La formazione del Data Protection Officer deve avere carattere permanente e non può essere riconducibile al solo istante della sua designazione
Il contesto esterno è un fattore estremamente rilevante da dover considerare per svolgere un controllo circa l’efficacia dell’inquadramento del Data Protection Officer all’interno dell’organizzazione. L’annunciata azione coordinata intrapresa da parte dell’European Data Protection Board ha l’obiettivo di armonizzare l’efficace attuazione delle norme relative al DPO e di conseguenza rilevare e superare alcune incertezze operative per un enforcement della funzione.
Tutto ciò ha comportato l’effetto di provocare già delle verifiche interne da parte delle organizzazioni circa la designazione e le risorse poste a disposizione, ma questo aspetto non è più sufficiente perché sia garantita l’adeguatezza del DPO designato.
L’elemento cruciale che deve essere attenzionato è e dovrà sempre più essere il trend di produzione normativa intrapreso da parte dell’Unione Europea nel tentativo di governare l’innovazione e la data economy tenendo conto anche di standard tecnici e di sicurezza. Quanto emerge di conseguenza è infatti un framework normativo naturalmente complesso che, in ragione anche degli interventi affidati anche ai singoli Stati membri, comporta la naturale esigenza di tenere in considerazione anche la formazione continua del DPO.
La formazione viene espressamente richiamata dall’art. 38 par. 2 GDPR come dovere in capo all’organizzazione che procede alla designazione, la quale è tenuta ad assicurare al DPO il mantenimento di quella “conoscenza specialistica” che ne ha consentito la selezione in conformità all’art. 37 par. 5 GDPR e che, di conseguenza, deve avere un carattere permanente e non può essere riconducibile al solo istante della designazione.
La conoscenza della normativa e della prassi nazionale ed europea in materia di protezione dei dati è uno dei principali contenuti della formazione che viene prescritta dalla norma e dai chiarimenti delle Linee guida WP243; pertanto, in una visione dinamica del ruolo è naturale che un mutamento di contesto normativo non può che far emergere l’esigenza di provvedere ad un aggiornamento o ampliamento delle conoscenze dell’ufficio del DPO.
Esigenza che si rafforza ancor più nel momento in cui il settore all’interno del quale l’organizzazione designante opera è destinatario degli intenti regolatori da parte del legislatore. Alcuni esempi a riguardo sono: le infrastrutture critiche attenzionate dalla direttiva NIS 2 con particolare attenzione alla governance della sicurezza; le piattaforme digitali e gli obblighi del Digital Services Act; lo sviluppo e l’impiego dei sistemi di intelligenza artificiale attraverso le prescrizioni e i limiti dell’AI Act; l’esportazione dei dati secondo le condizioni poste dalle decisioni di adeguatezza della Commissione.
Queste nuove conoscenze e competenze non possono però limitarsi ad una mera ricognizione normativa, bensì devono essere successivamente declinate all’interno degli ambiti operativi entro cui l’organizzazione svolge le attività di trattamento di dati personali.
Il riscontro dell’avvenuta efficace formazione del DPO è reso infatti dallo svolgimento dei compiti propri della funzione di consulenza, informazione e sorveglianza. Di conseguenza, comporta un impatto diretto sulla capacità di svolgere tanto le mansioni assegnate nell’ipotesi di DPO interno quanto il contratto di servizi stipulato per l’ipotesi di DPO esterno. E dunque, più che rispondere ad un obbligo, che pur sussiste, la corretta e continua formazione del DPO costituisce un elemento sostanziale intrinsecamente correlato al corretto svolgimento di tale funzione.
