Privacy & professioni, l'aspettativa per la norma UNI si sgonfia
Arrivata all'inchiesta finale la norma tecnica sulle figure professionali della protezione dei dati, ma profili generici e linee guida del Gruppo dei Garanti UE fanno affievolire l'interesse delle principali associazioni di riferimento. Bolognini (Istituto Privacy): "L'unica norma è nella legge.Non c'è bisogno di ulteriori sub-regolamentazioni non imperative che vadano a complicare ulteriormente quadro interpretativo e applicativo già complesso". Bernardi (Federprivacy): "Nessun bollino può bastare a legittimare ruolo manageriale come quello del DPO."
Roma, 7 febbraio 2017 - Sono durati più di un anno i lavori partiti con l'obiettivo di dar vita a una norma tecnica sui professionisti della protezione dei dati personali, ma rischia di diventare tempo sprecato quello trascorso dagli esperti ai tavoli di UNI, sia perché i profili nel documento arrivato all'inchiesta finale risultano privi di specificità per ciò che concerne le conoscenze della normativa, sia perché nel frattempo sono intervenute le Linee Guida dei Garanti UE, che hanno fornito i chiarimenti ufficiali che potevano essere necessari riguardo al testo del Regolamento UE 2016/679.
Infatti, per quanto potesse essere nobile l'intenzione, è ovvio che le prescrizioni di legge e i documenti ufficiali dell'UE prevalgono rispetto a qualsiasi tentativo di stabilire le regole direttamente tra gli stakeholder, come spiega l'Avv. Luca Bolognini, presidente dell'Istituto Italiano per la Privacy:
“L'unica norma da applicare con riferimento al data protection officer sarà il Regolamento UE 2016/679, in particolare i suoi articoli 35-39. Le interpretazioni autentiche relative a tale figura sono ad oggi solo quelle provenienti dal Gruppo di Lavoro Articolo 29 dei Garanti Privacy UE, che non a caso hanno già rilasciato le pertinenti Linee Guida. Proprio in tali documenti ufficiali, si chiarisce che il DPO deve avere competenza sulle leggi e sulle pratiche di protezione dei dati nazionali ed europee e una conoscenza approfondita del Regolamento. In Italia e in Europa abbiamo già troppe norme, sparse a più livelli - sottolinea Bolognini - non sentiamo il bisogno di ulteriori sub-regolamentazioni, fra l’altro non imperative, che vadano a complicare ulteriormente un quadro interpretativo e applicativo già complesso”.
E come accade spesso in Italia, se la norma (Cod. Progetto E14D00036) dovesse essere pubblicata così come è arrivata all' inchiesta pubblica finale, il rischio è proprio quello di vedere inutilmente complicati e confusi gli scenari del mercato dei professionisti della data protection, come dichiara Nicola Bernardi, presidente di Federprivacy:
"Quello della norma tecnica sarebbe stata una soluzione utile per definire i requisiti di varie figure professionali che si stanno diffondendo sul mercato, ma non per il DPO. Come abbiamo segnalato ripetutamente ai tavoli di lavoro in UNI, quella di voler conseguire uno strumento per rilasciare una certificazione di data protection officer è stata solo una forzatura non frutto di nostra iniziativa che non ha concreta applicabilità - afferma Bernardi - anche perché riteniamo che nessun bollino possa bastare per legittimare un ruolo manageriale come quello definito dal Regolamento UE."
A tal proposito, è opportuno ricordare che sin dal 2012 Federprivacy promuove la certificazione su schema proprietario della figura professionale di "Privacy Officer e Consulente della Privacy", evitando intenzionalmente di utilizzare la denominazione inglese del Regolamento UE 2016/679, proprio per non indurre professionisti ed aziende a concludere che il possesso di una determinata certificazione possa corrispondere all'idoneità a svolgere il ruolo di data protection officer.
Comunicato Stampa Federprivacy del 7 febbraio 2017