03 Feb Data Protection Officer, Bolognini (Istituto Privacy): l’unica norma è nella legge
Roma, 3 febbraio 2017 – Di fronte alle recenti polemiche sollevate, in Italia, dal pur nobile tentativo di normazione tecnica in seno a UNI/UNINFO che non andrebbe incontro, secondo diversi esperti della materia, ai requisiti previsti nel Regolamento privacy europeo (Reg. 2016/679(UE)), l’avvocato Luca Bolognini – presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati e autore del primo commentario italiano alla riforma UE pubblicato da Giuffrè – interviene con alcune puntualizzazioni.
“L’unica norma da applicare con riferimento al Data Protection Officer (Responsabile della Protezione dei Dati) sarà il Regolamento europeo, in particolare i suoi articoli 35, 37, 38, 39. Non esistono, inoltre, al momento, certificazioni che possano vantare la conformità alla legge per la qualificazione della figura di DPO. Le interpretazioni autentiche relative a tale figura professionale sono solo quelle provenienti dal futuro Comitato Europeo della Protezione dei Dati e oggi dal Gruppo di Lavoro Articolo 29 dei Garanti Privacy UE, che non a caso hanno già rilasciato le pertinenti Linee Guida accompagnate da semplici FAQs. Proprio in tali documenti ufficiali, come si evince peraltro facilmente dalla lettura della norma di legge, si chiarisce che “il DPO dovrà avere competenza sulle leggi e sulle pratiche di protezione dei dati nazionali ed europee e una conoscenza approfondita del Regolamento 2016/679(UE).” Si tratta dunque, indubbiamente, di un profilo, esternalizzato o interno ma senza conflitti d’interesse, di legale esperto, avvocato o – per gli aspetti non relativi a consulenza privacy stragiudiziale comunque connessa all’attività giurisdizionale, che restano di esclusiva professionale forense – anche di giuristi di impresa e laureati in giurisprudenza che abbiano maturato adeguate competenze in materia di data protection law. E’ inoltre ipotizzabile, a mio avviso, una figura non laureata in legge e proveniente da altri ambiti universitari, tuttavia si dovrà inevitabilmente dimostrare – nella sostanza e non con medaglie o formalismi – la successiva alta formazione e l’elevato grado di competenza di questi soggetti in materie giuridiche.”
Bolognini aggiunge: “Per il resto, gli stessi Garanti UE aggiungono che “la conoscenza del settore delle imprese e dell’organizzazione del titolare del trattamento è utile” e che “il DPO dovrebbe anche avere sufficiente comprensione delle operazioni di trattamento effettuate nonché dei sistemi di informazione e delle esigenze di sicurezza dei dati e protezione dei dati del titolare. Nel caso di un’autorità pubblica o di organismi pubblici, il DPO dovrebbe anche avere una buona conoscenza delle regole e delle procedure dell’organizzazione amministrativa.” Con riferimento all’ambito tecnologico e di security è dunque necessaria una sufficiente comprensione, senza dovere dimostrare “expertise and in-depth understanding” ingegneristiche. In Italia e in Europa abbiamo già troppe norme, sparse a più livelli: non sentiamo il bisogno di ulteriori sub-regolamentazioni, fra l’altro non imperative, che vadano a complicare ulteriormente un quadro interpretativo e applicativo già complesso”.