Da più di un mese il GDPR, il Regolamento UE 2016/679 è entrato in vigore ma, nonostante le cospicue e ampie informazioni fornite dall’Autorità Garante, molte sono le aziende che conoscono ancora poco della figura del DPO, quali siano i casi in cui è obbligatoria la nomina, quali siano i compiti attribuitigli dalla legge, quali debbano essere i suoi requisiti, nonché il valore delle certificazioni che lo riguardano.

Con questo articolo cercheremo di capire se sia vero o meno l’idea che si è diffusa tra migliaia di professionisti che sia obbligatoria una certificazione delle competenze del DPO.

Certificazione DPO

Certificazione UNI 11697 _ 2017: le nuove figure professionali

L’Ente Nazionale Italiano di Unificazione, meglio conosciuto con l’acronimo UNI (l’associazione privata senza scopo di lucro, istituzionalmente riconosciuta dallo Stato e dall’Unione Europea), che storicamente sviluppa e pubblica norme tecniche di carattere volontario in diversi settori, ha pubblicato una norma di settore che prevede l’istituzione di specifici profili professionali nel settore della Data Protection. Infatti, l’ente lo scorso novembre 2017 ha rilasciato una nuova norma, la UNI 11697_2017: “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”. Lo schema normativo è finalizzato alla definizione dei requisiti relativi all’attività dei professionisti operanti nell’ambito del trattamento e della protezione dei dati personali, esercitata a diversi livelli organizzativi.

uni 11697 2017

Le nuove figure professionali delineate dalla nuova 11697 sono quattro.

  • Data Protection Officer – Il DPO, ovvero il responsabile della protezione dei dati, è la figura centrale e di supporto al titolare nell’applicazione e per l’osservanza del Regolamento UE 2016/679 in conformità a quanto previsto nell’ art. 37. Avrà il compito principale di garantire, in maniera indipendente, l’applicazione interna delle disposizioni contenute nel Regolamento da parte del titolare del trattamento e deve essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali. Una totale apertura nei confronti del DPO trova giustificazione nella necessità di informarlo e aggiornarlo sulle finalità e sulle tipologie di trattamento, oltre che sulle misure di sicurezza implementate a loro garanzia. La totale conoscenza delle prassi aziendali pone il DPO in condizione di valutarne la Compliance al Regolamento, garantendo nel contempo una maggiore tutela del titolare e del responsabile. Altri sono i suoi compiti stabiliti nell’art. 39 (per maggiori approfondimenti, consulta il nostro articolo riguardo il DPO – Data Protection Officer ).  

  • Manager Privacy – Un secondo livello professionale è riservato al Manager Privacy, figura anche questa di garanzia con un altissimo livello di conoscenze, che assiste il titolare nelle attività di coordinamento di tutti i soggetti che all’interno dell’organizzazione sono coinvolti nel trattamento di dati personali (responsabili, incaricati, amministratori di sistema, etc.), garantendo il rispetto delle norme in materia di privacy e il mantenimento di un adeguato livello di misure organizzative, di sicurezza e protezione dei dati personali.

  • Specialista Privacy – Il terzo livello professionale specificatamente di supporto è quello previsto dello Specialista Privacy, figura che deve essere appositamente formata. Collabora a stretto contatto con il Manager Privacy, curando la corretta attuazione del trattamento dei dati personali all’interno dell’organizzazione e svolgendo le attività operative che, di volta in volta, si rendono necessarie durante tutto il ciclo di vita di un trattamento dati. È una figura indispensabile all’interno delle grandi organizzazioni aziendali articolate su più uffici, stabilimenti, e con diversa collocazione territoriale.

  • Valutatore Privacy – Il quarto livello previsto nella norma è quello del Valutatore Privacy, figura dotata di un profilo pertinente a conoscenze e competenze nei settori informatico, tecnologico e giuridico. Questa figura esplica tutte quelle attività di monitoraggio e audit, esaminando periodicamente il trattamento dei dati personali, valutandone il rispetto delle normative di settore emanate a livello nazionale e comunitario, applicando tutte le misure ritenute necessarie per l’eliminazione di eventuali non conformità ai vincoli normativi prescritti dal Regolamento, in maniera del tutto indipendente da tutte le altre figure manageriali ed operative.

La certificazione è davvero obbligatoria? Le competenze necessarie per il DPO

certificazione DPO competenze

Il Garante per la protezione dei dati personali si è nuovamente pronunciato sul tema del DPO. Anche se il Garante per la Privacy aveva già sottolineato che la certificazione delle competenze professionali riferibili alla figura del DPO non equivale di per sé ad una “abilitazione” allo svolgimento di questo ruolo introdotto dal nuovo Regolamento UE 2016/679, l’idea che si è diffusa che la certificazione basata sulla Norma tecnica UNI 11697 sia invece un titolo necessario per svolgere il ruolo di Data Protection Officer, ha indotto Federprivacy a richiedere ulteriori chiarimenti che non hanno tardato ad arrivare. La presa di posizione è molto netta: il Garante ha precisato che tale certificazione non rientra in quelle disciplinate dall’art.42 del Regolamento e, di conseguenza, non può essere approvata né dalla stessa Autorità di controllo italiana, né dal Comitato Europeo per la protezione dei dati. Ne deriva, quindi, che allo stato attuale, non esistono titoli abilitanti o attestati formali che determinano l’idoneità di un Responsabile della Protezione dei Dati. Tuttavia, eventuali certificazioni rilasciate delle competenze professionali del soggetto costituiscono un valido strumento ai fini della verifica dei requisiti e della conoscenza della disciplina. Tali certificazioni sono sempre volontarie e non sono mai obbligatorie; in pratica, non conta che il DPO abbia certificazioni, piuttosto deve essere formato e avere competenze specifiche e multidisciplinari.

Secondo il Garante, tutte le organizzazioni, sia pubbliche che private, dovranno scegliere il Responsabile della protezione dei dati personali con attenzione, verificando la presenza di competenze ed esperienze specifiche. Quindi, non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali: serve solo, invece, che il DPO possa garantire la corretta e completa esecuzione dei propri compiti, un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Ovviamente, questo potrebbe portare a “DPO settoriali” considerando le fondamentali differenze che ci sono fra diversi settori di mercato.

Le attestazioni delle competenze professionali raggiunte o della formazione eseguita possono essere utili per valutare un candidato ma non rappresentano e non equivalgono a una “abilitazione” allo svolgimento di tale ruolo. Ne deriva, quindi, la possibilità per i professionisti di rivolgersi ad appositi enti per ottenere certificazioni basate sulla predetta Norma UNI 11697 la quale, chiarisce l’Autorità, “può rappresentare, comunque al pari di altri titoli, uno strumento per dimostrare il possesso da parte del professionista delle conoscenze, competenze e abilità necessarie allo svolgimento dello specifico ruolo“.

Peraltro, la normativa attuale e il Regolamento Europeo n° 679/2016 non prevedono l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Ciascun ente o azienda obbligata ad avere un DPO o che decida comunque di nominarlo, potrà quindi procedere alla selezione del DPO valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti assegnati.

Iscriviti alla nostra newsletter e rimani sempre aggiornato sul GDPR.

Categorie: GDPR

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *