Per questo, la formazione per questo ruolo è particolarmente importante. Corsi e master non mancano, ma forse manca la qualità: nonostante sia già passato più di un anno, la maggior parte dei corsi spesso non riesce a calare la teoria in modelli pratici da seguire nel lavoro giornaliero di un DPO.
La legge ci dice che il DPO deve:
- informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che trattano i dati personali;
- sorvegliare l’osservanza della normativa comunitaria e nazionale nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento riguardanti anche “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
- cooperare con l’autorità Garante nazionale;
- fungere da punto di contatto per l’autorità Garante nazionale per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.
Si capisce bene che l’ambito di lavoro è veramente vastissimo ed il tutto è confermato dall’Autorità Garante: ”il DPO deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il Titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare”. Garante dixit.
DPO: i requisiti (Ovvero cosa deve sapere)
Quindi quali SKILLS (oggi è di moda chiamarle così) devo avere? Quali corsi mi conviene frequentare?
Una prima considerazione da fare è sottolineare un aspetto che sembra sfuggire a molti, in relazione alla professionalità che il DPO deve possedere: a seguito della nomina ricevuta come DPO, infatti, molti ritengono di poter integrare le proprie competenze attraverso seminari, corsi, letture, ecc., ricercando patacchine e certificatucoli che poco hanno a che vedere con la capacità effettiva di riuscire a gestire ambiti complessi.
Se il vostro obiettivo è la PATACCA, ci sono decine di corsi di formazione e seminari per ottenerla.
Se il vostro percorso di formazione sta invece iniziando adesso, le prime conoscenze che vi servono partono dall’integrazione dei vocabolari.
Cosa intendo come Vocabolario? Intendo quell'insieme di definizioni, di metodi e di interpretazioni che sono alla base di questa professione in tutti e tre gli ambiti su cui il DPO opera (Legale, Tecnologico ed Organizzativo). Significa avere una solida padronanza almeno teorica di tutti gli argomenti ed aver quindi consolidato un metodo efficente per ricercare e valutare le fonti corrette ed efficaci.
ATTENZIONE: googolare “cosa significa accountability” oppure “l’antivirus è una misura obbligatoria per il GDPR?” NON è un metodo efficace.
Quindi a partire dalle competenze che avete, serve una formazione che integri le basi mancanti e vi dia la possibilità di capire cosa è giusto e cosa non lo è e vi permetta di valutare le fonti.
Conoscere i “vocabolari”, serve per poter disimpegnare i complessi compiti devoluti a questa figura, nella maggior parte dei casi occorre la presenza di diversi approfonditi saperi specialistici riferiti non solo al settore giuridico ma anche organizzativo, manageriale e tecnologico.
Verifica chi ti sta formando: è un DPO? Da quale ambito proviene?
La scelta di dove formarsi sui vocabolari deve basarsi sulla esperienza effettiva di chi sta erogando il corso.
Il docente è FONDAMENTALE. E’ un legale? Un informatico? Bene, ma non basta. E’ DPO? Dove? Fa formazione in Aula da quanto?
Queste domande sono fondamentali per definire se il Docente è in grado di trasferirci un vocabolario corretto, adeguato e non una rilettura a slide più o meno sistematica della legge o della tecnica.
Non serve a nessuno sapere tecnicamente come fare un HASH di un FILE, né che l’art 32 del GDPR ci dice questo e quell'altro (a leggere siamo capaci tutti, si spera!), ma serve avere approfondimenti operativi su come valutare l’aderenza di certe misure all’art 32 ad esempio.
Ci serve sapere quali sono i modi d’uso di una pec, cosa si intende per Accountability e come da DPO possiamo verificarla.
Una volta che padroneggiate i vocabolari nei tre ambiti, Legale, Tecnologico ed Organizzativo, è venuto il momento di cominciare a fare sul serio.
Come posso accrescere la mia competenza?
Ecco quindi che i corsi che ci possono servire debbono essere quelli con una fortissimaimpronta operativa, quelli che hanno workshop interattivi che ci mettono alla prova con casi pratici, quelli che ci portano esempi pratici di verifica, di ispezioni ricevute, di comportamenti da tenere, da attenzionare, di come sminare e gestire aspettative spesso non corrette dell’azienda che vede il DPO come il tuttofare della Compliance GDPR dell’azienda, quando è più un controllore di buone prassi.
In soldoni la formazione:
- deve farci crescere nell’operatività da DPO, ci deve fornire una serie di domande con le risposte incluse e una metodologia semplice, chiara e basata su una reale esperienza per riuscire a rispondere alle domande di cui ancora non abbiamo risposta.
- deve sempre avere una parte di workshop per permetterci il confronto con altri DPO con il docente. Ci deve essere la possibilità di simulare e di accedere ad un Know How che deve essere condiviso dal docente.
- ci deve aiutare a creare la nostra cheklist e ci deve aiutare a identificare gli strumenti che permettono di lavorare in efficienza.
Corsi per DPO: ecco la proposta di PrivacyLab
Ecco le prossime date dei nostri corsi/workshop e i temi affrontati:
25 ottobre (Milano)
> Workshop: "Punto sulla situazione sul GDPR, trasformazione digitale, opportunità e rischi correlati alla gestione dei dati personali" (consulta la scheda del corso per maggiori informazioni)
Tra i Relatori dell'evento, anche il Prof. Francesco Maria Pizzetti (ex Garante della Privacy) che spiegherà come approcciarsi correttamente alla normativa sulla privacy nel lavoro quotidiano da DPO e da consulente
08 novembre (Milano)
> Workshop: "Come prepararsi ad una ispezione: comportamenti, domande, risposte" (consulta la scheda del corso per maggiori informazioni)
L'Avv. Rocco Panetta e il Dott. Andrea Chiozzi simuleranno assieme ai partecipanti, attraverso un gioco di ruolo, una visita ispettiva da parte della Guardia di Finanza.
Entrambi gli eventi sono in collaborazione con Unicert.