Devono conoscere le norme di settore e sulla tutela dei dati
di Antonio Ciccia Messina
Doppia specializzazione per i Responsabili della protezione dei dati (Rpd). Nella privacy e nel settore in cui è impegnato l’ente pubblico o privato di appartenenza. Ad esempio il Rpd di un ospedale deve conoscere il settore sanitario e le regole di privacy sui dati relativi alla salute e su quelli genetici.
Non c’è, poi, un albo dei Rpd; e non c’è neppure un’abilitazione ufficiale a svolgere il compito. Le importanti precisazioni arrivano dal Garante della privacy, che in una risposta a un’azienda ospedaliera, resa nota dalla newsletter dell’authority n. 432 del 15/9/2017, fornisce chiarimenti sui Responsabili protezione dati, noti anche come Dpo (data protection officer).
Sono sigle con cui bisognerà fare l’abitudine. Entro il 25/5/2018, ai sensi del Regolamento Ue sulla privacy (n. 2016/679), tutte le p.a. devono nominare un Rpd; lo stesso vale per i soggetti privati che, su larga scala, trattano dati sensibili o fanno un monitoraggio sistematico.
Altrimenti detto, e solo per capire l’ambito vastissimo dei soggetti interessati, tutti i comuni italiani, gli organismi sanitari, scuole, regioni, università e così via devono nominare il Rpd. Idem per buona parte degli operatori economici. Tutti alle prese con il problema di chi nominare e, soprattutto per le p.a., con il problema dei requisiti da chiedere in caso di bando pubblico di selezione. C’è un albo degli esperti abilitati? Le norme prevedono un’abilitazione ufficiale? Queste le domande poste al Garante, che risponde negativamente.
L’obiettivo è chiaro: avvisare enti pubblici e privati che devono scegliere attentamente il Rpd, verificando non la forma, ma la sostanza e cioè la effettiva sussistenza delle conoscenze e delle capacità. Non ci si può limitare a chiedere titoli o attestati, che tra l’altro non sono nemmeno disciplinati dalle norme.
Il mercato della formazione, in effetti, offre attualmente una miriade di corsi variamente strutturati, che offrono attestati di vario tipo. Attenzione, dice il garante, questi attestati e simili, non equivalgono a una «abilitazione» allo svolgimento del ruolo del Rpd. La normativa, ricorda il Garante, non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali; né è prevista l’istituzione di un albo, che attesti i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto.
Certo la formazione specifica è importante ed è anzi indispensabile e deve essere continua (vedasi lo stesso articolo 38 del regolamento Ue), ma non c’è, per così dire, un diploma ufficiale di Dpo.
Enti pubblici e società private devono, dunque, nominare il Rpd, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti e terranno conto del curriculum formativo del candidato.
A questo scopo il garante sottolinea che al Rpd è richiesta un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Le norme pongono, dunque, l’accento su conoscenze specialistiche di carattere giuridico.
Il Garante ritiene, poi, opportuno privilegiare soggetti in grado di documentare le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto). In molte situazioni, poi, come in un ospedale, l’Rpd dovrà assicurare un impegno pressoché esclusivo nella gestione di tali compiti. Per un ospedale non si può fare il Rpd a part-time.
In materia si aggiunge che il Rpd, in realtà, non è una professione, ma è una funzione (si veda ItaliaOggi del 20/12/2016), che si può affidare anche a una persona giuridica.
© Riproduzione riservata
Fonte: 