Protezione dati personali: alcune riflessioni sulla norma UNI 11697

La recente pubblicazione della norma UNI 11697, per la definizione dei profili professionali relativi al trattamento e alla protezione dei dati, attesa da tempo, non manca di stimolare il dibattito nazionale in tema privacy.

In realtà la stesura definitiva di questa disposizione, giunge al termine di un confronto interno protrattosi all’incirca per un anno, al quale hanno preso parte, in via eccezionale, oltre agli esperti del settore informatico, anche i referenti delle Commissioni servizi UNI e numerosi stakeholder interessati.
Il dibattito ha visto contrapporsi attorno allo stesso tavolo di lavoro, due visioni opposte del mercato, con chi – da una parte – riteneva utile la previsione di un più variegato ventaglio di professionisti, (richiesta sollevata soprattutto da società di formazione e certificazione) dall’ altra, invece, chi puntava all’individuazione di un numero più ristretto di figure da impiegare.  Al termine del confronto la Commissione è approdata all’individuazione ed alla definizione di quattro profili professionali relativi al trattamento e alla protezione dei dati personali:

  • DPO
  • Manager Privacy
  • Specialista privacy
  • Valutatore Privacy

Questione cruciale del dibattito è stata la selezione delle competenze da attribuire a ciascuno dei singoli profili professionali così individuati, coerentemente con le definizioni fornite dall’EQF e considerando i contenuti della norma UNI 11621-1 “Metodologia per la costruzione di profili professionali basati sul sistema e-CF”: la Commissione ha scelto di privilegiare i ruoli informatici, discostandosi in maniera netta dalle indicazioni del Regolamento comunitario n. 2016/679 (GDPR), che invece sottolinea l’importanza della componente giuridica nella costruzione dei profili preposti alla Protezione e alla Sicurezza dei dati (in particolare quello del DPO). Inoltre, la figura del valutatore Privacy recepisce alcuni compiti che la normativa europea e le linee di indirizzo avevano affidato al DPO, generando un contrasto tra fonti normative.

Le criticità hanno interessato proprio la definizione di quest’ultimo profilo, laddove la separazione del ruolo del Manager della privacy rispetto a quello dell’Operativo Privacy non è stata ritenuta necessaria, valutando come sufficiente una sola figura esterna dell’ente. Tuttavia, come già osservato da alcuni esperti del settore, la disposizione rischia di rivelarsi del tutto inapplicabile nella realtà concreta del mercato, infatti le figure professionali così individuate potrebbero non assumere, de facto, alcuna rilevanza concreta, se decontestualizzate dalla logica del “Team” e private di valenza autonoma.

Alla luce di queste premesse, occorre considerare che difficilmente i compiti del DPO potranno essere svolti da una sola persona fisica, in quanto contraddistinte da conoscenze eterogenee, di carattere giuridico, manageriale, organizzativo, informatico, ecc. per cui, come suggerito dagli stessi garanti nelle loro linee guida, il DPO dovrà sì, essere un singolo individuo per ogni ente, caratterizzato da forte autonomia e indipendenza, ma potrà avvalersi di un Team , composto da figure complementari, ciascuna con un suo compito ben preciso o anche da una persona giuridica contraddistinta da una propria organizzazione con obiettivi predeterminati, punto fermo della questione resta, tuttavia, la necessità, da parte di tali soggetti, di riferire direttamente al DPO.

Risulta imprescindibile, inoltre segnalare l’attenzione che la norma UNI 11697 dedica alla fase di verifica e validazione delle competenze di queste figure professionali, elevandosi a testo di riferimento riguardo le certificazioni delle suddette, stabilendo che le stesse dovranno avere natura necessariamente comunitaria. Quanto sopra espresso riprende le specifiche degli artt. 42 e 43 del GDPR, dedicati, appunto, agli organismi di certificazione. Occorre infine precisare che la Commissione, per favorire l’abbreviazione dei tempi per l’emanazione della norma, non ha atteso l’uscita delle indicazioni generali del Garante europeo della Privacy – ai sensi dell’art 29 della direttiva 95/96.