Le certificazioni per il trattamento e protezione dei dati personali
Leggi l'articolo impaginato su ICMQ Notizie n. 103
Il Regolamento UE 679/2016 relativo alla protezione e trattamento dei dati personali ha introdotto da tempo rilevanti responsabilità amministrative e giuridiche a carico delle imprese, incoraggiando contemporaneamente la diffusione sul mercato di “meccanismi di certificazione, di sigilli e marchi” funzionali a fornire evidenze in merito alla conformità del trattamento e protezione dei dati.
Il Regolamento UE/679 non introduce nessun obbligo in merito alla certificazione delle imprese o dei professionisti, ma di fatto incoraggia l’iniziativa in ambito volontario come garanzia di conformità di terza parte, da un lato per le competenze dei professionisti coinvolti e dall’altro per responsabilità e sanzioni che potrebbero potenzialmente gravare sull’impresa.
Dal lato figure professionali si era partiti fin da subito con la certificazione, disponendo della norma UNI 11697:2017 per i profili professionali relativi al trattamento e alla protezione dei dati personali, mentre le certificazioni per le aziende sono ancora oggi agli albori. Occorre comunque chiarire che, come più volte sottolineato dal Garante Privacy, la certificazione UNI 11697, in quanto orientata alle persone, non rientra in quelle disciplinate dall’art.42 del Regolamento, ma può rappresentare comunque uno strumento per dimostrare il possesso da parte del professionista delle conoscenze, competenze e abilità necessarie allo svolgimento dello specifico ruolo; sempre necessario in base alla normativa di settore.
La figura del Data Protection Officer - DPO, si è orientata fin dal principio alla certificazione per poter disporre di un’attestazione di competenza e terzietà al fine di supportare le imprese nel delicato processo di adeguamento. Per quale motivo invece per le certificazioni aziendali si è dovuto attendere tanto per trovare linee condivise e perché tali certificazioni stentano ancora a decollare?
In ogni rivoluzione non si riesce a fare tutto e subito. Ci sono priorità, come per esempio, la definizione ottimale della figura del DPO, senza la quale gli enti pubblici e quelli privati obbligati ad averla avrebbero brancolato nel buio dal 2018 ad oggi. E poi vi sono necessità di secondo livello. Come la più lenta definizione dei rapporti tra Garante e Accredia, definizione che, coinvolgendo due enti di grande importanza, ha necessitato di adeguati tempi tecnici. Ma lo slancio degli ultimi mesi lascia presagire una sempre più vicina definizione di ogni aspetto connesso alle certificazioni e al loro reale decollo.
Nonostante si senta spesso parlare di DPO e la relativa certificazione professionale per questa figura sia la più diffusa, la norma UNI 11697:2017 prevede altre tre figure: Manager Privacy, Specialista Privacy e Valutatore Privacy quale sviluppo vede per le altre figure professionali meno note ma comunque coinvolte nel trattamento dei dati e in che modo a suo avviso, la certificazione delle imprese, potrà ulteriormente richiamare le competenze dei professionisti?
Proprio nelle FAQ condivise tra Garante ed Accredia, pubblicate nel luglio scorso, si sottolinea che la certificazione può rappresentare comunque un valido strumento ai fini della dimostrazione del possesso e del mantenimento delle conoscenze, abilità e competenze da parte dei professionisti. La certificazione delle figure professionali sarà importante anche per coloro che svolgeranno attività di verifica e delibera per gli organismi di certificazione e dovranno dimostrare il possesso di requisiti di competenza ed esperienza in materia. Le figure meno note sono tali solo perché, come in ogni processo profondo di cambiamento, occorreva un naturale periodo di metabolizzazione: da parte delle imprese, oggi sempre più spaventate dalle sanzioni sempre più quotidiane del Garante e dai continui attacchi hacker e relativi data break da gestire; da parte dei professionisti, perché attratti in prima battuta dal ruolo maggiormente conosciuto, il DPO, anche sul falso presupposto che i compensi per lo stesso fossero superiori a quelli delle altre figure di specialisti; da parte dei dipendenti delle imprese, che ancora non avevano ben compreso che specializzarsi in una delle figure minori significa probabilmente ritagliarsi un ruolo sicuro, unico e ben retribuito nel tempo. Forse su quest’ultimo aspetto occorre ancora lavorare per la sensibilizzazione del personale interno “ad una nuova carriera”. Ma penso che, tenuto conto anche dei sempre più numerosi corsi sul mercato, non mancherà molto.
La certificazione delle imprese non potrà non tenere conto di questi processi e delle nuove competenze richieste non solo a chi supporta dall’esterno ma anche a chi lavora in maniera stabile nell’ente.
Il Covid ha di certo contribuito ad accelerare una certa sensibilità alla materia, soprattutto lato digitale. E le sanzioni sono sempre dietro l’angolo, ricordiamo sino a 20 milioni di euro o il 4% del fatturato globale annuo per un’impresa e, nel caso di reati, anche alcuni anni di reclusione nei casi più gravi.
Esiste un legame tra le figure professionali in materia privacy e quelle, oramai obbligatorie, in materia di Amministrazione digitale negli enti pubblici?
Più che un legame direi una vera e propria compenetrazione. Le une non possono più prescindere dalle altre. Si pensi al Responsabile Transizione Digitale - RTD, figura obbligatoria nelle PA in base all’art. 17 del Codice dell’Amministrazione Digitale – CAD e vero deus ex machina dell’innovazione dei processi e strumenti digitali. In base alle nuove Linee Guida in tema di formazione, gestione e conservazione dei documenti informatici emanate dall’AGID il RTD non può operare se non in sinergia con il DPO. Approccio oramai comune anche ad altre Linee Guida di settore e, ritengo, non manca molto che sia direttamente riportato all’interno dello stesso CAD.
Il nuovo art. 13-bis del CAD formalizza anche la nuova figura del professionista a supporto del RTD, per il quale attendiamo delle specifiche con il prossimo Codice di Condotta Tecnologica nazionale. Nulla esclude che il professionista, o i professionisti chiamati nelle PA, siano al contempo di supporto al RTD e ad un eventuale DPO interno. Questo presuppone una formazione articolata e ampia del professionista, che preveda possibilmente anche la certificazione UNI.