Pubblicata dall'Authority per la privacy la scheda descrittiva del Responsabile della protezione dei dati personali, figura di cui dovranno dotarsi tutte le p.a. e le imprese che trattano dati sensibili o controllano sistematicamente gli interessati. Per ricoprire il ruolo, non esistono abilitazioni o iscrizioni a ordini professionali. Norma ISO 17024 permette ad enti abilitati di certificarne competenze in base a schemi proprietari
Firenze, 18 marzo 2016 - Il Garante della Privacy ha reso disponibile una scheda informativa sulla figura del Responsabile della protezione dei dati personali (data protection officer), aggiornata in base all'accordo politico raggiunto il 15 dicembre 2015 tra Parlamento e Consiglio UE per l'approvazione del nuovo Regolamento Europeo sulla protezione dei dati personali, di cui è attesa a breve la pubblicazione nella Gazzetta Ufficiale dell’Unione Europea. Nella scheda elaborata dall'Autorità sono riepilogati requisiti, compiti, ed i casi in cui è obbligatoria la nomina del data protection officer.
REQUISITI - I titolari del trattamento dovranno designare come "data protection officer" un professionista che possieda un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente, oppure anche sulla base di un contratto di servizi. E' richiesto inoltre che il titolare metta a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all'adempimento dei suoi compiti.
COMPITI - Il Responsabile della protezione dei dati personali, avrà il compito di informare e consigliare il titolare o il responsabile del trattamento da lui preposto, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento Europeo e dalle altre disposizioni dell'UE o delle normative locali degli Stati membri relative alla protezione dei dati. Dovrà poi verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, ed i relativi audit. Su richiesta, dovrà fornire pareri in merito alla valutazione d'impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti. Il Responsabile della protezione dei dati fungerà inoltre da punto di contatto sia con il Garante della Privacy che con gli interessati, che potranno rivolgersi a lui anche per l'esercizio dei loro diritti.
DESIGNAZIONE - Dovranno nominare obbligatoriamente un Responsabile della protezione dei dati personali tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie. L'obbligo riguarda anche tutti i soggetti (enti e imprese) che trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i trattamenti richiedono il controllo regolare e sistematico degli interessati. Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati. Le imprese, che non ricadono invece nell'obbligo di legge, potranno comunque decidere di dotarsi ugualmente di un data protection officer.
Riconoscendo che il data protection officer è una figura di elevate competenze e grandi responsabilità, Federprivacy ha da tempo promosso la formazione specialistica degli addetti ai lavori, elaborando anche un proprio capitolato privato sul quale TÜV Italia ha sviluppato uno schema di certificazione della figura professionale di Privacy Officer e Consulente della Privacy, che ad oggi vede circa 300 professionisti certificati.
Tuttavia, come indicato dall'art.35 del Regolamento UE, il data protection officer, deve essere "designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti" che gli sono assegnati, ed una certificazione delle professionalità, sebbene rappresenti un concreto strumento di misurazione delle competenze, non equivale ad una "abilitazione" allo svolgimento del ruolo previsto dalla nuova normativa comunitaria.
Non esiste infatti nell'ordinamento italiano un albo riconosciuto dei data protection officer, e per questo Federprivacy ha ritenuto corretto non utilizzare il termine inglese del Regolamento UE per denominare la figura professionale certificata da TÜV Italia , in modo da evitare di trasmettere un messaggio ingannevole in cui i professionisti e le stesse aziende potessero essere indotte a concludere che il possesso di una determinata certificazione corrisponda all'idoneità per svolgere il ruolo di data protection officer. Questi princìpi di trasparenza sono stati peraltro recentemente oggetto di delucidazioni fornite al Garante della Concorrenza e del Mercato.
Il valore delle certificazioni basate sulla Norma ISO 17024 rilasciate su schemi proprietari, risiede quindi non nelle denominazioni attribuite alle figure professionali, ma nell'insieme delle competenze che enti abilitati si assumono la responsabilità di certificare.
Ufficio Stampa Federprivacy
Email: press@federprivacy.it
Web: www.federprivacy.it
Twitter: @Federprivacy
Mobile: +39 335 147.33.33
