Data Protection Officer: servono più competenze e meno bollini

E-mail Stampa PDF

Rischio confusione per aziende e p.a. su certificazioni in materia di privacy. Interviene il Garante per sottolineare che quelle attuali non possono definirsi conformi al Regolamento UE. Nata prima del GDPR quella promossa da Federprivacy e rilasciata da TÜV fin dal 2011 per certificare le competenze dei "Privacy Officer". Bernardi: "Certificazioni sono importante elemento di garanzia sul mercato, ma non abilitazione a ricoprire ruolo di DPO". Bolognini:"Contano competenze sostanziali, non certo iscrizioni ad ennesimi albi o bollini". Decine di commenti negativi degli stakeholder piovuti sulla Norma UNI arrivata all'inchiesta pubblica.

Firenze, 21 luglio 2017 - Sono rimasti dieci soli mesi di tempo ad aziende e pubbliche amministrazioni per adeguarsi al GDPR, e in questi ultimi tempi sta fermentando un vero e proprio "business" imperniato sui presupposti contenuti nel nuovo testo comunitario, che "prevede e incoraggia l'istituzione di meccanismi per la certificazione della protezione dei dati personali, nonché di sigilli e marchi, allo scopo di dimostrare la conformità dei trattamenti".

Anche se il nuovo Regolamento sarà operativo dal 25 maggio 2018, mentre fino ad allora la disciplina applicabile in materia di protezione dei dati personali rimarrà quella del Dlgs 196/2003, (Codice Privacy), la smania di promuovere tali certificazioni è già cresciuta a tal punto che per fare chiarezza è dovuto intervenire il Garante con un comunicato congiunto ad Accredia, nel quale ha sottolineato che "al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell'adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi 'conformi' agli artt. 42 e 43 al Regolamento UE 2016/679".

Diverso è il caso della certificazione rilasciata da TÜV Italia fin dal 2011 per certificare le competenze dei "Privacy Officer e Consulenti della Privacy", nata prima dell'avvento del GDPR e promossa da Federprivacy come concreto strumento di misurazione delle competenze dei professionisti della protezione dei dati, senza pretesa alcuna di costituire una sorta di "abilitazione" per la figura del DPO, come spiega Nicola Bernardi, presidente della stessa associazione:

"Anche se una certificazione rappresenta un'importante garanzia e un elemento distintivo per coloro che la ottengono, non c'è bollino che possa sancire l'idoneità a ricoprire il ruolo di data protection officer, perchè quello definito dal GDPR è un profilo manageriale di uno spessore troppo elevato per standardizzarne le caratteristiche in modo semplicistico. Ciò che serve principalmente ai professionisti sono le competenze e la conoscenza specialistica della materia come richiesto dall'art. 37 del Regolamento UE".

Simile è la posizione dell'Avv. Luca Bolognini, presidente dell'Istituto Italiano per la Privacy, che spiega anche perchè un tentativo di definire appositi standard per il DPO potrebbe essere superfluo o addirittura controproducente:

"Il Regolamento europeo specifica già chiaramente i requisiti professionali soggettivi del DPO, meglio chiariti anche dalle Linee guida ufficiali dei Garanti privacy: non si sente il bisogno, a nostro avviso, di sub-regolamentazioni nazionali in materia che, peraltro, rischierebbero facilmente di risultare incompatibili con il diritto della UE per contrasto o ripetitività. Contano le competenze sostanziali, non certo iscrizioni ad ennesimi albi o bollini di cui non sentiamo davvero il bisogno."

Ma se l'ipotesi di definire degli standard nazionali per certificare la figura del "Responsabile della protezione dei dati" (DPO) non trova il favore delle principali associazioni di riferimento, a breve la situazione potrebbe complicarsi ulteriormente a causa di una norma UNI in cantiere che tra gli obiettivi ha anche quello di definire gli standard per il DPO, come osserva ancora Nicola Bernardi di Federprivacy:

"Benché quello di UNI sia partito come un progetto interessante, l'intenzione di voler normare il DPO ha poi suscitato molte perplessità, inducendo la nostra associazione ad esprimente il proprio dissenso. Successivamente, in fase di inchiesta pubblica sono piovuti decine di commenti negativi da parte di enti e grandi aziende italiane, e queste critiche si sono riverberate con un'altra ondata di e-mail e telefonate che abbiamo ricevuto direttamente. E' evidente quindi che l'eventuale pubblicazione di questa norma così come è fatta non soddisferebbe le reali esigenze delle imprese e delle p.a. che rientrano nell'obbligo di designazione del data protection officer, e neppure incontrerebbe il reale consenso degli stakeholder".

Quindi, se già oggi è difficile orientarsi sui criteri da utilizzare per scegliere il data protection officer, un'eventuale norma nazionale per certificare tale figura potrebbe finire per confondere ancora di più le idee ad aziende e pubbliche amministrazioni.

Comunicato Stampa Federprivacy del 21 luglio 2017

e-max.it: your social media marketing partner
 

I nostri sostenitori

Newsletter

Rimani aggiornato con le nostre news periodiche
captcha 
Privacy e Termini di Utilizzo
Ho letto l'informativa e presto il mio consenso

Statistiche Utenti

Totale iscritti : 7097
Membri online : 0
Mese corrente : 0 iscritti
Totale soci: 1759

Cerca nel sito


Regolamento UE 2016/679:il Data Protection Officer

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Visitatori Online

 501 visitatori online

Aziende ed enti che aderiscono a Federprivacy

In evidenza: la certificazione di Privacy Officer


Privacy & Società

Privacy:Ue, no negoziati su protezione in intese commerciali
La tutela dei dati personali non può essere oggetto di negoziati nelle intese commerciali tra l'Ue e un Paese terzo, in quanto questa sarà sempre sottoposta strettamente al rispetto delle norme europee in materia. E' quanto ha messo nero su bianco il Collegio dei...
Leggi tutto 2524 Visite 0 Voti

Le Notizie di oggi

Sapresti rispondere?

Cosa si intende per misure di sicurezza?
Sono misure di sicurezza tutte le prescrizioni idonee a evitare il danno di accessi abusivi o di perdite accidentali dei dati personali. Si distinguono le misure minime di sicurezza e le misure ulteriori di sicurezza: l'osservanza delle prime esclude responsabilità...
Leggi tutto 19905 Visite 0 Voti

Community

    • Responsabile esterno??
    • Le caratteristiche dell'atto le ho viste, grazie. Ma era proprio capire, se è eccessivo nominare...
    • 7 Mesi 1 Settimana fa
    • Responsabile esterno??
    • Io mi atterrei a quanto riportato sul sito del Garante, dove si legge: Il Reg UE fissa più...
    • 7 Mesi 2 Settimane fa
    • Responsabile esterno??
    • Con il nuovo Regolamento Europeo come, secondo voi, è meglio identificare le società "destinatarie" dei...
    • 7 Mesi 2 Settimane fa

Altre discussioni »

 501 visitatori online