NEWS

Non si diventa data protection officer con un corso di tre o quattro giorni

Tra i numerosi spunti che sono scaturiti dal 4° Privacy Day Forum al CNR di Pisa, uno che merita l'attenta riflessione degli addetti ai lavori, emerge dall'intervento del prof. Francesco Pizzetti, sette anni Garante della protezione dei dati personali. Parlando del data protection officer, figura che sarà introdotta nella UE con il nuovo regolamento, il suo monito è stato perentorio: "Non si può pensare di diventare data protection officer con un corso di tre o quattro giorni".

E alle parole dell'illustre ex Garante, mi permetto di aggiungere: peggio ancora, sarebbe pensare che abbia un valore rilevante il conseguimento di una certificazione professionale di "data protection officer" dopo solo un corso di tre o quattro giorni, solo perchè porta il nome di una figura che potrebbe diventare obbligatoria per 20.000 pubbliche amministrazioni e per migliaia di altre aziende italiane.

Era importante che a sollevare la questione fosse una voce autorevole come quella di Pizzetti, perchè negli ultimi tempi i corsi e le certificazioni che portano il nome di "data protection officer" stanno proliferando, gettando molto fumo negli occhi dei professionisti che in odore di nuovo regolamento vorrebbero accaparrarsi un incarico di "responsabile della protezione dei dati", come propriamente si chiamerà nella versione italiana del regolamento UE tradotta dall'inglese.

Che le certificazioni basate sulla Norma internazionale ISO 17024:2012 abbiano un valore concreto sul mercato è indubbio, tanto è che sono promosse espressamente dalla riforma delle professioni non organizzate in ordini e collegi, avvenuta con l'approvazione della Legge 4 del 2013. Detto valore, non è però costituito da una denominazione altisonante attribuita a una certa figura professionale, ma dai contenuti delle competenze che l'ente autorizzato certifica in base al proprio schema. Il nome quindi non inganni, occorre essere oculati nello scegliere corsi e certificazioni, analizzando ogni dettaglio per non illudersi che un foglio di carta possa miracolosamente farci avere le carte in regola per ricoprire il ruolo di responsabile della protezione dei dati con le nuove regole che saranno introdotte in tutti i 28 Stati membri dell'Unione Europea.

Ha ragione quindi Pizzetti, quando avverte che non si può pensare che in soli tre o quattro giorni si possa diventare idonei per ricoprire un ruolo a cui il testo approvato in prima lettura lo scorso 12 marzo dal parlamento europeo assegna un rilevante potere, conferendogli autonomia e indipendenza, assegnandogli anche la funzione cardine di punto di contatto con l'autorità.

Come per diventare piloti d'aereo, non basta un corso di tre o quattro giorni, anche per candidarsi legittimamente per ricoprire il ruolo di data protection officer occorre un curriculum di spicco, con conoscenze, competenze, e un notevole bagaglio professionale che non si possono improvvisare, ma si accumulano in anni di esperienza e studi di approfondimento. Corsi e certificazioni, sono uno dei tasselli che compongono il profilo del data protection officer, come lo sono il titolo di studio, l'esperienza professionale, e gli skills.

L'intervento del prof. Pizzetti al Privacy Day Forum 2014, non solo ha dato lustro all'evento di Federprivacy, ma ci ha anche confermato che in questi anni abbiamo lavorato bene e seriamente da quando nel 2011 abbiamo posto le basi per la certificazione del Privacy Officer con TÜV, che l'ente tedesco non riconosce sulla base di un corso di qualche giorno, ma che emette solo a professionisti che dimostrino di possedere effettivamente i requisiti elencati nello schema proprietario di Federprivacy, etica inclusa.

Che nè Federprivacy nè TÜV Italia vogliano vendere corsi o "certificati patacca", è dimostrato da evidenze lampanti come la non tassativa frequentazione del corso di minimo 48 ore previsto dallo schema, (infatti i professionisti che ritengono di avere già le conoscenze richieste possono dimostrarlo mediante un pre-esame), ma anche il 7% circa di "bocciati" agli esami di certificazione testimonia che il processo gestito da TÜV Italia assicura serietà e trasparenza, avvalendosi di commissari d'esame selezionati con criteri rigidi tra noti esperti della materia. L'assenza di pubblicazione di statistiche sulle percentuali di coloro che non superano gli esami delle altre certificazioni di privacy professionals, pare mettere in evidenza che altrove viga la filosofia del "tutti promossi" con tanto di pacca sulla spalla.

E una parola, è doveroso spenderla anche sulla denominazione scelta per la certificazione TÜV: niente avrebbe impedito di chiamare la figura professionale "data protection officer", se non la serietà che ci contraddistingue.

In primo luogo, il data protection officer è al presente un nome ingannevole, perchè il regolamento europeo non è ancora vigente e TÜV Italia non poteva minimamente dare ad intendere che certificasse qualcosa che non attualmente non esiste e che potrebbe subire pure dei cambiamenti.

In secondo luogo, certificare una figura professionale così come descritta dall'attuale proposta di regolamento europeo, sarebbe stata un'ambizione disonesta anche per noi di Federprivacy che abbiamo oltre 800 addetti ai lavori associati, un comitato scientifico con noti esperti della materia, collaborazioni con le autorità e con enti di ricerca nazionali ed internazionali. Ai tavoli dei lavori preliminari con TÜV Italia per la certificazione del Privacy Officer, considerato il ruolo verticistico del data protection officer europeo, che dovrà necessariamente possedere anche caratteristiche personali non indifferenti, una buona dose di leadership, nonchè quasi tassativamente la conoscenza della lingua inglese, all'epoca abbiamo tratto la conclusione che occorreva cautela e serietà.

In terzo luogo, se il data protection officer sarà un ruolo dirigenziale, ne deriverà che egli dovrà avere anche collaboratori con competenze diverse a seconda dei settori in cui opereranno, che non potranno essere "tuttologi", e in realtà il futuro della protezione dei dati offrirà sempre maggiori opportunità a professionisti della materia, per cui era ragionevole ed opportuno basare la certificazione sul profilo professionale generalista di privacy officer. Il mercato chiederà sempre più migliaia di privacy professionals, ma non tutti saranno designati data protection officer, ma anche responsabili e addetti privacy nelle varie funzioni aziendali. Sarà lo stesso mercato selettivo a determinare obiettivamente quale posizione il professionista potrà ricoprire, non un pezzo di carta.

Poichè credo che la data protection del futuro riguarderà anche quel diritto alla privacy sancito dall' ONU all' art.12 della Dichiarazione Universale dei diritti dell'uomo nel 1948, e che dove ha avuto origine negli anni '90, cioè negli Stati Uniti, quella figura fu chiamata originariamente "Privacy Officer", denominazione che la identifica oggi a livello mondiale e non solo nel contesto europeo, sono fiero che la nostra figura professionale certificata da TÜV Italia si chiami proprio così.

Note sull'Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Facebook, la privacy è morta? Bastano le vostre foto dal parrucchiere
Next GDPR, necessario un approccio multidisciplinare tra misure fisiche, tecniche ed organizzative

Siamo tutti spiati? il presidente di Federprivacy a Cremona 1 Tv

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy