Professioni non regolamentate: lo strano caso del Privacy Officer

Transcript

1 Professioni non regolamentate: lo strano caso del Privacy Officer 18 maggio 2015 Graziano Garrisi, Enrica Maio Con l evoluzione delle attività economiche e la diffusione di nuove conoscenze e competenze all interno del mercato europeo, è emerso il problema di come qualificare e riconoscere i nuovi professionisti, a maggior ragione nei casi in cui manchino gli strumenti normativi che consentono la qualificazione degli stessi. Recentemente in ISO, CEN e UNI sono state proposte varie iniziative per la qualificazione di attività professionali che hanno portato alla definizione di un corposo pacchetto di norme UNI. A tal fine, nel 2011 è stata costituita dall UNI la commissione tecnica Attività professionali non regolamentate, con lo scopo di definire terminologia, principi, caratteristiche e requisiti relativi alla qualificazione di attività professionali e/o professioni non regolamentate e non rientranti nelle competenze di altre commissioni tecniche ed Enti Federati. La figura del responsabile del trattamento Sentiamo spesso parlare del responsabile del trattamento dei dati, o data protection officer, e molti lo definiscono, in linea generale, come quella figura fondamentale per il rispetto della privacy all interno dei vari contesti organizzativi pubblici o privati. Si tratta di una figura professionale con sostanziali responsabilità e compiti nel trattamento dei dati di terzi, che governa il trattamento elettronico di tutti i dati personali presenti nei flussi informativi e documentali di un azienda, PA o studio professionale. Questa figura è giuridicamente prevista, contenuta e disciplina nell articolo 4 del Decreto Legislativo n. 196/2003 (Codice per la protezione dei dati personali), il quale stabilisce che il responsabile del trattamento è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali. Il responsabile è, quindi, un preposto designato dal Titolare del trattamento il quale specifica per iscritto i compiti a lui affidati, ed è un soggetto che grazie alla sua esperienza, capacità e competenza è in grado di fornire idonee garanzie di rispetto delle vigenti disposizioni in materia di trattamento e sicurezza dei dati stessi. Tra i suoi compiti e funzioni rientrano svariate attività di trattamento, tra cui la raccolta, la registrazione, la conservazione dei dati personali e sensibili contenuti in archivi e fascicoli, sia su supporto cartaceo che informatico. Inoltre, egli può essere preposto alla conservazione delle dichiarazioni del consenso al trattamento dei dati degli interessati e deve avere cura che l accesso agli stessi sia consentito solo ai soggetti autorizzati. Possiamo ritrovare altre funzioni e responsabilità a lui riferibili anche negli articoli 157, 158 e 159 del Codice Privacy, i quali descrivono le procedure per la richiesta di informazioni e l esibizione di documenti, gli accertamenti e le modalità con cui possono essere effettuati i controlli da parte dell Autorità Garante per la protezione dei dati personali. Il responsabile del trattamento, per la particolarità delle funzioni svolte, può pertanto essere definito come una figura trasversale che deve possedere competenze legali, ma anche conoscere a fondo i sistemi informativi. La figura del privacy officer 1

