Normative

DPO e certificazioni: cosa è cambiato con la pandemia?

La certificazione rilasciata dall’ente accreditato sotto la propria responsabilità attesta unicamente che è stato svolto un percorso formativo, ma non rappresenta un “titolo” per la possibile nomina a DPO

Pubblicato il 17 Lug 2020

Federica De Stefani

avvocato specializzato in diritto delle nuove tecnologie

DPO

Durante la pandemia causata dalla diffusione del Coronavirus si sono moltiplicate le iniziative volte a offrire formazione online e in alcuni casi, in tema privacy, si è fatto leva sulla possibilità di ottenere una certificazione volta al conseguimento dell’incarico di DPO.

Questa opportunità ha contribuito ad alimentare il grande equivoco, già esistente prima del lockdown conseguente alla pandemia, che si è venuto a creare attorno alle certificazioni collegate alla figura del DPO.

La figura del DPO

Il Data Protection Officer (DPO o responsabile della protezione dei dati) è una nuova figura introdotta e disciplinata dagli articoli 37, 38 e 39 del Regolamento europeo 2016/679, deputata al controllo e alla vigilanza dell’effettivo rispetto del Regolamento all’interno della realtà per la quale è stata nominata.

L’art. 37.5 prevede che “il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39” e prosegue al paragrafo 6 stabilendo che il DPO può essere indifferentemente sia un soggetto esterno, sia un dipendente del titolare del trattamento.

La normativa non prevede particolari requisiti professionali e, nel silenzio del Regolamento, è intervenuto il Gruppo di lavoro Articolo 29 che ha dato indicazioni dettagliate prevedendo nello specifico che il DPO deve:

  • conoscere la normativa e le prassi nazionali ed europee in materia di protezione dei dati;
  • avere un’approfondita padronanza del Regolamento;
  • garantire una formazione adeguata e continua sulla materia;
  • conoscere lo specifico settore di attività e della struttura organizzativa del titolare del trattamento;
  • avere buona familiarità con le operazioni di trattamento svolte, con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare;
  • conoscere in maniera approfondita le norme e procedure amministrative applicabili (nel caso di un’autorità pubblica o di un organismo pubblico);
  • avere il livello necessario di competenza specialistica richiesto in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.

Nulla viene indicato sulla necessità di certificazione per la figura in esame.

Il legame tra DPO e certificazioni: cosa dice il GDPR

Per comprendere correttamente il legame (inesistente) tra la figura del DPO e le certificazioni che, secondo alcuni, addirittura sarebbero condicio sine qua non per poter assumere l’incarico, bisogna partire dal dato normativo.

La figura del DPO, come anticipato, è stata introdotta dal Regolamento europeo 2016/679 (GDPR), ma nessuna norma del predetto Regolamento prevede che per poter assumere l’incarico sia necessario avere una specifica certificazione.

L’art. 42, infatti, in tema di certificazioni espressamente prevede, al paragrafo 1 che “gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese”.

La norma si riferisce esplicitamente a certificazione dei trattamenti che hanno lo scopo di dimostrare la conformità degli stessi alle disposizioni del GDPR.

Questo significa, nella pratica, che la certificazione attiene al trattamento dei dati personali che viene realizzato e non alle figure professionali che, a diverso titolo, sono coinvolte o interessate dal trattamento in questione.

Nello stesso senso anche le ulteriori previsioni della norma in esame e in particolare quelle inserite nei paragrafi 3 e 4:

  • La certificazione è volontaria e accessibile tramite una procedura trasparente (art. 42.3): la norma prevede due importanti elementi, ossia che la certificazione si riferisce ai trattamenti (42.1) e che la stessa ha carattere volontario. La naturale conseguenza di questa previsione è che la certificazione non può in alcun modo essere indicata come requisito necessario per l’assunzione dell’incarico di DPO.
  • La certificazione non ha alcun effetto sulla responsabilità del titolare e del DPO (art. 42.4): il testo si riferisce a due diverse figure, il titolare del trattamento e il DPO, prevedendo che la certificazione non incide sulla rispettiva responsabilità. È evidente, pertanto che non si tratta di una certificazione della figura professionale, bensì, come già rilevato, ed espressamente indicato dalla norma, dei trattamenti realizzati.

Lo scopo delle certificazioni

Se dunque le certificazioni attengono, come visto, per espressa indicazione normativa, ai trattamenti realizzati e non possono in alcun modo essere indicati come requisito necessario per la nomina a DPO, ci si deve domandare quale sia il loro scopo specifico.

Partiamo dal considerando 100 che prevede espressamente una funzione valutativa delle certificazioni stabilendo che “al fine di migliorare la trasparenza e il rispetto del presente regolamento dovrebbe essere incoraggiata l’istituzione di meccanismi di certificazione e sigilli nonché marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi”.

La certificazione consentirebbe all’interessato di poter valutare criticamente le tipologie di trattamenti (e la relativa sicurezza) ai quali potrebbero essere sottoposti i suoi dati.

In altre parole la certificazione sarebbe garanzia di un determinato livello di protezione dei dati e inciderebbe, in questo senso, sul rapporto tra titolare e interessato, quantomeno in termini di fiducia, secondo il meccanismo per cui la certificazione comporterebbe, a livello di percezione, un più alto standard di protezione.

Tornando al dato normativo, l’art. 24.3 prevede la possibilità di utilizzare la certificazione come strumento per dimostrare di aver rispettato le disposizioni del GDPR, mentre l’art. 25.3 di ver adottato misure adeguate alla protezione dei dati secondo i principi di privacy by design e privacy by default.

L’art. 28 prevede inoltre che con riferimento ai rapporti tra titolare e responsabile e tra responsabile e sub responsabili “l’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo”.

Nello stesso senso anche l’art. 32.3, utilizzando la medesima dicitura, prevede la possibilità di utilizzare la certificazione ai fini probatori per dimostrare di aver messo in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Conclusioni

Se dunque il GDPR è chiaro nel prevedere la certificazione per i trattamenti e non come condicio sine qua non per l’assunzione dell’incarico di DPO quid iuris in reazione alle certificazioni rilasciate da corsi di formazione in materia?

Esclusa la necessità di tali attestazioni per la nomina a DPO, le certificazioni assumono senza dubbio un valore certificativo relativamente alla formazione.

La certificazione rilasciata dall’ente accreditato sotto la propria responsabilità attesta unicamente che è stato svolto un percorso formativo, ma non rappresenta un “titolo” per la possibile nomina a DPO.

È indubbio che, a parità di competenze, la certificazione possa aggiungere un elemento di valutazione, ma bisogna evitare di cadere nell’errore di considerare la stessa come titolo preferenziale per l’attribuzione dell’incarico.

L’equivoco nasce dal fatto che nella percezione comune la parola “certificazione” è considerata come una sorta di bollino di garanzia, per cui si è naturalmente portati a ritenere che questa dicitura sia sinonimo di una maggiore competenza professionale, cosa che, come visto, non è.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Federica De Stefani
avvocato specializzato in diritto delle nuove tecnologie

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 5