domenica, 25 febbraio 2018

Privacy

Privacy

Scelta del DPO, è caos tra "corsi abilitanti" e norme tecniche fuorvianti

22/01/2018

MILANO - A pochi mesi dalla scadenza per la nomina del Data Protection Officer, il Garante per la Privacy ha chiarito che non ci sono titoli formali obbligatori per svolgere questo ruolo, ma per il presidente di Federprivacy la diffusione di corsi abilitanti e norme tecniche che sostengono di poterne certificare la figura professionale stanno ingenerando ampia confusione tra aziende e pubbliche amministrazioni che devono scegliere il giusto candidato.

 

Cambiano le regole della privacy con il Regolamento UE 2016/679, e entro il 25 maggio 2018 tutte le pubbliche amministrazioni e tutte le aziende che monitorano gli utenti in modo regolare e sistematico o che trattano dati sensibili su larga scala dovranno essersi dotate di un “responsabile della protezione dei dati”, che ai sensi dell'art.37 del nuovo testo deve essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”.

 

Conosciuto anche con il termine anglofono "data protection officer", si tratta quindi di un esperto che deve essere in grado di fornire consulenza al management aziendale circa le prescrizioni della legge sulla protezione dei dati personali, sorvegliando poi che essa sia correttamente applicata, fungendo inoltre da punto di contatto con l'Autorità per la privacy e con gli interessati.

 

Nonostante il Garante abbia a più riprese chiarito che non esistono titoli obbligatori o abilitazioni per svolgere questo ruolo, con l'avvicinarsi della scadenza sono comunque proliferati numerosi “corsi abilitanti”, proposti come tali anche da parte di noti istituti universitari, ed è stata pure pubblicata una norma UNI che si è presa la briga di rendere certificabile la figura del data protection officer, inducendo così migliaia di imprese e professionisti non correttamente informati a concludere che certe attestazioni formali possano determinare l'idoneità di un professionista a svolgere questo ruolo, fuorviando quindi dalle indicazioni fornite dall'Authority.

 

Se è pur vero che corsi di specializzazione erogati da atenei ed altri enti di formazione, così come le certificazioni delle competenze rilasciate da organismi di terza parte, rappresentano strumenti utili per valutare il livello di preparazione dei candidati, d'altra parte se questi vengono presentati come una sorta di “patente” di data protection officer, la questione diventa imbarazzante e assume una gravità notevole.

E come se il Regolamento Europeo non richiedesse già conoscenze specialistiche e capacità sufficientemente elevate al soggetto che deve rivestire il ruolo di data protection officer, la Norma UNI 11697:2017 di recente pubblicata dall'Ente Italiano di Normazione ha addirittura disegnato il profilo di una vera e propria figura professionale, prendendosi la libertà di arricchirla a propria discrezione con una serie di skills e competenze informatiche che non compaiono affatto trai requisiti richiesti dalla legge, e che di fatto confondono ancor di più le idee a chi ha il compito di gestire la selezione dei candidati.

 

Fortunatamente, la norma in questione è un documento tecnico di carattere volontario e non prescrittivo come lo è invece il Regolamento UE, per cui potrebbe risultare utile e diventare un punto di riferimento per imprese e professionisti solo se il contenuto fornisse delle buone prassi pienamente armonizzate alla legge, e soprattutto se queste fossero effettivamente condivise ed accettate dai principali attori del mercato, comprese le associazioni rappresentative delle categorie professionali direttamente interessate.

 

Ciononostante, a quatto mesi dalla scadenza per designare il data protection officer, il quadro attuale delinea così una notevole confusione tra pubbliche amministrazioni e aziende che ricadono nell'obbligo, ma la scelta del candidato adeguato può e deve avvenire solo in base all'effettivo possesso delle competenze richieste dal Regolamento UE 2016/79, e non in virtù di qualche titolo formale.

Nicola Bernardi, Presidente di Federprivacy

 

Si può leggere il recente intervento del Garante privacy su questo tema al link che segue:

http://www.secsolution.com/notizia.asp?id=8776&c=4

 

 


maggiori informazioni su:
www.federprivacy.it



pagina precedente

Una miniguida per aiutare a capire gli aspetti principali a muovere i primi passi nel mondo Privacy.

Acquistala ora a soli 8,00 Euro
Ethos Academy

Linea diretta con l'esperto di privacy

Per i professionisti della videosorveglianza

Vi sveliamo i segreti della privacy rispondendo alle vostre domande.
Videosorveglianza e Privacy: un tema scottante che alimenta dubbi e incertezze tra i professionisti della sicurezza.
Un servizio online come opportunità di ulteriore informazione, con espoerti che danno risposte complete su riferimenti normativi.

Scopri Helpdesk