In allegato a questo articolo i lettori trovano un ponderoso documento, pubblicato in più lingue, che cerca di inquadrare, a livello europeo, i ruoli, le responsabilità e gli aspetti contrattuali che permettono di impostare in modo corretto il rapporto fra un titolare, un responsabile del trattamento e un responsabile della protezione dei dati.
Soprattutto la parte che riguarda la contrattualistica e l’analisi acribica delle attività che dovrebbero essere svolta dal responsabile della protezione dei dati rappresenta una lettura pressoché obbligatoria, per ogni titolare.
Grazie ad essa, infatti, è possibile impostare in modo corretto il contratto che lega il titolare al responsabile, definendo le competenze e responsabilità specifiche.
A fronte di questo giudizio complessivamente assai positivo su questo documento, mi corre però l’obbligo di mettere in evidenza alcune carenze, che, ove affrontate tempestivamente, avrebbero certamente potuto arricchire ulteriormente questo documento.
Tanto per cominciare, ricordo ai lettori che il responsabile della protezione dati è un profilo professionale relativamente nuovo nel contesto delle autorità Garanti nazionali europee, ma esiste da moltissimo tempo nel contesto delle istituzioni europee.
 | Corso online di formazione per Persone autorizzate al trattamento dei dati personali - Regolamento Europeo (UE) 2016/679 - Integrazione digitale dei processi aziendali |
La prima menzione di un responsabile della protezione dei dati è infatti presente nel regolamento 45/2001, che stabilisce le modalità con le quali le istituzioni europee devono trattare dati personali.
Sulla base di questo regolamento, sono stati designati più di 200 responsabili della protezione dei dati, che operano nell’ambito delle istituzioni europee.
Un elenco completo di queste istituzioni con i nomi dei responsabili è facilmente reperibile su Internet.
La pubblicazione del nuovo regolamento generale 679 ha evidentemente costretto anche le istituzioni europee ha modificare il precedente regolamento, per allinearlo con le nuove disposizioni.
È nato così il regolamento 1725/2018, che ha allineato le modalità di trattamento di dati personali, nonché i profili professionali coinvolti, a livello delle istituzioni europee, con il nuovo regolamento generale.
Queste considerazioni sono fondamentali perché evidentemente l’analisi del profilo professionale e della contrattualistica relativa, in ambito di istituzioni europee, ha una storia che risale al 2001, mentre l’esperienza che stiamo solo adesso maturando a livello di paesi europei, ha poco meno di un anno di vita.
Se è vero che la storia è maestra di vita, come Cicerone già ci ricordava, non vedo perché gli estensori del documento sopra menzionato non abbiano analizzato attentamente come si è evoluto il ruolo di responsabile della protezione dei dati dal 2001 sino ad oggi.
È ben vero che l’operatività di questo responsabile si svolge in un contesto specifico, pari a dire l’assistenza alle istituzioni europee, ma posso assicurare il lettore che un’attenta lettura dei documenti soprammenzionati mostra numerosi preziosissimi spunti, che potrebbero essere ben recepiti in una contrattualistica a livello nazionale.
Ma non basta.
I già menzionati poco meno di 300 responsabili della protezione dei dati, che hanno cominciato a operare nel lontano 2001, hanno fondato già da allora un’associazione dei responsabili della protezione dei dati, che ha messo a punto un protocollo formativo di estremo interesse.
Appare evidente che lo studio di questo protocollo può essere prezioso per impostare un protocollo formativo per i nuovi e ben più giovani responsabili della protezione dei dati, che il regolamento europeo 679 ha introdotto in tutta Europa.
Ma non basta ancora.
I pur attenti estensori del documento allegato non hanno effettuato un’analisi approfondita circa l’esistenza di schemi normativi e certificativi, afferenti appunto al profilo professionale del responsabile della protezione dei dati.
Non solo non hanno menzionato il documento messo a punto dall’associazione dei responsabili della protezione dei dati, a livello istituzioni europee, ma neanche hanno menzionato la norma UNI 11697/2018, sviluppata in Italia e destinata proprio a definire, in piena conformità allo European Qualification framework, il profilo professionale di un responsabile della protezione dei dati.
Ricordo al proposito che lo European Qualification framework è stato sviluppato proprio per poter inquadrare correttamente i profili professionali afferenti ad attività non ordinistiche. La validità di questo EQF è estesa all’intera Europa.
A questa lacuna se ne aggiunge un’altra ancora più grave, legata al fatto che in Italia le disposizioni del codice civile prevedono che la fornitura di un bene o la prestazione di un servizio, in conformità a una norma italiana, europea o internazionale, costituisca di per sé garanzia di attività svolta in conformità alla regola d’arte.
È ben vero che questa disposizione del codice civile potrebbe non essere replicata nei codici civili di altre nazioni europee, ma almeno in Italia essa ha valore vincolante per la magistratura inquirente e giudicante.
La scelta quindi di un soggetto certificato in conformità con questa norma rappresenta una scelta che per definizione è fatta a regola d’arte e non è quindi contestabile ad alcun livello.
Semmai, le contestazioni potranno afferire al fatto che il soggetto certificato non si è comportato in conformità alle indicazioni della norma, ma questo è evidentemente tutto un altro argomento, che potrà essere verificato casomai solo a posteriori.
Chiudo questo commento, raccomandando ancora una volta ai lettori di leggere attentamente il documento allegato, dal quale potranno trarre molti spunti, che potranno essere usati soprattutto per la messa a punto della contrattualistica.
Raccomando però anche di fare attenzione al testo della traduzione in lingua italiana, che ogni tanto presenta qualche smagliatura!
Adalberto Biasiotti
