DPO - RDP: se ne dicono tante...

Si! se ne dicono e se ne sentono tante sul Data Protection Officer o Responsabile Protezione Dati in italiano come lo definisce il Garante.

Cercherò di descrivere la situazione il più obiettivamente possibile.

Partiamo dal Garante (dalla fine) che il 15 settembre ha diramato una NEWS sulle modalità di scelta del DPO da parte di un Titolare del trattamento.

Il Garante informa che è responsabilità del Titolare del Trattamento una corretta scelta e che, la normativa, non prevede obblighi di possedimento di formali attestazioni delle competenze professionali. Inoltre aggiunge che non esiste un albo che possa attestare i requisiti di conoscenza della disciplina, competenza, e abilità. Tuttavia informa che nella selezione è opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto).

Qualche giorno prima UNINFO ha informato che ha finito il processo di valutazione della norma sulla qualifica delle professionalità coinvolte nella protezione dati personali ed è di prossima pubblicazione una norma che declina le competenze, conoscenze ed abilità del DPO identificandone un percorso di formazione e di successiva qualifica. Nella stessa norma vengono presentate le figure del Manager della Sicurezza, del Valutatore e dello Specialista della Protezione Dati Personali.

La norma UNINFO si innesta in un mercato dove erano presenti alcune associazioni che hanno definito dei propri protocolli di certificazione sulla base della norma ISO/IEC 17024:2012 – Certificazione delle competenze.

Le associazioni (ASSODPO, FEDERPRIVACY, UNIQUALITY-UNIPRIVACY) si appoggiano ad enti di Certificazione delle Competenze delle Persone (BUREAU VERITAS, TUV, KHC organismi accreditati) che hanno definito propri protocolli di certificazioni approvati da ACCREDIA (Ente Italiano per le Certificazioni dei Certificatori).

In quest’ultimo periodo sono apparsi sulla scena altri enti di certificazione (organismi accreditati) che hanno definito dei propri protocolli di certificazione delle competenze delle persone sempre basati sulla ISO/IEC 17024:2012.

Oltre tutto ciò in Italia esiste la legge 4/2013 sulle professioni non organizzate in ordini o collegi che disciplina l’associazionismo per le professioni con autoregolamentazione volontaria e gli standard qualitativi degli iscritti.

E per finire: Il Garante Spagnolo ha emesso una chiara normativa in cui ha avocato a se la tenuta dell’albo dei DPO definendo in modo preciso le competenze, le conoscenze e le abilità che un DPO deve avere per procedere all’iscrizione all’albo previo superamento di un corso, di un esame e mantenendo titoli di formazione continua.

In questo “caotico” scenario non è facile per un Titolare del Trattamento scegliere un DPO.

Da parte mia posso dire che il DPO deve essere una persona di fiducia che sappia consigliare e che sappia garantire non solo la correttezza formale, ma soprattutto dia costante supporto al Titolare nel percorso che l’organizzazione deve percorrere per la conformità al Regolamento Europeo aiutandolo a fare scelte bilanciate ed adeguate al proprio profilo di rischio.

Consigliare qualcuno che abbia competenze non implica che la scelta sia adeguata al Titolare ed allo scenario.

Deve sempre essere il Titolare, con la propria competenza da imprenditore, a scegliere la figura che gli pare dia maggiori garanzie. Un percorso potrebbe essere quello di scegliere adesso un “semplice” consulente esperto in grado di affrontare il percorso di adeguamento per poi comprendere, al 25 maggio 2018, se sia la persona giusta per la propria organizzazione o sia necessario trovare un DPO all’interno della propria organizzazione o sia necessario acquisirlo sul mercato.

Il bravo consulente esperto opera in piena trasparenza e cerca di ottenere l’obiettivo di continuità nell’erogazione dei propri servizi offrendo sempre, in trasparenza, la situazione migliore per l’imprenditore stesso, ed è sempre disposto anche a fare un passo indietro nell’interesse dello stesso imprenditore.