martedì, 17 ottobre 2017

Privacy

Privacy

Data Protection Officer: servono più competenze e meno bollini

24/07/2017

MILANO - Sono rimasti dieci soli mesi di tempo ad aziende e pubbliche amministrazioni per adeguarsi al GDPR, e in questi ultimi tempi sta fermentando un vero e proprio “business” imperniato sui presupposti contenuti nel nuovo testo comunitario, che “prevede e incoraggia l'istituzione di meccanismi per la certificazione della protezione dei dati personali, nonché di sigilli e marchi, allo scopo di dimostrare la conformità dei trattamenti”.

Anche se il nuovo Regolamento sarà operativo dal 25 maggio 2018, mentre fino ad allora la disciplina applicabile in materia di protezione dei dati personali rimarrà quella del Dlgs 196/2003, (Codice Privacy), la smania di promuovere tali certificazioni è già cresciuta a tal punto che per fare chiarezza è dovuto intervenire il Garante con un comunicato congiunto ad Accredia, nel quale ha sottolineato che "al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell'adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi 'conformi' agli artt. 42 e 43 al Regolamento UE 2016/679".

Diverso è il caso della certificazione rilasciata da TÜV Italia fin dal 2011 per certificare le competenze dei "Privacy Officer e Consulenti della Privacy", nata prima dell'avvento del GDPR e promossa da Federprivacy come concreto strumento di misurazione delle competenze dei professionisti della protezione dei dati, senza pretesa alcuna di costituire una sorta di "abilitazione" per la figura del DPO, come spiega Nicola Bernardi, presidente della stessa associazione:

"Anche se una certificazione rappresenta un'importante garanzia e un elemento distintivo per coloro che la ottengono, non c'è bollino che possa sancire l'idoneità a ricoprire il ruolo di data protection officer, perchè quello definito dal GDPR è un profilo manageriale di uno spessore troppo elevato per standardizzarne le caratteristiche in modo semplicistico. Ciò che serve principalmente ai professionisti sono le competenze e la conoscenza specialistica della materia come richiesto dall'art. 37 del Regolamento UE".

Simile è la posizione dell'Avv. Luca Bolognini, presidente dell'Istituto Italiano per la Privacy, che spiega anche perchè un tentativo di definire appositi standard per il DPO potrebbe essere superfluo o addirittura controproducente:

"Il Regolamento europeo specifica già chiaramente i requisiti professionali soggettivi del DPO, meglio chiariti anche dalle Linee guida ufficiali dei Garanti privacy: non si sente il bisogno, a nostro avviso, di sub-regolamentazioni nazionali in materia che, peraltro, rischierebbero facilmente di risultare incompatibili con il diritto della UE per contrasto o ripetitività. Contano le competenze sostanziali, non certo iscrizioni ad ennesimi albi o bollini di cui non sentiamo davvero il bisogno."

Ma se l'ipotesi di definire degli standard nazionali per certificare la figura del "Responsabile della protezione dei dati" (DPO) non trova il favore delle principali associazioni di riferimento, a breve la situazione potrebbe complicarsi ulteriormente a causa di una norma UNI in cantiere che tra gli obiettivi ha anche quello di definire gli standard per il DPO, come osserva ancora Nicola Bernardi:

"Benché quello di UNI sia partito come un progetto interessante, l'intenzione di voler normare il DPO ha poi suscitato molte perplessità, inducendo la nostra associazione ad esprimente il proprio dissenso. Successivamente, in fase di inchiesta pubblica sono piovuti decine di commenti negativi da parte di enti e grandi aziende italiane, e queste critiche si sono riverberate con un'altra ondata di e-mail e telefonate che abbiamo ricevuto direttamente. E' evidente quindi che l'eventuale pubblicazione di questa norma così come è fatta non soddisferebbe le reali esigenze delle imprese e delle p.a. che rientrano nell'obbligo di designazione del data protection officer, e neppure incontrerebbe il reale consenso degli stakeholder".

Quindi, se già oggi è difficile orientarsi sui criteri da utilizzare per scegliere il data protection officer, un'eventuale norma nazionale per certificare tale figura potrebbe finire per confondere ancora di più le idee ad aziende e pubbliche amministrazioni.

 


maggiori informazioni su:
www.federprivacy.it



pagina precedente

Una miniguida per aiutare a capire gli aspetti principali a muovere i primi passi nel mondo Privacy.

Acquistala ora a soli 8,00 Euro
Ethos Academy

Linea diretta con l'esperto di privacy

Per i professionisti della videosorveglianza

Vi sveliamo i segreti della privacy rispondendo alle vostre domande.
Videosorveglianza e Privacy: un tema scottante che alimenta dubbi e incertezze tra i professionisti della sicurezza.
Un servizio online come opportunità di ulteriore informazione, con espoerti che danno risposte complete su riferimenti normativi.

Scopri Helpdesk