Scelta del DPO che caos…facciamo un pò di chiarezza

A pochi mesi dalla scadenza per la nomina del Data Protection Officer, il Garante per la Privacy ha chiarito che non ci sono titoli formali obbligatori per svolgere questo ruolo, nonostante la diffusione di corsi abilitanti e norme tecniche che sostengono di poterne certificare la figura professionale.

dpocorso

Ciò sta ingenerando ampia confusione tra aziende e pubbliche amministrazioni che devono scegliere il giusto candidato.

Il Garante ha pubblicato due comunicati che sottolineano come per svolgere la funzione di RPD (DPO) il possesso di una specifica certificazione non deve essere considerato come abilitazione all’esercizio di tale ruolo e che spetta al titolare e al responsabile valutare il possesso dei requisiti professionali richiesti dal regolamento.

Vediamoli
1) Comunicato del 18 luglio 2017
ACCREDIA   e   il   Garante   per   la   protezione   dei   dati   personali   ritengono   necessario   sottolineare – al   fine   di  indirizzare   correttamente   le   attività   svolte  dai   soggetti   a   vario   titolo   interessati  in   questo   ambito – che  al  momento le  certificazioni di   persone,   nonché   quelle   emesse  in   materia di  privacy o  data  protection eventualmente  rilasciate in  Italia,  sebbene possano  costituire  una  garanzia  e  atto  di  diligenza  verso  le  parti  interessate dell’adozione   volontaria   di   un   sistema   di   analisi   e   controllo   dei   principi   e   delle   norme   di  riferimento, a   legislazione   vigente  non  possono  definirsi   “conformi agli   artt.   42   e   43   del regolamento 2016/679”, poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione.

2) Comunicato del 28/12/2017
“….Quanto ai requisiti necessari per svolgere la funzione di RPD il Garante chiarisce ancora una volta che il possesso di una specifica certificazione non deve essere considerato come abilitazione all’esercizio di tale ruolo e che spetta al titolare e al responsabile valutare il possesso dei requisiti professionali richiesti dal regolamento.…”

A generare confusione, come correttamente sottolinea in un recente articolo il presidente di Federprivacy Nicola Bernardi, è la pubblicazione perfino di una norma  UNI 11697:2017 ….. che si è presa la briga di rendere certificabile la figura del data protection officer, inducendo così migliaia di imprese e professionisti non correttamente informati a concludere che certe attestazioni formali possano determinare l’idoneità di un professionista a svolgere questo ruolo, fuorviando quindi dalle indicazioni fornite dall’Authority….la norma in questione è un documento tecnico di carattere volontario e non prescrittivo come lo è invece il Regolamento UE…

Speriamo di avere fatto chiarezza ed aiutato i professionisti e le aziende a non “cadere” in errore ….

Dr. Matteo Rapparini

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...