Il DPO è prevalentemente un legale (?)
Un sentenza interessante, ma un ameno discutibile. Un Ente pubblico ha aperto il bando per DPO, chiedendo diploma o laurea in materia informatica oppure in materie giuridiche, nonché la certificazione ISO 27001 come Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni. Qualcuno ha presentato ricorso, accolto dalla Corte.
Alcune considerazioni sono certamente valide: che un DPO debba necessariamente essere Auditor per un sistema di gestione non ha molto senso. Può essere un titolo aggiuntivo, può dare un punto in più, ma che sia fattore essenziale non sembra ragionevole. Meno condivisibile, invece, è la posizione della Corte riguardo il fatto che il DPO sarebbe una figura prevalentemente giuridica, dovendo tutelare dei diritti. Si può discutere di percentuali, ma, se è ovvio che il DPO debba padroneggiare le norme, è altrettanto banale rendersi conto che deve anche possedere nozioni tecniche di sicurezza informatica e di sicurezza fisica degli accessi, deve saper scegliere la focale della telecamera come il modello corretto di informativa o di nomina del Responsabile. Poiché sono molto rare le figure che hanno una reale e approfondita conoscenza di tutti gli aspetti, il DPO dovrebbe essere in realtà un team di diverse competenze professionali. Molti osservano che un avvocato può farsi aiutare da tecnici per le parti non propriamente giuridiche, Vero, ma allora un ingegnere può farsi aiutare da un avvocato per le questioni non propriamente tecniche. Insomma in medio stat virtus, il DPO deve essere competente, come ricorda spesso il Prof Pizzetti, che poi abbia la laurea in giurisprudenza non è né necessari né sufficiente.
