Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'
stampa articolo  esporta articolo in PDF

Mamma mia, quanti responsabili della protezione dei dati!

Mamma mia, quanti responsabili della protezione dei dati!
Adalberto Biasiotti
 Adalberto Biasiotti
 Privacy
16/07/2018: L’autorità Garante per la protezione dei dati ha recentemente annunciato di aver ricevuto più di 35.000 segnalazioni di designazione di responsabile della protezione dei dati, da parte di vari titolari.

Il lettore forse ricorderà che un anno fa circa una agenzia specializzata nel reperimento di responsabili della protezione dei dati, operante da anni in tutta Europa, ha sviluppato un’analisi sulle esigenze numeriche dei vari paesi. Per il nostro paese, era stato individuato in 7300 il numero dei responsabili della protezione dei dati, che potevano essere necessari per soddisfare le esigenze poste dal regolamento generale.

 

I lettori certamente potrebbero domandarsi come questa analisi, effettuata da una agenzia specializzata e con lunga esperienza, può conciliarsi con il numero delle segnalazioni ricevute dall’autorità Garante.

 

Una prima risposta, abbastanza intuitiva, è legata al fatto che la stessa persona fisica può fungere da responsabile della protezione dei dati per una moltitudine di titolari. Nell’esperienza diretta di chi scrive, vi sono parecchi responsabili della protezione dei dati che prestano la loro assistenza a 10 o 20 diversi titolari. Se quindi applichiamo un fattore moltiplicativo, il dato di 7300 responsabili potrebbe essere del tutto compatibile con le 35.000 segnalazioni, assumendo che ogni responsabile presti la sua assistenza per almeno cinque titolari.

 

A questo punto passiamo ad esaminare il profilo professionale di questi responsabili della protezione dei dati, che tali evidentemente si sono dichiarati, nei confronti del titolare, che ha accolto la loro proposta e li ha formalmente designati.

 

Il Garante ha più volte rammentato, correttamente, che la responsabilità di scegliere un idoneo responsabile compete al titolare. È il titolare che deve sviluppare una indagine, più o meno accurata, per verificare se i titoli e le qualificazioni presentate dal responsabile, che si è offerto di aiutarlo, siano soddisfacenti.

 

Pubblicità
Blumatica GDPR: Account Base - Canone 12 mesi
Il software completo per la gestione della protezione dei dati personali (privacy) ai sensi del GDPR 2016/679.
 

Se il titolare non compie questa indagine, oppure compie un’indagine superficiale, se in futuro si verificheranno dei problemi, potrà certamente essere ritenuto responsabile di “culpa in eligendo”.

Ecco la ragione per la quale è indispensabile che il titolare effettui un approfondito accertamento sui titoli che vengono presentati da chi si propone come responsabile della protezione dei dati.

Ricordando ancora una volta a tutti i lettori che il codice civile afferma che una prestazione od un bene, forniti in conformità a una norma UNI o EN, è automaticamente a regola d’arte, appare evidente che la prima scelta del titolare dovrebbe orientarsi su persone fisiche, che dichiarino di avere sviluppato un percorso di esperienza, conoscenza e competenza, conforme alla vigente norma UNI 11697:2017.

 

A questo punto però si possono presentare due alternative, in funzione del fatto che il responsabile dichiari la sua conformità a questo profilo professionale, oppure la sua conformità venga certificata da un ente terzo. In questo caso è evidente che la credibilità del profilo professionale di questo soggetto è grandemente aumentata.

 

La faccenda si fa un poco più complessa, se andiamo ad esaminare le modalità con cui l’istituto di certificazione ha verificato i requisiti di esperienza, conoscenza e competenza, previsti dalla norma.

 

A questo proposito, è venuta in soccorso una circolare di Accredia, l’ente italiano di accreditamento, che ha indicato puntualmente come deve essere impostato e realizzato il processo di accertamento. Esso prevede un esame scritto con la sottoposizione di un questionario di 40 domande, a risposta chiusa e multipla, seguito da un esame scritto afferente a tre scenari ed infine con un colloquio orale con il candidato.

 

Se il processo di accertamento non è stato realizzato in conformità a questo schema, il soggetto in questione potrà essere sì certificato, ma il processo di certificazione non potrà essere accreditato.

 

A questo punto ci si potrebbe chiedere se l’unico percorso accessibile ad un candidato alla carica di responsabile di protezione dei dati sia la certificazione secondo la norma in questione.

