Blog

Figura aziendale centrale  -  L’importanza della formazione

Fare il Data Protection Officer (DPO) è una delle nove professioni, per definizione “emergenti”[1]. In Italia il DPO si chiama Responsabile della Protezione dei Dati (RPD)[2]. Il RPD è una figura centrale all’interno del nuovo impianto legislativo europeo della privacy, affianca ed esprime pareri a favore del Titolare dei Dati e dei responsabili. Il ruolo, inaugurato con l’entrata in vigore del GDPR[3], è per definizione una “funzione di Garanzia”.  Per questi motivi, la formazione a e per questo ruolo è particolarmente importante. Corsi e master non mancano.  Ma non validano tale attività, parere di Garante per la protezione dei dati personali. Ma proviamo a definire i requisiti.

Le qualità professionali ed il forte know-how del RPD devono essere del tutto adeguate ai suoi molteplici compiti. Viene designato tramite un atto e poi confermato attraverso una comunicazione ufficiale al Garante; ha conoscenze specialistiche della normativa sulla privacy e compiti di assistenza e controllo molto diversi.  Il Responsabile della Protezione dei dati fornisce consulenza al management aziendale, è consapevole della normativa, conosce le prassi nazionali ed europee e gestisce le procedure relative al trattamento, alle misure di sicurezza dei dati personali e alla loro protezione, conosce le metodologie ed i processi ICT (Information and Communication Technologies).

Oltre alle numerose competenze multidisciplinari, il RPD deve essere anche in grado di promuovere una cultura della protezione dei dati, attraverso l’applicazione delle norme e delle procedure amministrative.[4] Il RPD svolge una attività di consulenza in cui la conformità aziendale e la cultura della protezione dei dati personali, rappresentano i suoi obiettivi principali: oltre alla supervisione completa di procedure e attività, il RPD è chiamato anche a comunicare con i vertici e verso l’esterno. per facilitare queste operazioni.

L’articolo 39[5] del Regolamento 2016/679 definisce chiaramente i compiti di questo supervisore indipendente:

1- tutela del Titolare e del Responsabile del Trattamento,
2- garanzia della migliore protezione dei dati possibile (con un monitoraggio regolare e sistematico),
3- cooperazione con l’autorità di controllo per tutte le questioni connesse al trattamento (in collaborazione con l’Autorità Garante per la protezione dei dati personali),
4- supervisione di tutte le attività attraverso il controllo, la formazione del personale e la sensibilizzazione rispetto agli obblighi previsti dal Regolamento,
5- controllo che ogni violazione dei dati personali venga documentata, notificata e comunicata (Data Breach Notification Management).

Proattività è una parola chiave: il RPD agisce attraverso un approccio proattivo (definito obbligatorio dal GDPR). E’ in grado di aiutare a prevenire e mitigare i rischi per tutelare i diritti e le libertà degli interessati, aiutando a valutare preventivamente l’impatto delle scelte aziendali.  Facilitatore, comunicatore, sorvegliante interno: il RPD è anche un punto di contatto in caso di incidenti di sicurezza (art. 33 comma 2 lettera b del GDPR) e (se gli viene richiesto), deve fornire il suo parere a proposito della valutazione d’impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment) di cui deve sorvegliare lo svolgimento.

Il RPD ha indubbiamente tanti obblighi e responsabilità, ma ricordiamo che la sua figura non risponde personalmente della non conformità aziendale, in quanto le responsabilità dirette ricadono esclusivamente sul Titolare e sul Responsabile. Possiamo definirlo un Whistleblower riconosciuto per legge, una sorta di “vedetta civica”.

Di fronte a tante esperienze e compiti, ci si aspetterebbe una certificazione dedicata a questa figura e invece è importante segnalare che, al momento, non esiste alcuna abilitazione ufficiale, quindi, chi desidera diventare RPD può svolgere corsi di formazione dedicati per conoscere in modo profondo la normativa, i processi e i metodi che coinvolgono la Privacy e la protezione dei dati. I requisiti del RPD, quindi, risiedono soprattutto nelle conoscenze specialistiche delle prassi della protezione dei dati, della normativa, delle procedure e norme amministrative del settore di riferimento.

Sicuramente diventa importante aver maturato esperienze specifiche e possedere qualità professionali adeguate al compito, complesso, che si è chiamati a svolgere. Nello svolgimento delle sue funzioni, il RPD deve essere indipendente, privo di conflitti di interesse e deve poter lavorare con risorse finanziarie e umane idonee all’adempimento dei suoi compiti. Il suo ruolo deve essere compatibile con le mansioni svolte (nel caso in cui sia interno all’azienda), come definito dall’articolo 38, ma deve avere il tempo materiale per espletare i compiti previsti dal GDPR, senza che si verifichino conflitti di interessi.

