Come scegliere il responsabile della protezione dei dati personali

Pubblicità

Con un recente provvedimento l’autorità Garante ha dato indicazioni ai titolari e responsabili del trattamento, circa le modalità con le quali esse potranno scegliere, e prima lo faranno meglio sarà, un responsabile della protezione dei dati.

Il nuovo regolamento generale europeo 679/2016, che è già in vigore ma che soppianterà del tutto precedenti disposizioni legislative alla mezzanotte del 24 maggio 2018, prevede che questa figura professionale debba essere individuata da tutti i titolari del trattamento, che svolgono trattamenti ad alto rischio. Cosa significhi alto rischio è stato meglio definito in un autorevole parere  dell’articolo 29 working party dell’unione europea.

Il regolamento prevede inoltre che l’obbligo di designare un responsabile della protezione dei dati sussista per tutti i titolari di trattamento che svolgano attività pubbliche o assimilate ad attività pubbliche.

Pertanto tutte le amministrazioni comunali, provinciali e regionali dovranno designare un responsabile della protezione dei dati, ma dovranno anche designarlo le aziende che gestiscono la rete autostradale, la rete ferroviaria, la rete elettrica e tante altre attività che, per la loro particolare rischiosità, rientrano nell’ambito di trattamenti che hanno bisogno del supporto di questo particolare soggetto.

È bene ricordare ai lettori che il problema della scelta del responsabile della protezione dei dati non si pone in molti paesi europei, perché questa figura, assolutamente ignota in Italia, è invece regolarmente in funzione da molti anni in numerosi altri paesi.

Il documento dell’autorità Garante chiarisce che rientra nella responsabilità del titolare del trattamento esaminare il profilo personale, professionale e di competenze di un candidato al ruolo di responsabile della protezione dei dati personali.

Purtroppo questo suggerimento presenta una grave debolezza, laddove ben difficilmente il titolare del trattamento avrà le competenze e le conoscenze sufficienti, per valutare correttamente il profilo di un aspirante responsabile della protezione dei dati.

Il titolare del trattamento ha la responsabilità della scelta, ma purtroppo non ha, almeno in moltissimi casi, la competenza per effettuare tale scelta con saggezza.

Ecco dove viene in soccorso l’attività che è stata svolta, con notevole impegno di tutti i partecipanti, da parte del comitato tecnico UNI, in collaborazione con UNINFO, che ha sviluppato una bozza di norma, secondo lo schema europeo EQF-European qualification framework.

Ricordo ai lettori che una norma, sviluppata secondo lo schema EQF, conferisce un oggettivo livello di professionalità a chi si dichiara conforme a questa norma od è certificato in conformità questa norma.

L’Unione Europea ha sentito il bisogno di emanare questa linea guida sulle modalità di sviluppo di una norma conforme a EQF, perché in tutta Europa si è manifestato il problema di valutare oggettivamente la professionalità di soggetti, che non facevano parte di professioni ordinistiche.

Le professioni ordinistiche sono, ad esempio, quelle degli ingegneri, degli architetti, degli avvocati, dei medici e via dicendo. Per contro, un responsabile della sicurezza anticrimine di un’azienda non è inquadrato in una professione ordinistica e si ha quindi bisogno di un documento, che permetta di valutare oggettivamente le sue competenze. È proprio questo il motivo per cui l’Europa ha pubblicato lo schema EQF, che viene utilizzato dai comitati tecnici dei vari paesi europei per sviluppare normative specifiche, afferenti a professione non ordinistiche, come ad esempio un professionista della security, un fotografo, un amministratore di condominio, un serraturiere e simili.

È proprio su questo scenario che si è mosso il comitato tecnico congiunto UNI-UNINFO, che ha sviluppato la proposta di norma, attualmente all’esame della commissione tecnica centrale UNI.

Un titolare del trattamento, che ha la responsabilità, ma non le competenze, per scegliere un idoneo responsabile della protezione dei dati, trova quindi un preziosissimo aiuto in questa norma, perché essa gli offre la garanzia che il soggetto, conforme a tale norma o certificato secondo tale norma, gode di caratteristiche di conoscenze e competenze soddisfacenti.

Il fatto poi che la norma sia pubblicata da UNI offre a questa norma un’ulteriore validità, che altre norme, elaborate secondo altri schemi, non hanno.

Ricordo a tutti i lettori che, per definizione del codice civile, ciò che è fatto in conformità a una norma UNI od una norma europea è automaticamente fatto a regola d’arte. Se ciò vale per un impianto, a maggior ragione varrà per una professione.

Le future attività ed i futuri interventi dell’autorità Garante non riguarderanno pertanto il fatto che la norma sia o meno fatta bene, perché il fatto che venga pubblicata come norma UNI garantisce ad essa automaticamente una valenza oggettiva.

Piuttosto, come già fatto dal ministero dell’interno, l’attività del Garante si concentrerà sullo studio e sull’elaborazione di procedure, che permettano di qualificare gli enti di certificazione, che dovranno eventualmente confermare che un determinato soggetto fisico abbia le competenze e le conoscenze richieste per essere certificato in conformità alla norma.

Raccomando pertanto ai lettori di studiare attentamente le modalità con cui il ministero dell’interno ha recepito le normative italiane, afferenti all’attività di vigilanza privata, e le normative europee, afferenti alla progettazione e realizzazione di sale operative di ricezione allarmi, perché non dubito che lo schema che potrà essere attuato dall’autorità Garante in materia di protezione dati personali potrà ripercorrere, in molti punti, il percorso già fatto dal ministero dell’interno ed oggi in vigore.

Adalberto Biasiotti

Questo articolo è pubblicato sotto una Licenza Creative Commons.