28/11/2018: La grande richiesta di responsabili della protezione dei dati personali, oggi sostenuta dalle indicazioni del regolamento generale europeo, trova difficoltà ad essere soddisfatta.
Come scegliere il responsabile della protezione dei dati personali?
Il regolamento generale europeo in materia di protezione dei dati personali, entrato in vigore il 25 maggio 2016, è stato finalmente e pienamente recepito in Italia con il decreto legislativo 101/2018, che ha aggiornato il precedente decreto legislativo 196 / 2003. Il nuovo regolamento impone a tutta una serie di titolari del trattamento, in particolare tutte le amministrazioni pubbliche e tutti i titolari, che trattano dati aventi carattere di particolari criticità, di fare riferimento ad un responsabile della protezione dei dati, vale a dire un professionista che possa aiutare il titolare stesso ad adempiere puntualmente ai dettati del regolamento.
![Creative Commons License]()
Questo articolo è pubblicato sotto una Licenza Creative Commons.
Mentre all’estero questa figura è nota ormai da molti anni, e quindi vi è un’offerta qualificata ed allargata, in Italia il profilo è completamente sconosciuto ed ecco la ragione per la quale i titolari, che hanno bisogno di designare questo responsabile, si sono trovati e tuttora si trovano in gravi difficoltà.
Non solo l’offerta è relativamente ridotta, ma vi sono difficoltà nel verificare la idoneità e professionalità di un eventuale candidato a svolgere questo ruolo particolarmente delicato.
La nostra autorità Garante ha mantenuto per ora un atteggiamento di distacco, raccomandando bensì a tutti i titolari di prestare grande attenzione in fase di selezione del responsabile della protezione dei dati, ma senza ad oggi dare indicazioni concrete circa le modalità con cui un titolare può scegliere un soggetto avente oggettive qualifiche professionali.
Assai meno distaccato è l’atteggiamento del supervisore europeo per la protezione dei dati, Giovanni Buttarelli, che conosce benissimo l’Italia per essere stato per molti anni segretario generale dell’autorità Garante.
In una recente intervista, che riporto in allegato, egli si esprime con grande chiarezza e invita tutti i titolari ad assumere un atteggiamento estremamente prudenziale nel selezionare un candidato alla carica di responsabile della protezione dei dati personali.
Pubblicità
 | Il software completo per la gestione della protezione dei dati personali (privacy) ai sensi del GDPR 2016/679. |
Ricordo che nelle 2017 l’UNI ha approvato la norma UNI 11697:2017, che prende specificamente in considerazione questo profilo professionale. Ricordo altresì ai lettori che la fornitura di un bene o la prestazione di un servizio, in conformità ad una norma UNI, EN o ISO, costituisce un’obbligazione contrattuale soddisfatta a regola d’arte, secondo quanto afferma il codice civile.
Appare pertanto evidente che la selezione di un candidato al ruolo di responsabile della protezione dei dati, che dichiari che il suo profilo professionale è conforme a questa norma, o meglio ancora possa essere certificato da un ente di certificazione, rappresenta un comportamento che da piena garanzia delle capacità di questo soggetto.
Con l’occasione, ricordo che la norma in questione è stata elaborata secondo lo schema europeo EQF – European Qualification framework, che prende in considerazione, per ogni profilo professionale, parametri di conoscenza, esperienza e competenza. Il tutto deve essere avvalorato dal superamento di un esame specifico.
L’istituto nazionale di accreditamento, Accredia, ha già emesso un documento che indica in dettaglio come questo esame specifico deve essere svolto. Un requisito fondamentale, oltre evidentemente alla esperienza già maturata in precedenza dal soggetto coinvolto, riguarda il superamento di un corso di formazione di almeno 80 ore. Di conseguenza, qualsiasi corso di formazione, quali che siano i suoi contenuti, di durata inferiore alle 80 ore non permetterebbe all’allievo di rispettare il requisito cogente della norma.
La norma ha attirato grande attenzione anche all’estero, tant’è vero che UNI sta adesso provvedendo alla traduzione in lingua inglese, perché il testo possa essere messo a disposizione anche di altri paesi europei, che già non dispongano di una propria normativa nazionale.
Quanto esposto in precedenza non modifica in nulla il fatto che un soggetto può avere un coacervo di esperienze, formazioni e competenze, che gli permettano di svolgere con piena validità il ruolo di responsabile della protezione dei dati. In questo secondo caso, tuttavia, la responsabilità di valutare questi requisiti è in capo al titolare, che potrebbe non avere i titoli per effettuare una valutazione approfondita del candidato.
Per contro, il fatto che un ente di certificazione terzo, che ha esaminato il candidato secondo lo schema di esame previsto da Accredia, dichiari che questo candidato ha tutti gli appropriati titoli, rappresenta un’indubbia garanzia per il titolare, a fronte di una possibile responsabilità per culpa in eligendo.
La lucidità dell’inquadramento di questa delicata situazione, secondo le parole di Giovanni Buttarelli, merita che il testo della sua intervista venga messo a disposizione dei lettori.
Leggi l'intervista (pdf)
Adalberto Biasiotti
Questo articolo è pubblicato sotto una Licenza Creative Commons.Hai qualcosa da dire su questo articolo? Aggiungi ora il tuo commento
Ad oggi, nessun commento è ancora stato inserito.
