Il ruolo del data protection officer
Home » News » Focus

Data Protection Officer: formazione e certificazione …una scelta di qualità

Redazione

Versione PDF del documento

Si avvicina il 25 maggio, data in cui il Regolamento Europeo UE 2016/679 (più comunemente noto come GDPR) diventerà direttamente applicabile in tutti gli Stati membri[1], scatenando quella che già da mesi pare una vera rivoluzione copernicana relativamente alle innovazioni introdotte su accountability dei titolari dei trattamenti, data protection by design, impact assessment.   Il GDPR introduce un approccio di data protection viva, in continuo movimento, condivisa tra le unità organizzative, con procedure sempre attive in azienda e scelte sempre giustificabili dal titolare nel rispetto dei principi di liceità, correttezza e trasparenza nella gestione dei dati. Il Regolamento investe infatti tutti gli aspetti del trattamento dei dati personali, rafforzando in particolare i diritti fondamentali degli individui: dal diritto di accesso a quello di rettifica, dal diritto alla cancellazione/oblio a quello di limitare il trattamento, dal diritto alla portabilità dei dati a quello di opposizione.

Tante le novità, tanti gli aspetti che pubbliche amministrazioni, centrali e locali, e imprese devono conoscere per rispondere alle nuove regole evitando così di incorrere in pesanti sanzioni. È la terza “generazione” di norme sulla privacy e data protection, ma stavolta il legislatore senza dubbio vuole una vera svolta, viste anche le sanzioni previste, che sono molto più alte di quelle dell’attuale normativa, e possono arrivare nei casi più gravi anche al 4% del fatturato annuo.

Una delle grandi novità della normativa è l’obbligo, nei casi previsti dall’art. 37 del Regolamento Europeo di inserire un Data Protection Officer (DPO), figura intorno alla quale, ancora oggi, molti sono gli interrogativi rispetto a competenze e requisiti.

Chi è quindi il DPO?

Il Regolamento Europeo definisce il DPO come: “un esperto che deve essere in grado di fornire consulenza al management aziendale circa le prescrizioni della legge sulla protezione dei dati personali, sorvegliando poi che essa sia correttamente applicata, fungendo inoltre da punto di contatto con l’Autorità per la privacy e con gli interessati.”

Persona fisica interna all’aziende o consulente esterno, persona o società  che sia, il DPO avrà un compito consultivo e di controllo a supporto del titolare e del responsabile del trattamento nel garantire la conformità dell’organizzazione, posizione molto simile a quella dell’Organismo di Vigilanza ex d.lgs. 231/01.

Nominato o assunto dal titolare, dovrà possedere un’adeguata conoscenza della normativa, degli aspetti gestionali e tecnici della sicurezza dei dati e adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse; in sintesi un ruolo molto complesso con conoscenze e competenze molto ampie – dall’analisi organizzativa e dei processi, all’analisi e gestione dei rischi, alla gestione di incidenti ed emergenze, alla legislazione nazionale e internazionale in materia di protezione dei dati, alle normative e ai sistemi di gestione sulla sicurezza dei dati, alle tecnologie di protezione, ai principi e norme di deontologia professionale – ribadite tra il resto, anche dal Garante per la privacy.

Qual è il ruolo della norma UNI 11697:2017?

In questo quadro si inseriscono i lavori che hanno portato all’approvazione e pubblicazione della Norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”.

 

Si potrebbe dire che in Italia è stato fatto un passo in più: partendo dal GDPR, è stata redatta una norma tecnica volontaria con la quale vengono definiti i requisiti relativi ai professionisti che opereranno nell’ambito del trattamento e della protezione dei dati personali, tra cui, in conformità agli articoli 37, 38 e 39 del Regolamento, anche i requisiti del DPO.

Questa ulteriore norma, che individua analiticamente le conoscenze, abilità e competenze associate alle diverse attività professionali, differenziandoli su apprendimento formale (titoli di studio), apprendimento non formale (formazione specifica) e apprendimento informale (esperienza lavorativa), nell’appendice B, in relazione alla figura del DPO, richiede in modo specifico al professionista: una Laurea, un corso di almeno 80 ore su “Gestione della Privacy e Sicurezza delle Informazioni” con attestazione finale e minimo 6 anni di esperienza lavorativa legata alla privacy di cui almeno 4 anni in incarichi manageriali (gli anni possono diminuire o aumentare in funzione del tiolo di studio – laurea magistrale o diploma). La finalità della norma UNI è quella di assicurare che “determinate figure professionali possiedano, mantengano e migliorino nel tempo la necessaria competenza.

Si può quindi concludere che, mentre il Regolamento Europeo ha delineato in generale, ma in maniera obbligatoria, requisiti, competenze, conoscenze e qualità del DPO, la normativa UNI 11697:2017 con carattere volontario, li ha ulteriormente dettagliati a favore di quei professionisti che vorranno scegliere la certificazione quale ulteriore garanzia della propria professionalità.

Quale in tutto questo scenario, il ruolo degli Enti di Formazione?

Noi, da professionisti e tecnici della formazione riteniamo che gli enti che si occupano di formazione dovrebbero sempre rimanere focalizzati sul proprio ruolo e missione, ossia quello di preparare gli allievi a svolgere nel migliore modo possibile la professione e a superare, gli esami a cui sceglieranno di sottoporsi liberamente, ribadendo con ostinazione la propria indipendenza e distinzione da quegli enti che invece si occupano di certificazione.

Chiamati però ad esprimere un parere in merito, riteniamo che la certificazione di ente terzo sia un importante elemento di garanzia per i professionisti e un valido aiuto per le aziende che devono scegliere un professionista cui affidarsi.

Galdus propone il corso per DPO in collaborazione con La Scuola Internazionale Etica & Sicurezza che, da 25 anni impegnata nella formazione e crescita a fianco dei professionisti della security, ha deciso di proseguire nel suo impegno per lo sviluppo di queste tematiche, senza perdere di vista però il proprio ruolo ed obiettivo, che continua ad essere quello di formare gli allievi, secondo criteri di eccellenza e qualità volti a tutelare il mercato e le aziende, ribadendo con forza la propria indipendenza di ruolo.

[1] Il Codice Privacy italiano rimarrà in vigore per quelle parti che non sono in contrasto con il GDPR; quali parti rimarranno in vigore e quali parti verranno abrogate verrà stabilito dal/dai decreto/i legislativo/i di armonizzazione che dovrebbero essere emanati dal governo entro aprile 2018 (la legge delega è la 163 del 25/10/2017).

Volume consigliato 

La tutela della privacy in ambito sanitario

La tutela della privacy in ambito sanitario

Pier Paolo Muià, 2018,

L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro...



© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it