Sulle certificazioni in ambito privacy il GDPR è molto chiaro: sono un ottimo strumento per aiutare il titolare o il responsabile a dimostrare la propria accountability, soprattutto nei momenti in cui si intavolano le trattative per definire i rapporti di contitolarità o di subordinazione delle responsabilità conseguentemente all’esternalizzazione dei trattamenti.
Recita, infatti, l’art. 28, par. 5 del GDPR: “L’adesione da parte del responsabile del trattamento [omissis] a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo”.
Tra le garanzie sufficienti, è bene rammentarlo, vi sono anche quelle in ordine alla sicurezza dei trattamenti, per impostazione predefinita e sin dalla progettazione.
Indice degli argomenti
Certificazioni in ambito privacy: a cosa servono
Osservando l’art.42 del GDPR, appare chiaro che il meccanismo di certificazione di cui si tratta nel Regolamento, è destinato a valutare e attestare che sono i trattamenti a essere conformi alla norma.
Facendo le debite proporzioni e ragionando in astratto, i meccanismi di certificazione di cui all’art. 42 hanno lo scopo di documentare la qualità dei trattamenti compiuti dal titolare o dal responsabile, spesso resi attraverso la fornitura di servizi e realizzati nell’ambito di processi complessi o singole attività.
Lo spirito delle certificazioni ex art. 42, quindi, non appare molto distante da quello che muove le imprese e gli enti ad adottare un sistema di gestione della qualità (SGQ) proposto dalle norme volontarie della serie delle ISO 9000 o un sistema di gestione della sicurezza delle informazioni (SGSI) proposto dalla serie delle ISO 27000.
La conferma di questa affermazione è possibile ritrovarla nelle parole del sesto paragrafo del medesimo articolo del GDPR: “Il titolare del trattamento o il responsabile del trattamento che sottopone il trattamento effettuato al meccanismo di certificazione fornisce all’organismo di certificazione di cui all’articolo 43 o, ove applicabile, all’autorità di controllo competente tutte le informazioni e l’accesso alle attività di trattamento necessarie a espletare la procedura di certificazione”.
È chiaro, quindi, che per il GDPR si possono certificare i trattamenti, o meglio, il GDPR disciplina le certificazioni dei trattamenti, cioè di attività o insiemi di attività (processi) compiute sui dati personali.
Quanto proposto attualmente dal mercato, invece, è ben diverso e sembra aver fatto scaturire l’impropria convinzione che una persona, per essere DPO, debba essere certificata. Ancora peggio, molte persone si propongono per quel ruolo in quanto “DPO certificati”.
DPO: non è necessario che sia certificato
Un primo problema è rappresentato dal fatto che non è necessario che un DPO sia certificato, e una recente sentenza del TAR del Friuli-Venezia Giulia, sebbene in circostanze lievemente differenti, aveva appunto ribadito che la certificazione non può essere una condicio sin qua non per affidare l’incarico.
Infatti, tra i requisiti che devono essere mandatoriamente presi in considerazione da chi nomina il DPO, la sua certificazione non figura e l’art. 37, par. 5 recita testualmente: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.
Come si può leggere, ciò che rileva sono le qualità professionali (ad esempio: integrità morale, etica, correttezza, attenzione, perizia…) e non “la certificazione”.
Un secondo problema risiede nel fatto che, chi propone le certificazioni, sovente usa un nome commercialmente allettante (ad esempio: “certificazione DPO”), ma altamente fuorviante, che alimenta la credenza di cui si scriveva sopra.
Tanto più il consumatore è poco pratico della materia (colui il quale acquista il servizio che lo porterà all’eventuale certificazione), tanto più sarà indotto a pensare che, in ragione della “certificazione DPO”, possa fare il responsabile della protezione dei dati.
Inoltre, per lo stesso meccanismo, un titolare o un responsabile che sono in cerca di un RPD, potrebbero essere indotti a credere che debbano necessariamente averne uno “certificato”.
Un’ulteriore criticità la troviamo nella scarsa consapevolezza e comprensione che il responsabile della protezione dei dati è una figura organizzativa, non una professione.
Essere un DPO, concettualmente, è come essere un direttore esecutivo, un amministratore delegato, un responsabile della funzione reclami, un responsabile antiriciclaggio, un impiegato o un magazziniere: è una posizione nell’organigramma. Per tutte queste figure, non è necessaria alcuna certificazione e, se vogliamo, nemmeno un titolo di studio è strettamente richiesto, ma è sufficiente possedere le capacità e le competenze necessarie a svolgere professionalmente i compiti richiesti.
Certificazioni in ambito privacy: quale valore
Oggi, alla luce dell’attuale situazione che si è consolidata nel corso degli ultimi anni, il percorso formativo che porta alla certificazione, per quanto articolato, non dovrebbe in nessun caso essere considerato esaustivo di tutte le conoscenze che un DPO dovrebbe possedere e la certificazione, per come è veramente (in Italia, sul tema, abbiamo la norma volontaria UNI 11697:2017, predisposta sulla base del GDPR e della circolare congiunta emessa da Accredia e dal Garante privacy n. 03/2018), dovrebbe essere intesa solamente come uno strumento in più con cui il candidato DPO riesce a garantire determinate sue caratteristiche in merito alle sue conoscenze, senza offrirne riguardo le sue capacità organizzative e gestionali, sia in situazioni ordinarie che straordinarie, quali potrebbero essere le violazioni di dati o l’esercizio di diritti da parte degli interessati o le ispezioni da parte delle autorità di controllo.
A onor del vero, la norma UNI 11697 delinea quattro “livelli” di certificazione:
- DPO,
- Privacy Manager,
- Privacy Specialist,
- Privacy Auditor,
in funzione delle esperienze pregresse dichiarate dal candidato; la parte afferente alle capacità organizzative e comportamentali, quindi, è garantita dall’etica della persona.
Sulla base di questo ragionamento, quindi, le attuali “certificazioni DPO” non sono altro che un documento, rilasciato da un ente terzo, accreditato e legalmente autorizzato a farlo, il quale dichiara sotto la sua propria responsabilità che una determinata persona ha concluso con successo un percorso formativo in grado di offrire determinate conoscenze: è, concettualmente, equivalente a un diploma di scuola elementare.
In quest’ottica, quindi, la certificazione di competenze dovrebbe essere spesa come maggior garanzia in sede di assegnazione del ruolo: è potenzialmente più affidabile un candidato certificato, rispetto a uno non certificato, a parità di curriculum accademico e di esperienze professionali pregresse.
Ciò che non dovrebbe essere fatto è considerare la presenza della certificazione come elemento vincolante o, peggio, come unico elemento.
