Tante le novità, tanti gli aspetti che pubbliche amministrazioni, centrali e locali, e imprese devono conoscere per rispondere alle nuove regole evitando così di incorrere in pesanti sanzioni. È la terza “generazione” di norme sulla privacy e data protection, ma stavolta il legislatore senza dubbio vuole una vera svolta, viste anche le sanzioni previste, che sono molto più alte di quelle dell’attuale normativa, e possono arrivare nei casi più gravi anche al 4% del fatturato annuo.
Una delle grandi novità della normativa è l’obbligo, nei casi previsti dall’art. 37 del Regolamento Europeo di inserire un Data Protection Officer (DPO), figura intorno alla quale, ancora oggi, molti sono gli interrogativi rispetto a competenze e requisiti.
Chi è quindi il DPO?
Il Regolamento Europeo definisce il DPO come: “un esperto che deve essere in grado di fornire consulenza al management aziendale circa le prescrizioni della legge sulla protezione dei dati personali, sorvegliando poi che essa sia correttamente applicata, fungendo inoltre da punto di contatto con l’Autorità per la privacy e con gli interessati.”
Persona fisica interna all’aziende o consulente esterno, persona o società che sia, il DPO avrà un compito consultivo e di controllo a supporto del titolare e del responsabile del trattamento nel garantire la conformità dell’organizzazione, posizione molto simile a quella dell’Organismo di Vigilanza ex d.lgs. 231/01.
Nominato o assunto dal titolare, dovrà possedere un’adeguata conoscenza della normativa, degli aspetti gestionali e tecnici della sicurezza dei dati e adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse; in sintesi un ruolo molto complesso con conoscenze e competenze molto ampie – dall’analisi organizzativa e dei processi, all’analisi e gestione dei rischi, alla gestione di incidenti ed emergenze, alla legislazione nazionale e internazionale in materia di protezione dei dati, alle normative e ai sistemi di gestione sulla sicurezza dei dati, alle tecnologie di protezione, ai principi e norme di deontologia professionale – ribadite tra il resto, anche dal Garante per la privacy.
Qual è il ruolo della norma UNI 11697:2017?
In questo quadro si inseriscono i lavori che hanno portato all’approvazione e pubblicazione della Norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”.
Si potrebbe dire che in Italia è stato fatto un passo in più: partendo dal GDPR, è stata redatta una norma tecnica volontaria con la quale vengono definiti i requisiti relativi ai professionisti che opereranno nell’ambito del trattamento e della protezione dei dati personali, tra cui, in conformità agli articoli 37, 38 e 39 del Regolamento, anche i requisiti del DPO.
Questa ulteriore norma, che individua analiticamente le conoscenze, abilità e competenze associate alle diverse attività professionali, differenziandoli su apprendimento formale (titoli di studio), apprendimento non formale (formazione specifica) e apprendimento informale (esperienza lavorativa), nell’appendice B, in relazione alla figura del DPO, richiede in modo specifico al professionista: una Laurea, un corso di almeno 80 ore su “Gestione della Privacy e Sicurezza delle Informazioni” con attestazione finale e minimo 6 anni di esperienza lavorativa legata alla privacy di cui almeno 4 anni in incarichi manageriali (gli anni possono diminuire o aumentare in funzione del tiolo di studio – laurea magistrale o diploma). La finalità della norma UNI è quella di assicurare che “determinate figure professionali possiedano, mantengano e migliorino nel tempo la necessaria competenza.
Si può quindi concludere che, mentre il Regolamento Europeo ha delineato in generale, ma in maniera obbligatoria, requisiti, competenze, conoscenze e qualità del DPO, la normativa UNI 11697:2017 con carattere volontario, li ha ulteriormente dettagliati a favore di quei professionisti che vorranno scegliere la certificazione quale ulteriore garanzia della propria professionalità.
Quale in tutto questo scenario, il ruolo degli Enti di Formazione?
Noi, da professionisti e tecnici della formazione riteniamo che gli enti che si occupano di formazione dovrebbero sempre rimanere focalizzati sul proprio ruolo e missione, ossia quello di preparare gli allievi a svolgere nel migliore modo possibile la professione e a superare, gli esami a cui sceglieranno di sottoporsi liberamente, ribadendo con ostinazione la propria indipendenza e distinzione da quegli enti che invece si occupano di certificazione.
Chiamati però ad esprimere un parere in merito, riteniamo che la certificazione di ente terzo sia un importante elemento di garanzia per i professionisti e un valido aiuto per le aziende che devono scegliere un professionista cui affidarsi.
Galdus propone il corso per DPO in collaborazione con La Scuola Internazionale Etica & Sicurezza che, da 25 anni impegnata nella formazione e crescita a fianco dei professionisti della security, ha deciso di proseguire nel suo impegno per lo sviluppo di queste tematiche, senza perdere di vista però il proprio ruolo ed obiettivo, che continua ad essere quello di formare gli allievi, secondo criteri di eccellenza e qualità volti a tutelare il mercato e le aziende, ribadendo con forza la propria indipendenza di ruolo.
[1] Il Codice Privacy italiano rimarrà in vigore per quelle parti che non sono in contrasto con il GDPR; quali parti rimarranno in vigore e quali parti verranno abrogate verrà stabilito dal/dai decreto/i legislativo/i di armonizzazione che dovrebbero essere emanati dal governo entro aprile 2018 (la legge delega è la 163 del 25/10/2017).
Volume consigliato
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
Scrivi un commento
Accedi per poter inserire un commento