L’UNI, Ente italiano di normazione, ha pubblicato di recente la norma 11697 che definisce i profili professionali relativi al trattamento e alla protezione dei dati personali, coerentemente con le definizioni fornite dall’EQF e utilizzando gli strumenti messi a disposizione dalla UNI 11621-1 “Metodologia per la costruzione di profili professionali basati sul sistema e-CF”.[6] Gli artt. 42 e 43 del GDPR danno ampio spazio alla certificazione ed agli organismi di certificazione e l’obiettivo ambizioso della norma UNI è anche quello di diventare la base di riferimento per la certificazione delle professionalità, operanti nel campo della protezione dei dati personali. La norma 11697 ha individuato ben quattro profili professionali: 1. Responsabile della protezione dei dati personali: inteso come profilo corrispondente al profilo professionale disciplinato nel Regolamento UE 2016/679, in particolare all’art. 39. 2. Manager privacy: inteso come profilo pertinente a soggetti con un elevatissimo livello di conoscenze, abilità e competenze in uno specifico contesto organizzativo; 3. Specialista privacy: inteso come profilo pertinente a soggetti che supportano il RPD e/o il Manager privacy; 4. Valutatore privacy, inteso come soggetti indipendenti con conoscenze e competenze per effettuare attività di audit. Questa pluralità di figure è un primo oggetto di critiche.[7] In secondo luogo, è stata rilevata la difficoltà di molte realtà aziendali ad individuare un RPD con adeguata autonomia. D’altra parte, si sottolinea la difficoltà che il Titolare del trattamento possa scegliere con competenza il RPD.[8]

Tuttavia, il Garante Privacy e ACCREDIA, con il comunicato stampa 18 luglio 2017, doc. web n. 6621723[9], richiamano l´attenzione sulla necessità di attendere la definizione di criteri e requisiti comuni per la conformità delle certificazioni, in materia di protezione dati al Regolamento UE 2016/679.  I due Enti affermano che al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection, eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza, verso le parti interessate dell´adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi “conformi agli artt. 42 e 43 del regolamento 2016/679″, poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell´accreditamento degli organismi di certificazione e i criteri specifici di certificazione.

Va infine rilevata la particolare natura dei documenti UNI sulle “professioni non regolamentate”, a cui appartiene UNI 11697.[10] Tra questi documenti si trovano quello dedicato al “massaggio bionaturale”[11], quello del “naturopata”[12], quello delle “Arti Terapie”[13], “chinesiologia”[14], “Insegnante di yoga”[15]. Documenti che certo non contribuiscono all’autorevolezza di UNI 11697 ed altre norme similari, come quelle per “Manager Health, Safety, Environment”, “ isolamento termico per esterno”, “Igienista industriale”, “informazione geografica”, “Pittore edile”, “impianti fotovoltaici”, “Sociologo”, “Fisico professionista ”, “security”, “Amministratore di condominio” e vari profili informatici.

In conclusione, la selezione del RPD non può trascurare la competenza sulla normativa GDPR e  sulle tecnologie informatiche, ma soprattutto quella sulle norme e procedure amministrative che caratterizzano lo specifico settore di riferimento, nonché sull’organizzazione dell’azienda ed i flussi informativi interni ed esterni.[16]

I laboratori medici costituiscono indubbiamente un caso particolare, in cui molti rischi informatici agiscono all’insaputa degli operatori[17] e sono moltiplicati enormemente, dalla numerosità delle informazioni trattate, nonché dalla crescente rapidità del trattamento stesso. Le Raccomandazioni sviluppate per l’informatica dei laboratori medici[18] dovrebbero, perciò, diventare solido patrimonio di conoscenza di ogni RPD in ambito sanitario.

BIBLIOWEB:

RPD nel Sito Garante per la protezione dei dati personali  https://www.garanteprivacy.it/home/ricerca/-/search/key/rpd
Privacy Countdown   http://newmicro.altervista.org/?p=3891
Livelli Essenziali Anticorruzione   http://newmicro.altervista.org/?p=4394
Trasparenza, etica e legalità nel settore sanitario  http://amicimedlab.altervista.org/?p=7825
Corruzione: il Ministero della Salute rilancia con il piano triennale  http://amicimedlab.altervista.org/?p=6502