(Firenze, 17 gennaio 2018) – Cambiano le regole della privacy con il Regolamento UE 2016/679, e entro il 25 maggio 2018 tutte le pubbliche amministrazioni e tutte le aziende che monitorano gli utenti in modo regolare e sistematico o che trattano dati sensibili su larga scala dovranno essersi dotate di un ‘responsabile della protezione dei dati – , che ai sensi dell’art.37 del nuovo testo deve essere ‘designato in funzione delle qualita’ professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati – .

Conosciuto anche con il termine anglofono “data protection officer“, si tratta quindi di un esperto che deve essere in grado di fornire consulenza al management aziendale circa le prescrizioni della legge sulla protezione dei dati personali, sorvegliando poi che essa sia correttamente applicata, fungendo inoltre da punto di contatto con l’Autorita’ per la privacy e con gli interessati.

Nonostante il Garante abbia a piu’ riprese chiarito che non esistono titoli obbligatori o abilitazioni per svolgere questo ruolo, con l’avvicinarsi della scadenza sono comunque proliferati numerosi ‘corsi abilitanti – , proposti come tali anche da parte di noti istituti universitari, ed e’ stata pure pubblicata una norma UNI che si e’ presa la briga di rendere certificabile la figura del data protection officer, inducendo cosi’ migliaia di imprese e professionisti non correttamente informati a concludere che certe attestazioni formali possano determinare l’idoneita’ di un professionista a svolgere questo ruolo, fuorviando quindi dalle indicazioni fornite dall’Authority.

Se e’ pur vero che corsi di specializzazione erogati da atenei ed altri enti di formazione, cosi’ come le certificazioni delle competenze rilasciate da organismi di terza parte, rappresentano strumenti utili per valutare il livello di preparazione dei candidati, d’altra parte se questi vengono presentati come una sorta di ‘patente – di data protection officer, la questione diventa imbarazzante e assume una gravita’ notevole.

E come se il Regolamento Europeo non richiedesse gia’ conoscenze specialistiche e capacita’ sufficientemente elevate al soggetto che deve rivestire il ruolo di data protection officer, la Norma UNI 11697:2017 di recente pubblicata dall’Ente Italiano di Normazione ha addirittura disegnato il profilo di una vera e propria figura professionale, prendendosi la liberta’ di arricchirla a propria discrezione con una serie di skills e competenze informatiche che non compaiono affatto trai requisiti richiesti dalla legge, e che di fatto confondono ancor di piu’ le idee a chi ha il compito di chi deve gestire la selezione dei candidati.

Fortunatamente, la norma in questione e’ un documento tecnico di carattere volontario e non prescrittivo come lo e’ invece il Regolamento UE, per cui potrebbe risultare utile e diventare un punto di riferimento per imprese e professionisti solo se il contenuto fornisse delle buone prassi pienamente armonizzate alla legge, e soprattutto se queste fossero effettivamente condivise ed accettate dai principali attori del mercato, comprese le associazioni rappresentative delle categorie professionali direttamente interessate.

Ciononostante, a quatto mesi dalla scadenza per designare il data protection officer, il quadro attuale delinea cosi’ una notevole confusione tra pubbliche amministrazioni ed aziende che ricadono nell’obbligo, ma la scelta del candidato adeguato puo’ e deve avvenire solo in base all’effettivo possesso delle competenze richieste dal Regolamento UE 2016/79, e non in virtu’ di qualche titolo formale.

Nicola Bernardi, Presidente di Federprivacy – @Nicola_Bernardi

(Immediapress – Adnkronos
Immediapress e’ un servizio di diffusione di comunicati stampa in testo originale redatto direttamente dall’ente che lo emette. Padovanews non e’ responsabile per i contenuti dei comunicati trasmessi.)