Certamente così non è, perché è possibile sviluppare altri schemi di certificazione, i cosiddetti schemi proprietari, e che quindi non fanno riferimento a norme UNI, che potrebbero egualmente portare ad una certificazione.

 

Attenzione: ad una certificazione, ma non ad un accreditamento della certificazione, perché ad oggi l’unico percorso di accreditamento riconosciuto da Accredia è quello riferito alla norma UNI.

Accredia ha comunque il potere di accreditare anche altri schemi proprietari, a condizione che essi siano stati sviluppati da un comitato, nel quale siano stati presenti tutti i soggetti potenzialmente coinvolti nello sviluppo dell’applicazione dello schema proprietario, chiamati correntemente “stakeholder”. Occorre inoltre vedere se il testo dello schema proprietario sia perfettamente rispondente alle puntuali indicazioni del regolamento generale europeo.

 

Se si verificano queste condizioni, con ogni probabilità Accredia potrebbe, in un futuro più o meno vicino, accreditare anche schemi proprietari di certificazione di questa qualifica professionale.

Appare comunque evidente che l’elemento principale di riferimento, per altre valutazioni, sia la norma sopra indicata, che ad esempio impone un percorso formativo debitamente qualificato della durata minima di 80 ore. Forse questa è la ragione per la quale tempo addietro l’autorità Garante ebbe a chiarire, senza mezzi termini, che non è certo in una settimana di corso che una persona fisica potrebbe acquisire conoscenze sufficienti, per soddisfare i requisiti minimi di conoscenza per un responsabile della protezione dei dati.

 

Alla luce delle indicazioni sopra offerte, il numero di persone che potrebbero oggettivamente essere riconosciute come responsabili della protezione dati personali, sommando lo schema conforme alla norma UNI ed altri eventuali schemi proprietari, è certamente lontanissimo dal numero di responsabili di cui l’Italia ha bisogno, in quanto, sulla base di una umile valutazione di chi scrive, si potrà attestare ad oggi solo su alcune centinaia di persone.

 

E tutte le altre come vengono fuori?

Ancora una volta, ripeto che chiunque si può presentare ad un titolare dichiarando di avere l’esperienza, la conoscenza e la competenza per auto-dichiararsi responsabile della protezione dei dati. Chi scrive ha avuto occasione di incontrare più di una volta dei soggetti, che si dichiaravano certificati secondo lo schema DSFDM, acronimo ormai ben noto, che corrisponde allo schema “Dottore, si fidi di me!”.

 

La situazione potrà certamente diventare più chiara quando verrà approvato lo schema di decreto legislativo di attuazione del regolamento generale, presentato dal governo e già esaminato dall’autorità Garante. Tale schema di decreto deve passare ancora all’esame del parlamento e poi il governo sarà in grado di pubblicarlo formalmente.

Nello schema di tale decreto, è già riportato esplicitamente il seguente articolo, che dubito potrà essere modificato dopo le osservazioni delle varie autorità coinvolte:

 

Art. 2-quinquiesdecies (Organismo nazionale di accreditamento)

l. L'organismo nazionale di accreditamento di cui all'articolo 43, paragrafo l, lettera b), del Regolamento è l'Ente unico nazionale di accreditamento, istituito ai sensi del regolamento (CE) n. 76512008, del Parlamento europeo e del Consiglio, del 9 luglio 2008, fatto salvo il potere del Garante di assumere direttamente l'esercizio di tali funzioni con riferimento a una o più categorie di trattamenti.".

 

Ciò significa che l’autorità Garante riconoscerà, salvo eccezioni, Accredia come organismo nazionale di accreditamento e quindi gli schemi da Accredia validati saranno pienamente rispondenti alle esigenze anche del più acribico titolare.

 

 

Resterà comunque salva la facoltà di qualsiasi titolare di designare qualsiasi responsabile, assumendosene però la piena responsabilità in termini di verifica di esperienza, conoscenza e competenza.

 

 

Adalberto Biasiotti

 

 



Creative Commons License Questo articolo è pubblicato sotto una Licenza Creative Commons.

Hai qualcosa da dire su questo articolo? Aggiungi ora il tuo commento


Ad oggi, nessun commento è ancora stato inserito.
Nome e cognome: (obbligatorio)
Email (se vuoi ricevere l'avviso di altri commenti)
Inserisci il tuo commento:(obbligatorio)

Leggi anche altri articoli sullo stesso argomento:

Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'
Forum di PuntoSicuro Entra

FORUM

Quesiti? Proponili nel FORUM!