Professioni non regolamentate: lo strano caso del Privacy Officer

Content on this page requires a newer version of Adobe Flash Player.

Get Adobe Flash player

Formazione

I nostri Delegati

Forum dei Soci

Username:
Password:

Professioni non regolamentate: lo strano caso del Privacy Officer

News 06/05/2015

di Andrea Lisi, Graziano Garrisi, Enrica Maio - Digital & Law Department

Questa è la versione integrale dell'articolo pubblicato ieri sulla rivista Altalex e oggi rimosso per cause che non ci sono state ancora comunicate.
Disguido tecnico o censura?


Con l'evoluzione delle attività economiche e la diffusione di nuove conoscenze e competenze all'interno del mercato europeo, è emerso il problema di come qualificare e riconoscere i nuovi professionisti, a maggior ragione nei casi in cui manchino gli strumenti normativi che consentono la qualificazione degli stessi.
Recentemente in ISO, CEN e UNI sono state proposte varie iniziative per la qualificazione di attività professionali che hanno portato alla definizione di un corposo pacchetto di norme UNI.
A tal fine, nel 2011 è stata costituita dall'UNI la commissione tecnica Attività professionali non regolamentate, con lo scopo di "definire terminologia, principi, caratteristiche e requisiti relativi alla qualificazione di attività professionali e/o professioni non regolamentate e non rientranti nelle competenze di altre commissioni tecniche ed Enti Federati".

La figura del responsabile del trattamento
Sentiamo spesso parlare del responsabile del trattamento dei dati, o data protection officer, e molti lo definiscono, in linea generale, come quella figura fondamentale per il rispetto della privacy all'interno dei vari contesti organizzativi pubblici o privati.
Si tratta di una figura professionale con sostanziali responsabilità e compiti nel trattamento dei dati di terzi, che "governa" il trattamento elettronico di tutti i dati personali presenti nei flussi informativi e documentali di un'azienda, PA o studio professionale.

Questa figura è giuridicamente prevista, contenuta e disciplina nell'art. 4 del Dlgs 196/2003 (Codice per la protezione dei dati personali), il quale stabilisce che il responsabile del trattamento è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

Il responsabile è, quindi, un "preposto" designato dal Titolare del trattamento il quale specifica per iscritto i compiti a lui affidati, ed è un soggetto che grazie alla sua esperienza, capacità e competenza è in grado di fornire idonee garanzie di rispetto delle vigenti disposizioni in materia di trattamento e sicurezza dei dati stessi.

Tra i suoi compiti e funzioni rientrano svariate attività di "trattamento", tra cui la raccolta, la registrazione, la conservazione dei dati personali e sensibili contenuti in archivi e fascicoli, sia su supporto cartaceo che informatico. Inoltre, egli può essere preposto alla conservazione delle dichiarazioni del consenso al trattamento dei dati degli interessati e deve avere cura che l'accesso agli stessi sia consentito solo ai soggetti autorizzati.

Possiamo ritrovare altre funzioni e responsabilità a lui riferibili anche negli articoli 157, 158 e 159 del Codice Privacy, i quali descrivono le procedure per la richiesta di informazioni e l'esibizione di documenti, gli accertamenti e le modalità con cui possono essere effettuati i controlli da parte dell'Autorità Garante per la protezione dei dati personali.

Il responsabile del trattamento, per la particolarità delle funzioni svolte, può pertanto essere definito come una figura trasversale che deve possedere competenze legali, ma anche conoscere a fondo i sistemi informativi.

La figura del privacy officer
Il privacy officer è una figura con competenze giuridiche e informatiche inserita in una realtà aziendale e la sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento dei dati personali - e quindi la loro protezione - all'interno dell'azienda stessa, in modo tale che questi siano trattatati in modo lecito e nel rispetto delle normative vigenti.

Il privacy officer è una figura contenuta nella bozza di Regolamento europeo sulla protezione dei dati, tuttora in discussione presso l'UE e di cui si aspetta ancora l'emanazione.

Il privacy officer o responsabile della protezione dei dati (così tradotto nella versione italiana del regolamento europeo) deve possedere un'adeguata conoscenza della normativa che disciplina la gestione dei dati personali nel Paese in cui opera; deve saper progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, adottando anche idonee misure di sicurezza finalizzate alla tutela dei dati stessi.

