La Certificazione DPO non è obbligatoria. Lo dice il Garante

Non esistono titoli abilitanti o obbligatori sulla certificazione riferita al Data Protection Officer, il Responsabile della protezione dei dati, basata sulla Norma UNI 11697:2017. Lo chiarisce l’Autorità in risposta a Federprivacy, dopo che si era diffusa tra i professionisti l’idea che si trattasse di un titolo obbligatorio per poter rivestire il ruolo previsto dal nuovo Regolamento Europeo UE 2016/679.

La Certificazione DPO non equivale di per sé all’abilitazione per lo svolgimento di questo ruolo, e non rientra tra quelle disciplinate dall’art. 42 del GDPR. Perciò non può essere approvata dall’Autorità di controllo italiana, né dal Comitato europeo per la protezione dei dati, come neppure può risultare da essa una certificazione comune

Non esistono i presupposti per una “certificazione unificata” o obbligatoria del DPO

Fin dal 2012 la stessa Federprivacy è stata tra le prime associazioni a promuovere in Italia la certificazione delle competenze con quella rilasciata su schema proprietario da TÜV Italia per la figura di Privacy Officer e Consulente della Privacy. Figura professionale che a oggi conta già 400 esperti della materia che l’hanno conseguita.

In ogni caso, come chiarisce il garante, allo stato attuale non ci sono presupposti per una “certificazione unificata” o obbligatoria del Data Protection Officer, ma la possibilità per i professionisti di rivolgersi ad appositi enti per ottenere certificazioni basate su schemi proprietari o parimenti sulla predetta Norma UNI 11697.

Uno strumento per dimostrare il possesso di conoscenze, competenze e abilità

La Norma UNI 11697, chiarisce l’Autorità, “può rappresentare, comunque al pari di altri titoli, uno strumento per dimostrare il possesso da parte del professionista delle conoscenze, competenze e abilità necessarie allo svolgimento dello specifico ruolo”.

Inoltre, nella nota del Prot. N. 9530/2018 del 27 marzo 2018 indirizzata a Federprivacy, il Garante ha chiarito che da diversi anni esperti dell’Autorità partecipano ai lavori di normazione tecnica nazionale e internazionale, seguendo il tavolo dei lavori al quale è stata elaborata la Norma presso Uninfo, organizzazione di cui il Garante è socio di diritto dal 2015.

“Le certificazioni volontarie costituiscono un elemento di accountability ai fini del GDPR”

“Alla luce dei chiarimenti del Garante –  commenta il presidente di Federprivacy, Nicola Bernardi – auspichiamo che i professionisti aspiranti DPO siano ancor più motivati ad acquisire conoscenze specialistiche della materia piuttosto che illudersi che certi bollini o altre attestazioni formali costituiscano titoli abilitanti. D’altra parte – precisa Bernardi – non dobbiamo dimenticare che le certificazioni volontarie sono uno strumento molto utile, perché costituiscono un elemento di accountability ai fini del GDPR per poter dimostrare il possesso di determinate competenze che servono per rivestire un certo ruolo o per svolgere attività di consulenza”.

Questa voce è stata pubblicata in Varie. Contrassegna il permalink.