Durante la pandemia causata dalla diffusione del Coronavirus si sono moltiplicate le iniziative volte a offrire formazione online e in alcuni casi, in tema privacy, si è fatto leva sulla possibilità di ottenere una certificazione volta al conseguimento dell’incarico di DPO.
Questa opportunità ha contribuito ad alimentare il grande equivoco, già esistente prima del lockdown conseguente alla pandemia, che si è venuto a creare attorno alle certificazioni collegate alla figura del DPO.
La figura del DPO
Il Data Protection Officer (DPO o responsabile della protezione dei dati) è una nuova figura introdotta e disciplinata dagli articoli 37, 38 e 39 del Regolamento europeo 2016/679, deputata al controllo e alla vigilanza dell’effettivo rispetto del Regolamento all’interno della realtà per la quale è stata nominata.
L’art. 37.5 prevede che “il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39” e prosegue al paragrafo 6 stabilendo che il DPO può essere indifferentemente sia un soggetto esterno, sia un dipendente del titolare del trattamento.
La normativa non prevede particolari requisiti professionali e, nel silenzio del Regolamento, è intervenuto il Gruppo di lavoro Articolo 29 che ha dato indicazioni dettagliate prevedendo nello specifico che il DPO deve:
- conoscere la normativa e le prassi nazionali ed europee in materia di protezione dei dati;
- avere un’approfondita padronanza del Regolamento;
- garantire una formazione adeguata e continua sulla materia;
- conoscere lo specifico settore di attività e della struttura organizzativa del titolare del trattamento;
- avere buona familiarità con le operazioni di trattamento svolte, con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare;
- conoscere in maniera approfondita le norme e procedure amministrative applicabili (nel caso di un’autorità pubblica o di un organismo pubblico);
- avere il livello necessario di competenza specialistica richiesto in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.
Nulla viene indicato sulla necessità di certificazione per la figura in esame.
Il legame tra DPO e certificazioni: cosa dice il GDPR
Per comprendere correttamente il legame (inesistente) tra la figura del DPO e le certificazioni che, secondo alcuni, addirittura sarebbero condicio sine qua non per poter assumere l’incarico, bisogna partire dal dato normativo.
La figura del DPO, come anticipato, è stata introdotta dal Regolamento europeo 2016/679 (GDPR), ma nessuna norma del predetto Regolamento prevede che per poter assumere l’incarico sia necessario avere una specifica certificazione.
L’art. 42, infatti, in tema di certificazioni espressamente prevede, al paragrafo 1 che “gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese”.
La norma si riferisce esplicitamente a certificazione dei trattamenti che hanno lo scopo di dimostrare la conformità degli stessi alle disposizioni del GDPR.
Questo significa, nella pratica, che la certificazione attiene al trattamento dei dati personali che viene realizzato e non alle figure professionali che, a diverso titolo, sono coinvolte o interessate dal trattamento in questione.
Nello stesso senso anche le ulteriori previsioni della norma in esame e in particolare quelle inserite nei paragrafi 3 e 4:
- La certificazione è volontaria e accessibile tramite una procedura trasparente (art. 42.3): la norma prevede due importanti elementi, ossia che la certificazione si riferisce ai trattamenti (42.1) e che la stessa ha carattere volontario. La naturale conseguenza di questa previsione è che la certificazione non può in alcun modo essere indicata come requisito necessario per l’assunzione dell’incarico di DPO.
- La certificazione non ha alcun effetto sulla responsabilità del titolare e del DPO (art. 42.4): il testo si riferisce a due diverse figure, il titolare del trattamento e il DPO, prevedendo che la certificazione non incide sulla rispettiva responsabilità. È evidente, pertanto che non si tratta di una certificazione della figura professionale, bensì, come già rilevato, ed espressamente indicato dalla norma, dei trattamenti realizzati.
Lo scopo delle certificazioni
Se dunque le certificazioni attengono, come visto, per espressa indicazione normativa, ai trattamenti realizzati e non possono in alcun modo essere indicati come requisito necessario per la nomina a DPO, ci si deve domandare quale sia il loro scopo specifico.
Partiamo dal considerando 100 che prevede espressamente una funzione valutativa delle certificazioni stabilendo che “al fine di migliorare la trasparenza e il rispetto del presente regolamento dovrebbe essere incoraggiata l’istituzione di meccanismi di certificazione e sigilli nonché marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi”.
La certificazione consentirebbe all’interessato di poter valutare criticamente le tipologie di trattamenti (e la relativa sicurezza) ai quali potrebbero essere sottoposti i suoi dati.
In altre parole la certificazione sarebbe garanzia di un determinato livello di protezione dei dati e inciderebbe, in questo senso, sul rapporto tra titolare e interessato, quantomeno in termini di fiducia, secondo il meccanismo per cui la certificazione comporterebbe, a livello di percezione, un più alto standard di protezione.
Tornando al dato normativo, l’art. 24.3 prevede la possibilità di utilizzare la certificazione come strumento per dimostrare di aver rispettato le disposizioni del GDPR, mentre l’art. 25.3 di ver adottato misure adeguate alla protezione dei dati secondo i principi di privacy by design e privacy by default.
L’art. 28 prevede inoltre che con riferimento ai rapporti tra titolare e responsabile e tra responsabile e sub responsabili “l’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo”.
Nello stesso senso anche l’art. 32.3, utilizzando la medesima dicitura, prevede la possibilità di utilizzare la certificazione ai fini probatori per dimostrare di aver messo in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
Conclusioni
Se dunque il GDPR è chiaro nel prevedere la certificazione per i trattamenti e non come condicio sine qua non per l’assunzione dell’incarico di DPO quid iuris in reazione alle certificazioni rilasciate da corsi di formazione in materia?
Esclusa la necessità di tali attestazioni per la nomina a DPO, le certificazioni assumono senza dubbio un valore certificativo relativamente alla formazione.
La certificazione rilasciata dall’ente accreditato sotto la propria responsabilità attesta unicamente che è stato svolto un percorso formativo, ma non rappresenta un “titolo” per la possibile nomina a DPO.
È indubbio che, a parità di competenze, la certificazione possa aggiungere un elemento di valutazione, ma bisogna evitare di cadere nell’errore di considerare la stessa come titolo preferenziale per l’attribuzione dell’incarico.
L’equivoco nasce dal fatto che nella percezione comune la parola “certificazione” è considerata come una sorta di bollino di garanzia, per cui si è naturalmente portati a ritenere che questa dicitura sia sinonimo di una maggiore competenza professionale, cosa che, come visto, non è.