L'art. 36 della proposta di Regolamento europeo sulla protezione dei dati personali, così descrive la posizione del privacy officer: 

 il responsabile del trattamento o l'incaricato del trattamento si assicura che il responsabile della protezione dei dati (o privacy officer) sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali;

 il responsabile del trattamento o l'incaricato del trattamento si assicura che il responsabile della protezione dei dati adempia alle funzioni e ai compiti in piena indipendenza e non riceva alcuna istruzione per quanto riguarda il loro esercizio;

 il responsabile della protezione dei dati riferisce direttamente ai superiori gerarchici del responsabile del trattamento o dell'incaricato del trattamento;

 il responsabile del trattamento o l'incaricato del trattamento sostiene il responsabile della protezione dei dati nell'esecuzione dei suoi compiti e gli fornisce personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all'articolo 37 del regolamento.

L'art. 37 della proposta di Regolamento europeo sulla protezione dei dati personali individua i seguenti compiti del privacy officer (o responsabile sulla protezione dei dati):

 informare e consigliare il responsabile del trattamento o l'incaricato del trattamento in merito agli obblighi derivanti dal Regolamento stesso e conservare la documentazione relativa a tale attività e alle risposte ricevute; 

 sorvegliare l'attuazione e l'applicazione delle politiche del responsabile del trattamento o dell'incaricato del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi; 

 sorvegliare l'attuazione e l'applicazione del Regolamento stesso, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l'informazione dell'interessato e le richieste degli interessati di esercitare i diritti riconosciuti dal presente regolamento; 

 garantire la conservazione della documentazione di cui all'articolo 28;

 controllare che le violazioni dei dati personali siano documentate, notificate e comunicate ai sensi degli articoli 31 e 32; 

 controllare che il responsabile del trattamento o l'incaricato del trattamento effettui la valutazione d'impatto sulla protezione dei dati e richieda l'autorizzazione preventiva o la consultazione preventiva nei casi previsti dagli articoli 33 e 34; 

 controllare che sia dato seguito alle richieste dell'autorità di controllo e, nell'ambito delle sue competenze, cooperare con l'autorità di controllo di propria iniziativa o su sua richiesta;

 fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l'autorità di controllo di propria iniziativa.

La figura del privacy officer, tuttavia, non è normata dal codice italiano per la protezione dei dati personali e, inoltre, vista l'assenza di qualsiasi normativa riguardante la disciplina di questa specifica figura, si deve fare particolare chiarezza anche sul suo possibile riconoscimento professionale considerando la legge 4/2013, con cui è stata disciplinata la regolamentazione delle professioni non organizzate in ordini o collegi ai sensi dell'art. 2229 ss. del codice civile.

Varie sono state le iniziative in ISO,  CEN e UNI per la qualificazione di attività professionali, le quali, come abbiamo già detto, hanno portato alla definizione di un corposo pacchetto di norme.

In assenza di una specifica norma UNI che definisca dettagliatamente le competenze riferibili all'ambito professionale tutelato, la certificazione dei requisiti professionali non è possibile: infatti, qualora la norma UNI su determinate competenze professionali non esista, non è possibile ritenere quelle competenze "certificabili" da nessuna associazione o ente, i quali potranno in questo caso limitarsi esclusivamente a "qualificare" (e non "certificare") dette competenze, come previsto dalla legge 4/2013.

Per quanto riguarda la legge 4 del 14 gennaio 2013 "Disposizioni in materia di professioni non organizzate", essa all'articolo 1 (in attuazione dell'art. 117, comma terzo, della Costituzione e nel rispetto dei principi dell'Unione Europea in materia di concorrenza e di libertà di circolazione) disciplina le professioni non organizzate in ordini o collegi.
In particolare, l'articolo 6 rubricato "Autoregolamentazione volontaria", pur non rendendo obbligatorio il rispetto delle norme UNI, definisce i principi e i criteri generali che disciplinano l'esercizio autoregolamentato dell'attività professionale che la norma tecnica garantisce.

Con l'approvazione della legge 4/2013 è consentito ai professionisti di scegliere la forma di esercizio della propria attività (forma individuale, associata, societaria o lavoro indipendente). Il professionista può, dunque, costituire associazioni professionali di natura privatistica con il fine di valorizzare le competenze degli associati.
È ovvio che le associazioni costituitesi in forma aggregativa da altre associazioni aderenti, sono caratterizzate dai caratteri dell'indipendenza e dell'imparzialità, essendo soggetti autonomi rispetto alle associazioni professionali che le compongono.

Stando così le cose bisogna prestare particolare attenzione all'esistenza di certificazioni di competenze professionali in assenza dei relativi requisiti stabiliti dalla legge.
Per quanto riguarda la figura del privacy officer, ad oggi, non esiste, infatti, alcuna norma tecnica UNI che la regolamenti.

