Responsabile della protezione dei dati

08/09/2016


Il nuovo regolamento generale europeo 2016/679 impone a tutt’una serie di aziende di dotarsi di un responsabile della protezione dei dati. I titolari del trattamento, obbligati ad acquisire questa specifica professionalità, sono tutte le aziende pubbliche e le aziende che trattano dati che hanno caratteristiche di criticità, sia per la natura dei dati stessi, sia per la mole dei dati trattati.
 
Ricordo ancora una volta ai lettori che il regolamento europeo diventerà completamente operativo entro il 24 maggio 2018 e quindi i titolari del trattamento, obbligati a dotarsi di un responsabile della protezione dei dati, dovranno per quella data aveva già trovato un soggetto con specifiche competenze.

Il problema è semplice: dove posso trovare questo nuovo tipo di professionista?

La risposta è piuttosto difficile da dare.
In Europa questo soggetto è già ben conosciuto da più di 10 anni presso le istituzioni europee, che occupano complessivamente poco meno di trecento responsabili della protezione dei dati.
Questo soggetto era già ben noto in Germania, dove la sua presenza in determinati contesti era obbligatoria; leggermente diversa è la situazione in altri paesi, come la Francia e la  Svezia, in cui si raccomandava di avere a disposizione questo soggetto, ma non vi era un obbligo specifico.
In Italia il soggetto in questione è assolutamente sconosciuto e questo fatto indubbiamente creerà non pochi problemi ai titolari del trattamento, che dovranno, per legge, dotarsi di questo nuovo professionista, che indubbiamente darà un contributo determinante al miglioramento del livello di protezione dei dati personali, trattati dall’azienda.

Come ho già accennato in un precedente articolo su questo tema, si presume che l’Europa possa avere bisogno di 24.000 responsabili del trattamento dei dati personali, entro due anni, per soddisfare le esigenze del settore privato, oltre a circa 4000 soggetti, che dovranno operare nel settore pubblico.
Ritengo oltremodo improbabile che sia possibile attingere a responsabili della protezione dei dati, già operativi in Europa e in Germania, per problemi di lingua e per il fatto che le loro professionalità saranno indubbiamente fortemente richieste nei paesi di origine.

A questo punto appare evidente che l’unica soluzione è quella di avviare al più presto un programma di formazione, eventualmente mirato ad una futura certificazione, che possa tempestivamente addestrare questi soggetti.
Si faccia anche attenzione a prendere contatto con soggetti, che si autodichiarano essere responsabili della protezione dei dati. Poiché in Italia questa figura non esiste, bisogna studiare con estrema attenzione le credenziali di coloro che si professano tali, in modo da verificare la credibilità delle loro dichiarazioni.

Ripeto, ancora una volta, che in Italia questa figura non è sino ad adesso mai esistita e quindi un’eventuale esperienza maturata nel settore dovrebbe essere stata sviluppata in qualche paese estero, come appunto la Germania, la Francia o la Svezia.
Diversamente, un soggetto può certamente essersi occupato di protezione dei dati, ma in un contesto non regolamentato.
Durante un recente incontro, a Berlino, con la responsabile di una azienda di cacciatori di teste, specializzata nella individuazione di responsabili della protezione dei dati, mi sono stati offerti degli spunti oltremodo interessanti, per aiutare i titolari del trattamento ad individuare i soggetti candidati all’assunzione o comunque alla attivazione di un rapporto contrattuale.

Tanto per cominciare, anche se la data ultima imposta dalla regolamento europeo è il 24 maggio del 2018, non v’è dubbio che l’avere attivato in precedenza un rapporto professionale con un responsabile della protezione dei dati offre due vantaggi:
  • il primo vantaggio è che si evita la caccia all’uomo, che certamente si verificherà negli ultimi mesi, prima della data ultima di entrata in vigore del regolamento,
  • il secondo vantaggio è legato al fatto che questo soggetto ha professionalità importantissime, che potranno certamente aiutare la azienda a fronteggiare le sfide poste dal trattamento e dalla protezione dei dati personali, secondo il principio “prima si comincia, meglio è”!
 
I lettori che seguono con attenzione i bollettini specializzati, stampati od informatici, che toccano i temi di protezione dei dati personali, sono certamente al corrente del fatto che sono state già avviate delle iniziative di formazione, che potrebbero consentire di avere a disposizione, a breve, un numero molto limitato di soggetti debitamente qualificati.
Rimane però aperto il problema della verifica della qualificazione di questi soggetti; è chiaro che la disponibilità di una norma UNI, che faccia riferimento a questi specifici soggetti, potrebbe costituire un prezioso punto di riferimento, oltretutto adottabile da enti di certificazione, che vivono e talvolta prosperano proprio su questi temi.

Ricordo ai lettori che attualmente è in corso il processo per l’elaborazione di una normativa riferita a questi specifici soggetti, che nascerà come connubio di una bozza di norma, sviluppato secondo l’ormai ben noto schema EQF, applicabile a professioni non regolamentate, come appunto quello in questione, ed un’altra bozza di norma, sviluppata secondo lo schema eCF, specialmente applicabile alle conoscenze ed alle competenze informatiche.
Le commissioni coinvolte stanno lavorando intensamente e vi è speranza che il prima della fine dell’anno, possa essere pubblicato una norma per questa professione non regolamentata.
La pubblicazione della norma da un lato permetterà ai titolari del trattamento di avere uno strumento di riferimento nella selezione del personale, dall’altro consentirà agli istituti di formazione e certificazione di avere a disposizione un percorso, oggettivamente e universalmente riconosciuto, che potrà permettere di mettere a disposizione dei titolari soggetti debitamente qualificati e certificati.
 
Come i lettori ben vedono, il tema è piuttosto articolato e complesso e l’esperienza dimostra che i due anni, messi a disposizione dagli estensori del regolamento, passeranno molto più in fretta di quanto non si possa pensare.
Un tipico processo di selezione e assunzione, oppure contrattualizzazione di un responsabile della protezione dei dati si articola in tre fasi, ognuna delle quali indubbiamente richiede i suoi tempi:
  • la prima fase è quella di convincere i responsabili aziendali del fatto che questa figura è indispensabile e occorre quindi avviare la procedura di selezione e di individuazione;
  • la seconda fase è quella di passare dalla fase di selezione e individuazione alla fase di avvio dei colloqui, che potranno portare all’assunzione;
  • la terza fase è quella legata al periodo che passa tra l’accettazione dell’offerta da parte del soggetto individuato e la data effettiva nella quale potrà cominciar operare.
Infine, vale la pena di menzionare anche la quarta fase, perché sappiamo tutti benissimo che appena una persona viene inserite in azienda non può essere subito interamente operativa, perché avrà bisogno di un periodo di ambientazione e, soprattutto, di accettazione del suo ruolo da parte dei colleghi.
Basta leggere con attenzione il regolamento 2016/679 all’organismo per rendersi conto che questo ruolo potrebbe essere piuttosto invasivo, nei confronti dell’attività svolta dei colleghi, proprio come succede ai responsabili della security, che spesso devono più combattere con i colleghi interni all’azienda, che con i malviventi all’esterno dell’azienda!
A questo punto il mio messaggio spero sia chiaro:
  • prima si comincia a cercare questo soggetto, che obbligatoriamente dovrà essere assunto o contrattualizzato entro il 24 maggio 2018, per un gran numero di titolari del trattamento, tanto meglio per tutti!
 
(Fonte: Adalberto Biasiotti, http://www.puntosicuro.it/)