Certificazione DPO: i chiarimenti del Garante sulla Norma UNI
Diffusa l'idea tra migliaia di professionisti che certificazione basata su Norma UNI 11697 sia obbligatoria, il Garante risponde alla richiesta di chiarimenti di Federprivacy. Certificazione competenze DPO non rientra tra quelle disciplinate dall'art. 42 del GDPR, quindi non può essere approvata dall'Autorità. Esclusa anche ipotesi certificazione comune. Partecipazione a lavori in Uninfo di esperti del Garante quale "attore esterno, imparziale e competente sulla materia". Bernardi: "Certificazioni volontarie costituiscono comunque un elemento di accountability"
Roma, 18 aprile 2017 - Anche se il Garante per la Privacy aveva già sottolineato che la certificazione delle competenze professionali riferibili alla figura del “Responsabile della protezione dei dati” non equivale di per sé ad una "abilitazione" allo svolgimento di questo ruolo introdotto dal nuovo Regolamento Europeo UE 2016/679, l'idea che si è diffusa tra migliaia di professionisti che la certificazione basata sulla Norma tecnica UNI 11697 sia invece un titolo necessario per svolgere il ruolo di "Data Protection Officer", ha indotto Federprivacy a richiedere ulteriori chiarimenti che non hanno tardato ad arrivare da parte dell'Autorità.
Il Garante ha precisato che tale certificazione non rientra in quelle disciplinate dall'art.42 del Regolamento, e di conseguenza non può essere approvata ne' dalla stessa Autorità di controllo italiana, ne' dal Comitato europeo per la protezione dei dati, come neppure può risultare da essa una certificazione comune.
Ne deriva quindi che allo stato attuale non ci sono presupposti per una "certificazione unificata" o obbligatoria del Data Protection Officer, ma la possibilità per i professionisti di rivolgersi ad appositi enti per ottenere certificazioni basate su schemi proprietari o parimenti sulla predetta Norma UNI 11697, la quale, chiarisce l'Autorità "può rappresentare, comunque al pari di altri titoli, uno strumento per dimostrare il possesso da parte del professionista delle conoscenze, competenze e abilità necessarie allo svolgimento dello specifico ruolo".
Nella nota Prot. N. 9530/2018 del 27 marzo 2018 indirizzata a Federprivacy, il Garante ha chiarito inoltre che da diversi anni esperti dell'Autorità partecipano ai lavori di normazione tecnica nazionale e internazionale, seguendo tra l'altro il tavolo dei lavori al quale è stata elaborata la Norma UNI 11697:2017 presso Uninfo, organizzazione di cui il Garante è socio di diritto dal 2015 come "attore esterno, imparziale e competente sulla materia", al fine del miglior coordinamento delle norme tecniche con la disciplina di protezione dei dati personali.
Commentando la risposta dell'Autorità, il presidente di Federprivacy, Nicola Bernardi, ha affermato:
"Alla luce dei chiarimenti del Garante, auspichiamo che i professionisti aspiranti DPO siano ancor più motivati ad acquisire conoscenze specialistiche della materia piuttosto che illudersi che certi bollini o altre attestazioni formali costituiscano titoli abilitanti. D'altra parte - precisa Bernardi - non dobbiamo dimenticare che le certificazioni volontarie sono uno strumento molto utile, perché costituiscono un elemento di accountability ai fini del GDPR per poter dimostrare il possesso di determinate competenze che servono per rivestire un certo ruolo o per svolgere attività di consulenza".
E' stata infatti la stessa Federprivacy tra le prime associazioni a promuovere in Italia la certificazione delle competenze con quella rilasciata su schema proprietario da TÜV Italia fin dal 2012 per la figura di "Privacy Officer e Consulente della Privacy", che ad oggi conta già 400 esperti della materia che l'hanno conseguita.