Ciò nonostante, alcune associazioni che offrono corsi di formazione hanno creato un proprio schema proprietario di riferimento sulle competenze del privacy officer che permetterebbe, a loro parere, di certificare le competenze individuate grazie a un ente di certificazione, facendo impropriamente riferimento alla norma UNI/ISO 17024 "Conformity assessment - General requirements for bodies operating certification of persons". Tale norma è applicabile in generale agli organismi che effettuano la certificazione di persone, ma non è una norma specifica per certificare le particolari competenze professionali relative alle attività di consulenza nell'ambito privacy.
Tale norma ISO non è idonea per certificare le competenze professionali del privacy officer, anche perché, occorre sottolinearlo ulteriormente, questa figura non è ancora prevista normativamente e giuridicamente, in quanto il Regolamento europeo precedentemente citato è ancora in fase di discussione.

La UNI/ISO 17024 si limita, dunque, a certificare le persone, a livello europeo e per determinati percorsi, secondo requisiti generici, riconosciuti e condivisi.
Inoltre, la normativa ISO 17024 non prescrive quali siano le singole figure professionali che l'Organismo di certificazione deve certificare, ma stabilisce piuttosto che l'organismo di certificazione definisca per ogni figura professionale i requisiti che caratterizzano la figura che sarà certificata. Attraverso la normativa ISO 17024, quindi, l'organismo di certificazione stabilisce per sé le regole che gli consentiranno di certificare le competenze del professionista.

Normazione, accreditamento e certificazione
Schematizzando, possiamo individuare un sistema di normazione (ISO, CEN, UNI) con l'emissione di specifiche norme che vengono recepite dalle associazioni di riferimento, un sistema di accreditamento (IAF, EA, ACCREDIA) che accredita gli Organismi di Certificazione e un sistema di certificazione costituito dall'ente che rilascia i certificati.
Quando ci si riferisce alle certificazioni delle competenze professionali, si deve tener presente lo standard di riferimento UNI/ISO 17024 e lo schema di certificazione (disciplinare o norme tecniche).
La norma di accreditamento UNI/ISO 17024 si applica agli enti di certificazione e stabilisce i requisiti per questi organismi. Essa è stata elaborata per creare un riferimento internazionale per i precitati enti certificatori, in modo da facilitare il mutuo riconoscimento delle certificazioni stesse nei vari Paesi del mondo.

Detto ciò, è chiaro che non è sufficiente essere conformi a una norma tecnica generica e richiamare impropriamente un riferimento normativo per "inventare" una figura professionale e certificarne le competenze.

Tali figure possono essere, anzi, fuorvianti e creare confusione nel consumatore e nello specifico in chi abbia intenzione di formarsi.

È difficile comprendere che cosa si intenda per privacy officer, che a volte viene definito anche come consulente privacy, perché se per consulente privacy si intende il consulente legale, allora sicuramente si dovrà fare attenzione all'utilizzo di questo professionista e al ruolo che egli potrà assumere, dovendo fare preciso riferimento alla disciplina della professione forense.

Concludendo, non ci rimane che ribadire che la figura professionale del privacy officer, oggetto di formazione e certificazione da parte di alcuni enti, non è prevista da nessuna normativa: non è ancora possibile, infatti, certificare la professione di privacy officer sulla base di una normativa tecnica UNI. Occorrerà, quindi, fare particolare attenzione alla tipologia di riconoscimenti e di certificazioni che vengono proposti sul mercato - e che rischiano di non avere alcuna valenza giuridica - e stare attenti a non cadere nella trappola delle false attestazioni.

N.B. Al fine di evitare pretestuose interpretazioni errate del nostro pensiero, si precisa che per "false attestazioni" intendiamo ovviamente non "falsi documentali", ma attestazioni e certificazioni che, per il modo in cui sono presentate sul mercato, rischiano di risultare ingannevoli per i consumatori e i professionisti che se ne avvalgono e, quindi, finire per essere "farlocche" piuttosto che indice di serietà e qualità.

La nostra Associazione, seguendo il principio del diritto di replica, è disponibile ad accogliere e pubblicare eventuali interventi contraddittori.






Segnala ad un amico

ANORC Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
Sede Legale: via Mario Stampacchia 21 - 73100 Lecce - P.I: 04367590751 - C.F: 09747511005 - E-mail: segreteria@anorc.it
© copyright 2016 - Tutti i diritti riservati - Note legali