Riprendiamo quanto pubblicato dall’Agenzia ADNkronos il 18 aprile 2018 in merito a certificazioni richieste per svolgere l’attività di DPO Data Protection Officer.
Anche se il Garante per la Privacy aveva già sottolineato che la certificazione delle competenze professionali riferibili alla figura del “Responsabile della protezione dei dati” non equivale di per sé ad una “abilitazione” allo svolgimento di questo ruolo introdotto dal nuovo Regolamento Europeo UE 2016/679, l’idea che si è diffusa tra migliaia di professionisti che la certificazione basata sulla Norma tecnica UNI 11697 sia invece un titolo necessario per svolgere il ruolo di “Data Protection Officer”, ha indotto Federprivacy a richiedere ulteriori chiarimenti che non hanno tardato ad arrivare da parte dell’Autorità.
Ne deriva quindi che allo stato attuale non ci sono presupposti per una “certificazione unificata” o obbligatoria del Data Protection Officer, ma la possibilità per i professionisti di rivolgersi ad appositi enti per ottenere certificazioni basate su schemi proprietari o parimenti sulla predetta Norma UNI 11697, la quale, chiarisce l’Autorità “può rappresentare, comunque al pari di altri titoli, uno strumento per dimostrare il possesso da parte del professionista delle conoscenze, competenze e abilità necessarie allo svolgimento dello specifico ruolo”.
Nella nota del Prot. N. 9530/2018 del 27 marzo 2018 indirizzata a Federprivacy, il Garante ha chiarito inoltre che da diversi anni esperti dell’Autorità partecipano ai lavori di normazione tecnica nazionale e internazionale, seguendo tra l’altro il tavolo dei lavori al quale è stata elaborata la Norma UNI 11697:2017 presso Uninfo, organizzazione di cui il Garante è socio di diritto dal 2015 come “attore esterno, imparziale e competente sulla materia”, al fine del miglior coordinamento delle norme tecniche con la disciplina di protezione dei dati personali.
Commentando la risposta dell’Autorità, il presidente di Federprivacy, Nicola Bernardi, ha affermato: “Alla luce dei chiarimenti del Garante, auspichiamo che i professionisti aspiranti DPO siano ancor più motivati ad acquisire conoscenze specialistiche della materia piuttosto che illudersi che certi bollini o altre attestazioni formali costituiscano titoli abilitanti. D’altra parte – precisa Bernardi – non dobbiamo dimenticare che le certificazioni volontarie sono uno strumento molto utile, perché costituiscono un elemento di accountability ai fini del GDPR per poter dimostrare il possesso di determinate competenze che servono per rivestire un certo ruolo o per svolgere attività di consulenza”.