NEWS

Data Protection Officer: servono più competenze e meno bollini

Rischio confusione per aziende e p.a. su certificazioni in materia di privacy. Interviene il Garante per sottolineare che quelle attuali non possono definirsi conformi al Regolamento UE. Nata prima del GDPR quella promossa da Federprivacy e rilasciata da TÜV fin dal 2011 per certificare le competenze dei "Privacy Officer". Bernardi: "Certificazioni sono importante elemento di garanzia sul mercato, ma non abilitazione a ricoprire ruolo di DPO". Bolognini:"Contano competenze sostanziali, non certo iscrizioni ad ennesimi albi o bollini". Decine di commenti negativi degli stakeholder piovuti sulla Norma UNI arrivata all'inchiesta pubblica.

Firenze, 21 luglio 2017 - Sono rimasti dieci soli mesi di tempo ad aziende e pubbliche amministrazioni per adeguarsi al GDPR, e in questi ultimi tempi sta fermentando un vero e proprio "business" imperniato sui presupposti contenuti nel nuovo testo comunitario, che "prevede e incoraggia l'istituzione di meccanismi per la certificazione della protezione dei dati personali, nonché di sigilli e marchi, allo scopo di dimostrare la conformità dei trattamenti".

Anche se il nuovo Regolamento sarà operativo dal 25 maggio 2018, mentre fino ad allora la disciplina applicabile in materia di protezione dei dati personali rimarrà quella del Dlgs 196/2003, (Codice Privacy), la smania di promuovere tali certificazioni è già cresciuta a tal punto che per fare chiarezza è dovuto intervenire il Garante con un comunicato congiunto ad Accredia, nel quale ha sottolineato che "al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell'adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi 'conformi' agli artt. 42 e 43 al Regolamento UE 2016/679".

Diverso è il caso della certificazione rilasciata da TÜV Italia fin dal 2011 per certificare le competenze dei "Privacy Officer e Consulenti della Privacy", nata prima dell'avvento del GDPR e promossa da Federprivacy come concreto strumento di misurazione delle competenze dei professionisti della protezione dei dati, senza pretesa alcuna di costituire una sorta di "abilitazione" per la figura del DPO, come spiega Nicola Bernardi, presidente della stessa associazione:

"Anche se una certificazione rappresenta un'importante garanzia e un elemento distintivo per coloro che la ottengono, non c'è bollino che possa sancire l'idoneità a ricoprire il ruolo di data protection officer, perchè quello definito dal GDPR è un profilo manageriale di uno spessore troppo elevato per standardizzarne le caratteristiche in modo semplicistico. Ciò che serve principalmente ai professionisti sono le competenze e la conoscenza specialistica della materia come richiesto dall'art. 37 del Regolamento UE".

Simile è la posizione dell'Avv. Luca Bolognini, presidente dell'Istituto Italiano per la Privacy, che spiega anche perchè un tentativo di definire appositi standard per il DPO potrebbe essere superfluo o addirittura controproducente:

"Il Regolamento europeo specifica già chiaramente i requisiti professionali soggettivi del DPO, meglio chiariti anche dalle Linee guida ufficiali dei Garanti privacy: non si sente il bisogno, a nostro avviso, di sub-regolamentazioni nazionali in materia che, peraltro, rischierebbero facilmente di risultare incompatibili con il diritto della UE per contrasto o ripetitività. Contano le competenze sostanziali, non certo iscrizioni ad ennesimi albi o bollini di cui non sentiamo davvero il bisogno."

Ma se l'ipotesi di definire degli standard nazionali per certificare la figura del "Responsabile della protezione dei dati" (DPO) non trova il favore delle principali associazioni di riferimento, a breve la situazione potrebbe complicarsi ulteriormente a causa di una norma UNI in cantiere che tra gli obiettivi ha anche quello di definire gli standard per il DPO, come osserva ancora Nicola Bernardi di Federprivacy:

"Benché quello di UNI sia partito come un progetto interessante, l'intenzione di voler normare il DPO ha poi suscitato molte perplessità, inducendo la nostra associazione ad esprimente il proprio dissenso. Successivamente, in fase di inchiesta pubblica sono piovuti decine di commenti negativi da parte di enti e grandi aziende italiane, e queste critiche si sono riverberate con un'altra ondata di e-mail e telefonate che abbiamo ricevuto direttamente. E' evidente quindi che l'eventuale pubblicazione di questa norma così come è fatta non soddisferebbe le reali esigenze delle imprese e delle p.a. che rientrano nell'obbligo di designazione del data protection officer, e neppure incontrerebbe il reale consenso degli stakeholder".

Quindi, se già oggi è difficile orientarsi sui criteri da utilizzare per scegliere il data protection officer, un'eventuale norma nazionale per certificare tale figura potrebbe finire per confondere ancora di più le idee ad aziende e pubbliche amministrazioni.

Comunicato Stampa Federprivacy del 21 luglio 2017

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Data protection officer: obbligo, requisiti, compiti, e certificazioni
Next Approvato il nuovo Regolamento Privacy UE, due anni di tempo per adeguarsi

Camera dei Deputati: Artificial intelligence e sostenibilità

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy