Protezione dati personali: la norma UNI 11697 tra certezze ed ambiguità | Ingegneri.info

Protezione dati personali: la norma UNI 11697 tra certezze ed ambiguità

La recente norma Uni 11697 definisce i profili professionali relativi al trattamento e alla protezione dei dati. Ma il testo riserva alcune ambiguità. La parola all’esperto

image_pdf

L’UNI, Ente italiano di normazione, ha pubblicato di recente la norma 11697 che definisce i profili professionali relativi al trattamento e alla protezione dei dati personali coerentemente con le definizioni fornite dall’EQF e utilizzando gli strumenti messi a disposizione dalla UNI 11621-1 “Metodologia per la costruzione di profili professionali basati sul sistema e-CF”.
Tale norma ha come punto di riferimento la legge 14 gennaio 2013, n. 4, che detta “Disposizioni in materia di professioni non organizzate”, al fine di definire i principi e criteri generali per la disciplina dell’esercizio autoregolamentato della singola attività professionale e pur non essendo obbligatoria si rivolge a tutte le parti interessate, ai vari livelli (per esempio, Regioni e Ministeri, pubbliche amministrazioni in genere, organizzazioni rappresentative delle imprese, organizzazioni rappresentative dei Sindacati dei lavoratori, organizzazioni che rappresentano i consumatori, Albi professionali interessati, associazioni professionali, organismi di valutazione della conformità, organizzazioni non governative, Università ed Enti di ricerca, associazioni culturali, ecc.). La norma fornisce anche indicazioni per i processi di valutazione e di convalida delle conoscenze, abilità e competenze.

La norma Uni 11697 e la protezione dati personali
La norma 11697 si inserisce in un contesto molto delicato nell’ambito della protezione dei dati personali caratterizzato dall’entrata in vigore del Regolamento comunitario n. 2016/679 (GDPR) e dalla conseguente necessità di abrogare o comunque modificare, integrare la normativa preesistente (D.Lgs. n. 196/2003) al fine di avere entro maggio 2018 una disciplina di immediata applicazione (a tale fine è stata emanata la legge delega n. 163/2017).
Inoltre non bisogna dimenticare che gli artt. 42 e 43 del GDPR danno ampio spazio alla certificazione ed agli organismi di certificazione e l’obiettivo ambizioso della norma UNI è anche quello di diventare la base di riferimento per la certificazione delle professionalità operanti nel campo della protezione dei dati personali che dovrà avere necessariamente natura comunitaria.

I profili professionali definiti della norma Uni 11697
La norma 11697 partendo dal presupposto senz’altro condivisibile che il professionista operante nell’ambito del trattamento e della protezione dei dati personali svolge un’ampia gamma di attività aventi frequentemente natura trasversale rispetto agli altri processi aziendali, sia rispetto al ciclo di vita del trattamento sia rispetto ai temi trattati, tecnologici, legali e di altro tipo, ha individuato ben quattro profili professionali:
1. Responsabile della protezione dei dati personali: inteso come profilo corrispondente al profilo professionale disciplinato nel Regolamento UE 2016/679, in particolare all’art. 39. È consentita l’assegnazione a tale profilo di compiti diversi e/o ulteriori inclusi in altri profili di livello manageriale nel rispetto del principio di assenza di conflitto di interessi.
2. Manager privacy: inteso come profilo pertinente a soggetti con un elevatissimo livello di conoscenze, abilità e competenze in uno specifico contesto organizzativo (sia esso un’area funzionale dell’organizzazione sia il settore di appartenenza della stessa) per garantire l’adozione di idonee misure organizzative nel trattamento di dati personali.
3. Specialista privacy: inteso come profilo pertinente a soggetti che supportano il Responsabile per la protezione dei dati personali e/o il Manager privacy nel mettere a punto le idonee misure tecniche e organizzative ai fini del trattamento di dati personali.
4. Valutatore privacy inteso come profilo pertinente a soggetti indipendenti con conoscenze e competenze nel settore informatico/tecnologico e di natura giuridico/organizzativa che conducono attività del trattamento e della protezione dei dati personali che possono comunque avvalersi di specialisti in entrambi gli ambiti per effettuare attività di audit.
Naturalmente per ogni profilo sono state individuate specifiche conoscenze, abilità e competenze nonché compiti e requisiti di accesso.

Dubbi e perplessità della Uni 11697
Bisogna ammettere che, per quanto l’intento di tale norma sia meritorio poiché per troppo tempo la materia specifica della protezione dei dati personali è stata affidata a professionisti improvvisati e poco preparati nel settore, ci sono diverse criticità che rischiano di rendere la stessa poco applicata sul mercato.
In particolare per come è stata concepita la norma rischia di essere fuorviante se non addirittura conflittuale rispetto alla recente normativa comunitaria e poco aderente alla realtà organizzativa di enti ed aziende.
Innanzitutto come precisato dal legislatore comunitario nel GDPR il Responsabile per la protezione dei dati personali (DPO) è una sola figura professionale con precisi compiti di carattere consultivo e manageriale. Può essere persona fisica o giuridica ma è individuata come unica figura professionale.
Del tutto inopportuna è quindi l’individuazione di tante figure autonome che ruotano intorno al mondo della protezione dei dati personali e che generano inevitabilmente una grande confusione in una materia tra l’altro molto delicata. Non bisogna dimenticare, inoltre, che esistono anche un titolare del trattamento ed un responsabile del trattamento chiamati direttamente a rispondere in caso di inosservanza del Regolamento ed appare chiara la volontà del legislatore comunitario di affiancare a tali figure un professionista o un team di professionisti specializzati che però vanno inquadrati nell’ambito della figura del Data Protection Officer.
Inoltre tale norma rischia di essere del tutto inapplicabile in realtà aziendali ed anche pubbliche che avranno difficoltà a prevedere un DPO seppur obbligatorio per ovvie motivazioni di carattere economico ed organizzativo. In altri termini c’è il grosso rischio di trovarsi di fronte a figure professionali che non avranno alcuna rilevanza autonoma, mentre le stesse potrebbero avere una giusta collocazione nell’ambito di un team specializzato a svolgere funzioni di DPO.
Bisogna, difatti, considerare che difficilmente le funzioni di DPO potranno essere svolte da una sola persona fisica in quanto contraddistinte da conoscenze molto diverse di carattere giuridico, manageriale, organizzativo, informatico, ecc. per cui, come suggerito dagli stessi garanti nello loro linee guida, la funzione di DPO potrà essere svolta da un gruppo di persone ciascuna con un suo compito ben preciso o anche da una persona giuridica che ovviamente dispone di una propria organizzazione con obiettivi predeterminati.

Leggi anche: Tecnologie RFID e tutela della privacy: problemi, soluzioni e casi pratici

Copyright © - Riproduzione riservata
L'autore
Protezione dati personali: la norma UNI 11697 tra certezze ed ambiguità Ingegneri.info