Dovrebbe essere in dirittura finale lo schema per la certificazione unificata per la professione dei Data Protection Officer (DPO), dopo oltre un anno di lavori del tavolo degli esperti UNI INFO, al quale hanno partecipato prestigiosi avvocati di rilievo nazionale ed altri giuristi e tecnici del settore specifico.
Il progetto di norma tecnica UNI/UNINFO “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza abilità e competenza” (codice progetto E14D00036), che definisce i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali, dovrebbe essere cosa fatta, ma non si può non sottolineare come la previsione da parte del regolamento Europeo 675/2016 UE non dia luogo a perplessità sull’opportunità della “norma tecnica” in quanto pur trattandosi di una professione “non regolamentata” la figura dei DPO sarà una figura importantissima dal prossimo anno 2018, poiché, questo nuovo professionista, dovrà muoversi, con ampie responsabilità, nel campo della Pubblica Amministrazione e di tutte le strutture produttive del Paese.
Occorre, quindi, più che una norma tecnica, con urgenza, una normativa giuridicamente strutturata con la necessità, in capo al Ministero della Giustizia, della tenuta di un elenco dei DPO accreditati sulla base del loro percorso giuridico e formativo e di un coevo accreditamento, da parte di Enti di Formazione, nell’ambito dei nuovi strumenti della tecnologia in modo da avere una figura certificata di questo nuovo professionista con competenze sia giuridiche che informatiche che di esperienza del funzionamento della Pubblica Amministrazione e delle Aziende private.
Le norme tecniche, di prossimo varo, mirano, invece, all’obiettivo residuale di dare una serie di regole comuni condivise, onde aiutare un mercato già popolato da iniziative proprietarie, nessuna delle quali qualificante delle prestazioni professionali sulla base della legge n°4 del 2013. Tuttavia, si ritiene, a ben analizzare, che è proprio di ciò che si segnala come un pericolo – vale a dire le iniziative proprietarie della professione che mirano quasi a creare un copyright ossia un diritto di copia ovvero, nella versione di common law, un diritto d’autore, della nuova professionalità – la norma tecnica rischia di fare da battistrada, laddove, invece, una disciplina codificata Ministeriale, sia pure nell’ambito di codici di condotta e di autonomia autoregolamentare potrebbe eliminare, in radice, tali pericoli.
La norma tecnica, tuttavia ad oggi è solo qualcosa, in luogo del nulla ed è il frutto di una collaborazione tra esperti legali ed esperti di ICT provenienti da varie commissioni UNI – ICT. Recepisce pienamente – ma non esaustivamente – non solo le disposizioni in materia del Regolamento UE 2016/679 ma anche tutte le più recenti indicazioni fornite dal WP 29 andando a mettere insieme le conoscenze delle diverse componenti di maggior rilievo delle norme di legge applicabili e quelle dei sistemi informativi, nonché delle tecniche di protezione e sicurezza.
La norma già riconosciuta a livello europeo e nazionale – EQF ed e-CF, UNI 11506 e 11621 – è stata definita un insieme “minimo” di profili professionali che, assieme ad una figura di DPO allineata alla lettera ai dettami del nuovo Regolamento UE 2016/679, include una figura di taglio manageriale, una figura di tipo operativo e una figura di valutatore esterno, pur tuttavia restando carente laddove omette di considerare che il DPO potrà essere una figura esterna ma anche interna alla Pubblica Amministrazione. Il che presuppone percorsi di formazione iniziale e continua che potranno essere solo in capo al Ministero della Giustizia o al Dipartimento della Funzione Pubblica, ovvero da parte di Enti di Formazione da quest’ultimi certificati ed autorizzati giammai da quelli ex legge n°4 del 2013. Solo a queste condizioni l’Italia potrà essere il primo paese a dotarsi di uno schema nazionale a livello europeo e potrà riproporlo a livello europeo, proponendosi in materia di servizi connessi all’ITC come treno ad alta velocità e non treno merci.
Ed è proprio in vista di quest’ultima necessità che si pone, quindi, la problematica della formazione dei soggetti che potranno candidarsi ad esercitare la professione di Data Protection Officer. La platea di riferimento è sicuramente quella dei giuristi, in particolare quelli degli avvocati, ma anche dei commercialisti, dei sociologi e della comunicazione, per le questioni che attengono alle problematiche della gestione del Bilancio e delle politiche sociali dei vari Enti. Tuttavia, come si è avuto modo già di precisare in altre sedi occorrono anche competenze informatiche sicché non è difficile immaginare associazioni temporanee di professionisti, per la fornitura del relativo servizio di DPO per imprese e Pubbliche Amministrazioni.
Quest’ultima prospettiva si palesa, poi, come immediatamente prossima, attesa la recente enunciazione a livello europeo e nazionale della parificazione dei professionisti alle piccole imprese, per il momento solo per l’accesso ai fondi professionali del Fondo Sociale Europeo, la qual cosa comporta che una breccia si insinui nella concezione di intoccabilità delle professioni, e quindi si potranno ripensare le professioni come attività di piccola impresa, per andare così spediti verso quella liberalizzazione del mercato interno che è uno dei pilastri portanti dell’Ue.