Una delle grandi novità del GDPR che, il 25 maggio è diventato applicabile in tutti gli Stati membri (il Codice Privacy italiano rimarrà in vigore per quelle parti che non sono in contrasto con il GDPR), è l’obbligo, nei casi previsti dall’art. 37 del Regolamento Europeo di inserire un Data Protection Officer (DPO), figura intorno alla quale, ancora oggi, molti sono gli interrogativi rispetto a competenze e requisiti. Una tra le diatribe più frequenti è quella relativa alla necessità o meno di certificazione.
Il Regolamento Europeo definisce il DPO come: “un esperto che deve essere in grado di fornire consulenza al management aziendale circa le prescrizioni della legge sulla protezione dei dati personali, sorvegliando poi che esse siano correttamente applicate, fungendo inoltre da punto di contatto con l’Autorità per la privacy e con gli interessati”.
Compito consultivo e di controllo
Persona fisica interna all’azienda o consulente o ancora società esterna di consulenza, il DPO avrà un compito consultivo e di controllo a supporto del titolare e del responsabile del trattamento dei dati per garantire la conformità dell’organizzazione, una posizione molto simile a quella dell’Organismo di Vigilanza ex d.lgs. 231/01. Si richiede al DPO quindi di possedere un’adeguata conoscenza della normativa, degli aspetti gestionali e tecnici della sicurezza dei dati e adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse; in sintesi un ruolo molto complesso con conoscenze e competenze molto ampie.
Il profilo professionale del DPO
In questo scenario si inseriscono i lavori che hanno portato all’approvazione e pubblicazione della Norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza” che, nell’appendice B, in relazione alla figura del DPO, richiede in modo specifico al professionista: una laurea, un corso di almeno 80 ore su “Gestione della Privacy e Sicurezza delle Informazioni” con attestazione finale e minimo 6 anni di esperienza lavorativa legata alla privacy di cui almeno 4 anni in incarichi manageriali (gli anni possono diminuire o aumentare in funzione del titolo di studio – laurea magistrale o diploma).
Le finalità della normativa UNI 11697:2017
La finalità della norma UNI è quella di assicurare che “determinate figure professionali possiedano, mantengano e migliorino nel tempo la necessaria competenza”.
Si potrebbe dire che in Italia è stato fatto un passo in più: partendo dal GDPR, è stata redatta una norma tecnica volontaria con la quale vengono definiti i requisiti relativi ai professionisti che opereranno nell’ambito del trattamento e della protezione dei dati personali, tra cui, in conformità agli articoli 37, 38 e 39 del Regolamento, anche i requisiti del DPO.
Quindi, mentre il Regolamento Europeo ha delineato in generale, ma in maniera obbligatoria, requisiti, competenze, conoscenze e qualità del DPO, la normativa UNI 11697:2017 con carattere volontario, li ha ulteriormente dettagliati a favore di quei professionisti che vorranno scegliere la certificazione quale ulteriore garanzia della propria professionalità.
In tutto questo agli enti di formazione si chiede di rimanere focalizzati sul proprio ruolo e missione, ossia quello di preparare gli allievi a svolgere nel migliore modo possibile la professione e a superare gli esami a cui sceglieranno di sottoporsi liberamente, mantenendo la propria indipendenza e ovviamente distinzione da quegli enti che invece si occupano di certificazione.
Certificazione, opportunità e garanzia per i DPO
Concluderei queste considerazioni dicendo che, da professionisti della formazione, riteniamo che proprio il carattere di volontarietà della certificazione di ente terzo rappresenti un’opportunità per quei professionisti che desiderano assicurare un importante elemento di garanzia al proprio profilo e per le aziende che devono scegliere un professionista cui affidarsi.
In quest’ottica quindi la proposta di corsi di alta formazione professionale, strutturati su un numero minimo di 80 ore, utili quindi a potersi successivamente certificare, risulta essere per noi una risposta conforme ad una richiesta di etica e serietà di un Paese, di professionisti e di imprenditori che manifestano spesso il desiderio di propendere per una via ritenuta qualitativamente più sicura. Ma sempre di libera scelta si tratta.
Gdpr, ecco le vere funzioni del DPO: “attenti, non è un mestiere”
