Chi certifica i Data Privacy Officer?

543

La questione sollevata da Ferprivacy riguarda la valutazione rilasciata da TÜV Italia che, però, non rappresenta una abilitazione alla professione

Con la piena entrata in vigore del nuovo Regolamento UE 2016/679, pronto a concretizzarsi il prossimo 25 maggio, gli iscritti a Federprivacy sono passati da 5.224 a 6.725 con un aumento pari al 28,7% registrato nel 2017 rispetto al 2016.

Partita nel 2008 con appena cinquantadue pionieri della materia, nel decimo anno dalla sua costituzione Federprivacy sfiora oggi i settemila iscritti, tutti professionisti e manager d’azienda che si occupano della conformità alla normativa sulla protezione dei dati a cui si devono adeguare tutte le imprese e le Pa per non rischiare sanzioni fino a 20 milioni di euro o fino al 4% del fatturato annuo.

Nello specifico, quella del Privacy Officer è una vera e propria categoria professionale interdisciplinare formata per il 38% da giuristi d’impresa e referenti aziendali, per il 37% da consulenti e avvocati, per il 18% da dipendenti della pubblica amministrazione, e per il 7% da informatici.
A tal proposito si vedano anche le Statistiche_Federprivacy_2017.

Tra questi, ben 1.738 a fine dello scorso dicembre avevano intrapreso un percorso di formazione specialistico propedeutico per la certificazione di “Privacy Officer e Consulente della Privacy” rilasciata da Tüv Italia su schema proprietario e ottenuta già da 372 esperti che hanno dimostrato di possedere i requisiti richiesti.

Un attestato, non una abilitazione
Quella di Privacy Officer è, però, una certificazione volontaria che il professionista richiede a TÜV Italia per ottenere un riscontro oggettivo di un ente terzo sull’effettivo possesso di una serie di competenze in materia di protezione dei dati. Tale attestazione formale è un prezioso strumento di valutazione per le aziende, ma non costituisce un’abilitazione.

L’equivoco, è sorto anche a causa della recente pubblicazione della Norma 11697:2017 pubblicata da UNI con la pretesa di certificare il Data Protection Officer menzionando equivocamente in alcuni documenti che lo stesso Garante avrebbe addirittura preso parte allo sviluppo, inducendo così gli addetti ai lavori a pensare che l’Autorità ne avesse in qualche modo favorito la pubblicazione.

Detto ciò, nonostante il Garante abbia a più riprese chiarito che non esistono titoli obbligatori o abilitazioni per svolgere il ruolo di Responsabile della Protezione dei dati, persistono ancora molti dubbi e incertezze sui criteri che le aziende e le pubbliche amministrazioni devono adottare per scegliere correttamente il proprio DPO.