia già passato più di un anno, la maggior parte dei corsi spesso non riesce a calare la teoria in modelli pratici da seguire nel lavoro giornaliero di un DPO.

La legge ci dice che il DPO deve:

  • informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che trattano i dati personali;
  • sorvegliare l’osservanza della normativa comunitaria e nazionale nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento riguardanti anche “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  • cooperare con l’autorità Garante nazionale;
  • fungere da punto di contatto per l’autorità Garante nazionale per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.

Si capisce bene che l’ambito di lavoro è veramente vastissimo ed il tutto è confermato dall’Autorità Garante: ”il DPO deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il Titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare”. Garante dixit.

DPO: i requisiti (Ovvero cosa deve sapere)

Quindi quali SKILLS (oggi è di moda chiamarle così) devo avere? Quali corsi mi conviene frequentare?

Una prima considerazione da fare è sottolineare un aspetto che sembra sfuggire a molti, in relazione alla professionalità che il DPO deve possedere: a seguito della nomina ricevuta come DPO, infatti, molti ritengono di poter integrare le proprie competenze attraverso seminari, corsi, letture, ecc., ricercando patacchine e certificatucoli che poco hanno a che vedere con la capacità effettiva di riuscire a gestire ambiti complessi.

Se il vostro obiettivo è la PATACCA, ci sono decine di corsi di formazione e seminari per ottenerla.
Come fare bene il DPO - Carta Igienica

Se il vostro percorso di formazione sta invece iniziando adesso, le prime conoscenze che vi servono partono dall’integrazione dei vocabolari.

Cosa intendo come Vocabolario? Intendo quell'insieme di definizioni, di metodi e di interpretazioni che sono alla base di questa professione in tutti e tre gli ambiti su cui il DPO opera (Legale, Tecnologico ed Organizzativo). Significa avere una solida padronanza almeno teorica di tutti gli argomenti ed aver quindi consolidato un metodo efficente per ricercare e valutare le fonti corrette ed efficaci.

ATTENZIONE: googolare “cosa significa accountability” oppure “l’antivirus è una misura obbligatoria per il GDPR?” NON è un metodo efficace.

Quindi a partire dalle competenze che avete, serve una formazione che integri le basi mancanti e vi dia la possibilità di capire cosa è giusto e cosa non lo è e vi permetta di valutare le fonti.

Conoscere i “vocabolari”, serve per poter disimpegnare i complessi compiti devoluti a questa figura, nella maggior parte dei casi occorre la presenza di diversi approfonditi saperi specialistici riferiti non solo al settore giuridico ma anche organizzativo, manageriale e tecnologico.

Verifica chi ti sta formando: è un DPO? Da quale ambito proviene?

La scelta di dove formarsi sui vocabolari deve basarsi sulla esperienza effettiva di chi sta erogando il corso.
Il docente è FONDAMENTALE. E’ un legale? Un informatico? Bene, ma non basta. E’ DPO? Dove? Fa formazione in Aula da quanto?
Come fare bene il DPO - lente di ingrandimento sulle competenze

Queste domande sono fondamentali per definire se il Docente è in grado di trasferirci un vocabolario corretto, adeguato e non una rilettura a slide più o meno sistematica della legge o della tecnica.

Non serve a nessuno sapere tecnicamente come fare un HASH di un FILE, né che l’art 32 del GDPR ci dice questo e quell'altro (a leggere siamo capaci tutti, si spera!), ma serve avere approfondimenti operativi su come valutare l’aderenza di certe misure all’art 32 ad esempio.

Ci serve sapere quali sono i modi d’uso di una pec, cosa si intende per Accountability e come da DPO possiamo verificarla.

Una volta che padroneggiate i vocabolari nei tre ambiti, Legale, Tecnologico ed Organizzativo, è venuto il momento di cominciare a fare sul serio.

Come posso accrescere la mia competenza?

Ecco quindi che i corsi che ci possono servire debbono essere quelli con una fortissimaimpronta operativa, quelli che hanno workshop interattivi che ci mettono alla prova con casi pratici, quelli che ci portano esempi pratici di verifica, di ispezioni ricevute, di comportamenti da tenere, da attenzionare, di come sminare e gestire aspettative spesso non corrette dell’azienda che vede il DPO come il tuttofare della Compliance GDPR dell’azienda, quando è più un controllore di buone prassi.

In soldoni la formazione:

  • deve farci crescere nell’operatività da DPO, ci deve fornire una serie di domande con le risposte incluse e una metodologia semplice, chiara e basata su una reale esperienza per riuscire a rispondere alle domande di cui ancora non abbiamo risposta.
  • deve sempre avere una parte di workshop per permetterci il confronto con altri DPO con il docente. Ci deve essere la possibilità di simulare e di accedere ad un Know How che deve essere condiviso dal docente.
  • ci deve aiutare a creare la nostra cheklist e ci deve aiutare a identificare gli strumenti che permettono di lavorare in efficienza.


Corsi per DPO: ecco la proposta di PrivacyLab

L'approccio appena descritto è proprio quello dell'Academy di PrivacyLab, quando deve pensare ed organizzare i suoi corsi di specializzazione per DPO da seguire in aula.

Ecco le prossime date dei nostri corsi/workshop e i temi affrontati:
 
25 ottobre (Milano)
> Workshop: "Punto sulla situazione sul GDPR, trasformazione digitale, opportunità e rischi correlati alla gestione dei dati personali" (consulta la scheda del corso per maggiori informazioni)

Tra i Relatori dell'evento, anche il Prof. Francesco Maria Pizzetti (ex Garante della Privacy) che spiegherà come approcciarsi correttamente alla normativa sulla privacy nel lavoro quotidiano da DPO e da consulente 

08 novembre (Milano)
> Workshop: "Come prepararsi ad una ispezione: comportamenti, domande, risposte" (consulta la scheda del corso per maggiori informazioni)

L'Avv. Rocco Panetta e il Dott. Andrea Chiozzi simuleranno assieme ai partecipanti, attraverso un gioco di ruolo, una visita ispettiva da parte della Guardia di Finanza. 


Entrambi gli eventi sono in collaborazione con Unicert.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy