Oggi, all’evento annuale DIG.Eat 2017, in svolgimento presso il Centro congressi Fontana di Trevi (Piazza della Pilotta 4), si parlerà della consultazione pubblica sulla proposta di norma tecnica dei Profili professionali relativi al trattamento e alla protezione dei dati personali, che si concluderà il prossimo 25 marzo. Questa fase permette non solo la libera consultazione del testo di lavoro ma anche la ben più importante possibilità, per chi ne fosse interessato, di proporre commenti e spunti di riflessione.
ANORC e ANORC Professioni, da sempre interessate alle professionalità che si occupano di trattamento dei dati personali in ambito digitale, hanno sostenuto sin dalle origini l’istituzione di un gruppo congiunto UNI – UNINFO di editor presso la Commissione APNR di UNINFO per la redazione della norma tecnica.
L’idea iniziale era quella di lavorare a un sistema di regole condivise che disciplinassero una volta per tutte le competenze relative al trattamento e alla protezione dei dati personali ai sensi della legge n°4/2013.
Nonostante il tempo dedicato e l’impegno sostenuto in prima linea da ANORC (socio UNINFO dal 2013) e ANORC Professioni, la norma tecnica UNI/UNINFO, che si vorrebbe adottare, non sembra essere pienamente condivisibile e per questo, a nostro avviso, necessita di modifiche.
Nella formulazione attuale della proposta di norma tecnica, che individua 4 professionalità (Responsabile della protezione dei dati personali, Manager privacy, Specialista privacy e Valutatore privacy) non si tiene conto che il danno provocato da una possibile proliferazione delle figure professionali potrebbe danneggiare congiuntamente da una parte gli stessi professionisti, laddove vedranno una parcellizzazione di competenze (non più idonee alla gestione di un processo unitario), dall’altra le imprese, poiché nello svolgimento di una mansione prima affidata ad un unico soggetto saranno obbligate a ricercare o formare diversi consulenti, con un aumento sostanzioso di spesa e una perdita notevole di tempo.
La figura del Responsabile della protezione dei dati personali (DPO) è, a nostro avviso, già sufficientemente normata dal Regolamento europeo sul trattamento e la libera circolazione dei dati personali e dalle Linee guida del Gruppo di lavoro dei rappresentanti dei Garanti per il trattamento dei dati di ciascun Stato membro dell’Unione (costituito ai sensi dell’art. 29 della direttiva 95/46), norme entrambe titolate a definire i requisiti, le posizioni e gli specifici compiti del professionista in esame.
La formulazione attuale del testo della proposta di norma tecnica rischia di essere in netto contrasto con la regolamentazione europea, laddove sancisce che le competenze debbano essere prevalentemente incentrate sulla conoscenza della normativa e delle specifiche attività di trattamento che si fanno nel settore in cui opera il professionista.
Ai sensi del Regolamento, infatti, il Responsabile della protezione dei dati personali è delineato come figura manageriale (executive manager), di consulenza e controllo, assimilabile, per alcuni aspetti, alle funzioni che esercita un organismo di vigilanza (ex D.Lgs. 231/2001) relativo all’ambito privacy. Questa figura non è solo referente della protezione dei dati e degli adempimenti previsti per il corretto trattamento dei dati personali nel contesto dell’Ente in cui opera (pubblico o privato) ma funge anche da auditor.
L’idea iniziale del Gruppo di lavoro era quella di delineare le professionalità che trattano i dati personali in ambito digitale e utili, in concreto, a soddisfare le esigenze degli operatori pubblici e privati.
Dovevano essere quindi delineate delle professionalità che a livello manageriale (con compiti di governo) e a livello operativo fossero in grado di ottemperare alle stringenti esigenze normative sul trattamento e sulla libera circolazione dei dati con il minor aggravio organizzativo (e naturalmente di costi) possibile.
Purtroppo dobbiamo rilevare che in questa fase, a nostro avviso, il risultato inizialmente auspicato non è stato raggiunto e riteniamo che l’approvazione di questa norma tecnica sia ancora prematura.
