A pochi mesi dalla scadenza per la nomina del Data Protection Officer, il Garante per la Privacy ha chiarito che non ci sono titoli formali obbligatori per svolgere questo ruolo, nonostante la diffusione di corsi abilitanti e norme tecniche che sostengono di poterne certificare la figura professionale.
Ciò sta ingenerando ampia confusione tra aziende e pubbliche amministrazioni che devono scegliere il giusto candidato.
Il Garante ha pubblicato due comunicati che sottolineano come per svolgere la funzione di RPD (DPO) il possesso di una specifica certificazione non deve essere considerato come abilitazione all’esercizio di tale ruolo e che spetta al titolare e al responsabile valutare il possesso dei requisiti professionali richiesti dal regolamento.
Vediamoli
1) Comunicato del 18 luglio 2017
ACCREDIA e il Garante per la protezione dei dati personali ritengono necessario sottolineare – al fine di indirizzare correttamente le attività svolte dai soggetti a vario titolo interessati in questo ambito – che al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi “conformi agli artt. 42 e 43 del regolamento 2016/679”, poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione.
2) Comunicato del 28/12/2017
“….Quanto ai requisiti necessari per svolgere la funzione di RPD il Garante chiarisce ancora una volta che il possesso di una specifica certificazione non deve essere considerato come abilitazione all’esercizio di tale ruolo e che spetta al titolare e al responsabile valutare il possesso dei requisiti professionali richiesti dal regolamento.…”
A generare confusione, come correttamente sottolinea in un recente articolo il presidente di Federprivacy Nicola Bernardi, è la pubblicazione perfino di una norma UNI 11697:2017 ….. che si è presa la briga di rendere certificabile la figura del data protection officer, inducendo così migliaia di imprese e professionisti non correttamente informati a concludere che certe attestazioni formali possano determinare l’idoneità di un professionista a svolgere questo ruolo, fuorviando quindi dalle indicazioni fornite dall’Authority….la norma in questione è un documento tecnico di carattere volontario e non prescrittivo come lo è invece il Regolamento UE…
Speriamo di avere fatto chiarezza ed aiutato i professionisti e le aziende a non “cadere” in errore ….
Dr. Matteo Rapparini