Entro il 25 maggio 2018 tutte le pubbliche amministrazioni e migliaia di altre aziende private dovranno essersi dotate di un Responsabile della Protezione dei Dati, o “Data Protection Officer”.
Tra DPO e consulenti, secondo le stime di Federprivacy, potranno arrivare fino a 45mila gli esperti della materia richiesti dal mercato del lavoro per adeguarsi alle nuove regole sulla privacy varate da Bruxelles.
Nuove opportunità quindi in arrivo per i professionisti che ambiscono a specializzarsi nella privacy, ma in questo allettante contesto ne stanno approfittando anche diversi operatori nel settore della formazione che negli ultimi mesi hanno alimentato senza troppi scrupoli una notevole proliferazione di corsi di vario tipo che vengono proposti come fossero una sorta di “abilitazione” o “idoneità” per diventare Data Protection Officer.
Anche se l’art. 37 del Regolamento UE 2016/679, prescrive chiaramente che questa figura debba essere individuata “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”, l’idea di poter ottenere un pezzo di carta che dia la “patente” di Data Protection Officer può essere comunque invitante e ingenerare una certa confusione tra coloro che sono alla ricerca del percorso formativo giusto per poter svolgere questo ruolo.
Sono perciò arrivati al momento opportuno i chiarimenti sull’argomento da parte dell’Autorità Garante, la quale ha sottolineato che la normativa attuale non prevede l’obbligo di attestazioni formali sul possesso delle conoscenze richieste, e neppure l’iscrizione ad appositi albi professionali.
Ovviamente, gli attestati o le certificazioni rilasciate da enti di terza parte che documentino le competenze conseguite al termine di un ciclo di formazione possono rappresentare un utile strumento per valutare il possesso di un livello di preparazione di un candidato DPO adeguato rispetto alla complessità dei compiti da svolgere, ma non per questo possono avere la pretesa di costituire titoli abilitanti.
A tale proposito, occorre ricordare altresì che le Linee Guida WP243 del 13 dicembre 2016 precisano che il livello di conoscenza specialistica richiesto al Data Protection Officer non trova una definizione tassativa, ma è soggetto a diverse variabili in base alla realtà in cui questo opera e ai trattamenti effettuati. Per questo, destano non poche perplessità anche i tentativi in corso di pubblicare una norma tecnica italiana in UNI per definire degli appositi standard per lo svolgimento di un ruolo che standardizzabile non è.
@Nicola_Bernardi
