Il Garante per la protezione dei dati personali, avvicinandosi la scadenza del 25 maggio 2018 e diventando sempre più stringenti le richieste di chiarimento, ha rilasciato le prime indicazioni su come debba essere scelto il RPD, da parte soggetti pubblici e privati tenuti alla loro nomina in base all’art. 37 del RGPD, sottolineando che la scelta di queste figure richiede attenzione alla presenza di specifiche competenze ed esperienze, mentre non richiede attestazioni formali sul possesso delle conoscenze o l'iscrizione ad appositi albi professionali.
Queste indicazioni sono contenute in una nota inviata ad un'azienda ospedaliera con la quale si ricorda che i Responsabili della protezione dei dati personali (RPD o, indifferentemente, DPO) dovranno essere selezionati, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati, in base a:
- approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento;
- qualità professionali adeguate alla complessità del compito da svolgere documentate attraverso le esperienze fatte (partecipazione a master e corsi di studio/professionali in cui è bene compaia anche il livello raggiunto);
- specifica esperienza (come nel caso di aziende ospedaliere, in considerazione della delicatezza dei trattamenti di dati sulla salute o genetici, nelle quali per poter operare il RPD dovrà assicurare un impegno pressoché esclusivo nella gestione dei suoi compiti)
L'Autorità ha anche chiarito che: la normativa attuale non prevede l'obbligo per i candidati di possedere attestati formali delle competenze professionali; tali attestati, rilasciati dopo verifiche effettuate alla fine di un ciclo di formazione, per quanto possano rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina, tuttavia, non costituiscono una “abilitazione” allo svolgimento del ruolo di RPD.
La normativa attuale, infine, non prevede l'istituzione di un albo dei Responsabili della protezione dei dati che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto.