Home
Scelta del DPO, è caos tra "corsi abilitanti" e norme tecniche fuorvianti
Cambiano le regole della privacy con il Regolamento UE 2016/679, e entro il 25 maggio 2018 tutte le pubbliche amministrazioni e tutte le aziende che monitorano gli utenti in modo regolare e sistematico o che trattano dati sensibili su larga scala dovranno essersi dotate di un “responsabile della protezione dei dati”, che ai sensi dell'art.37 del nuovo testo deve essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”.
Conosciuto anche con il termine anglofono "data protection officer", si tratta quindi di un esperto che deve essere in grado di fornire consulenza al management aziendale circa le prescrizioni della legge sulla protezione dei dati personali, sorvegliando poi che essa sia correttamente applicata, fungendo inoltre da punto di contatto con l'Autorità per la privacy e con gli interessati.
Nonostante il Garante abbia a più riprese chiarito che non esistono titoli obbligatori o abilitazioni per svolgere questo ruolo, con l'avvicinarsi della scadenza sono comunque proliferati numerosi “corsi abilitanti”, proposti come tali anche da parte di noti istituti universitari, ed è stata pure pubblicata una norma UNI che si è presa la briga di rendere certificabile la figura del data protection officer, inducendo così migliaia di imprese e professionisti non correttamente informati a concludere che certe attestazioni formali possano determinare l'idoneità di un professionista a svolgere questo ruolo, fuorviando quindi dalle indicazioni fornite dall'Authority.
Se è pur vero che corsi di specializzazione erogati da atenei ed altri enti di formazione, così come le certificazioni delle competenze rilasciate da organismi di terza parte, rappresentano strumenti utili per valutare il livello di preparazione dei candidati, d'altra parte se questi vengono presentati come una sorta di “patente” di data protection officer, la questione diventa imbarazzante e assume una gravità notevole.
E come se il Regolamento Europeo non richiedesse già conoscenze specialistiche e capacità sufficientemente elevate al soggetto che deve rivestire il ruolo di data protection officer, la Norma UNI 11697:2017 di recente pubblicata dall'Ente Italiano di Normazione ha addirittura disegnato il profilo di una vera e propria figura professionale, prendendosi la libertà di arricchirla a propria discrezione con una serie di skills e competenze informatiche che non compaiono affatto trai requisiti richiesti dalla legge, e che di fatto confondono ancor di più le idee a chi ha il compito di chi deve gestire la selezione dei candidati.
Fortunatamente, la norma in questione è un documento tecnico di carattere volontario e non prescrittivo come lo è invece il Regolamento UE, per cui potrebbe risultare utile e diventare un punto di riferimento per imprese e professionisti solo se il contenuto fornisse delle buone prassi pienamente armonizzate alla legge, e soprattutto se queste fossero effettivamente condivise ed accettate dai principali attori del mercato, comprese le associazioni rappresentative delle categorie professionali direttamente interessate.
Ciononostante, a quatto mesi dalla scadenza per designare il data protection officer, il quadro attuale delinea così una notevole confusione tra pubbliche amministrazioni ed aziende che ricadono nell'obbligo, ma la scelta del candidato adeguato può e deve avvenire solo in base all'effettivo possesso delle competenze richieste dal Regolamento UE 2016/79, e non in virtù di qualche titolo formale.
Nicola Bernardi, Presidente di Federprivacy - @Nicola_Bernardi