2 Il privacy officer è una figura con competenze giuridiche e informatiche inserita in una realtà aziendale e la sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento dei dati personali - e quindi la loro protezione - all interno dell azienda stessa, in modo tale che questi siano trattatati in modo lecito e nel rispetto delle normative vigenti. Il privacy officer è una figura contenuta nella bozza di Regolamento europeo sulla protezione dei dati, tuttora in discussione presso l UE e di cui si aspetta ancora l emanazione. Il privacy officer o responsabile della protezione dei dati (così tradotto nella versione italiana del regolamento europeo) deve possedere un adeguata conoscenza della normativa che disciplina la gestione dei dati personali nel Paese in cui opera; deve saper progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, adottando anche idonee misure di sicurezza finalizzate alla tutela dei dati stessi. L articolo 36 della proposta di Regolamento europeo sulla protezione dei dati personali, così descrive la posizione del privacy officer: il responsabile del trattamento o l incaricato del trattamento si assicura che il responsabile della protezione dei dati (o privacy officer) sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali; il responsabile del trattamento o l incaricato del trattamento si assicura che il responsabile della protezione dei dati adempia alle funzioni e ai compiti in piena indipendenza e non riceva alcuna istruzione per quanto riguarda il loro esercizio; il responsabile della protezione dei dati riferisce direttamente ai superiori gerarchici del responsabile del trattamento o dell incaricato del trattamento; il responsabile del trattamento o l incaricato del trattamento sostiene il responsabile della protezione dei dati nell esecuzione dei suoi compiti e gli fornisce personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all articolo 37 del regolamento. L articolo 37 della proposta di Regolamento europeo sulla protezione dei dati personali individua i seguenti compiti del privacy officer (o responsabile sulla protezione dei dati): informare e consigliare il responsabile del trattamento o l incaricato del trattamento in merito agli obblighi derivanti dal Regolamento stesso e conservare la documentazione relativa a tale attività e alle risposte ricevute; sorvegliare l attuazione e l applicazione delle politiche del responsabile del trattamento o dell incaricato del trattamento in materia di protezione dei dati personali, compresi l attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi; sorvegliare l attuazione e l applicazione del Regolamento stesso, con particolare riguardo ai requisiti concernenti la protezione fin dalla progettazione, la protezione di default, la sicurezza dei dati, l informazione dell interessato e le richieste degli interessati di esercitare i diritti riconosciuti dal presente regolamento; garantire la conservazione della documentazione di cui all articolo 28; controllare che le violazioni dei dati personali siano documentate, notificate e comunicate ai sensi degli articoli 31 e 32; controllare che il responsabile del trattamento o l incaricato del trattamento effettui la valutazione d impatto sulla protezione dei dati e richieda l autorizzazione preventiva o la consultazione preventiva nei casi previsti dagli articoli 33 e 34; 2

3 controllare che sia dato seguito alle richieste dell autorità di controllo e, nell ambito delle sue competenze, cooperare con l autorità di controllo di propria iniziativa o su sua richiesta; fungere da punto di contatto per l autorità di controllo per questioni connesse al trattamento e, se del caso, consultare l autorità di controllo di propria iniziativa. La figura del privacy officer, tuttavia, non è normata dal codice italiano per la protezione dei dati personali e, inoltre, vista l assenza di qualsiasi normativa riguardante la disciplina di questa specifica figura, si deve fare particolare chiarezza anche sul suo possibile riconoscimento professionale considerando la Legge 4/2013, con cui è stata disciplinata la regolamentazione delle professioni non organizzate in ordini o collegi ai sensi dell articolo 2229 e seguenti del codice civile. Varie sono state le iniziative in ISO, CEN e UNI per la qualificazione di attività professionali, le quali, come abbiamo già detto, hanno portato alla definizione di un corposo pacchetto di norme. In assenza di una specifica norma UNI che definisca dettagliatamente le competenze riferibili all ambito professionale tutelato, la certificazione dei requisiti professionali non è possibile: infatti, qualora la norma UNI su determinate competenze professionali non esista, non è possibile ritenere quelle competenze certificabili da nessuna associazione o ente, i quali potranno in questo caso limitarsi esclusivamente a qualificare (e non certificare ) dette competenze, come previsto dalla Legge 4/2013. Per quanto riguarda la Legge 4 del 14 gennaio 2013 Disposizioni in materia di professioni non organizzate, essa all articolo 1 (in attuazione dell articolo 117, comma terzo, della Costituzione e nel rispetto dei principi dell Unione Europea in materia di concorrenza e di libertà di circolazione) disciplina le professioni non organizzate in ordini o collegi. In particolare, l articolo 6 rubricato Autoregolamentazione volontaria, pur non rendendo obbligatorio il rispetto delle norme UNI, definisce i principi e i criteri generali che disciplinano l esercizio autoregolamentato dell attività professionale che la norma tecnica garantisce. Con l approvazione della Legge 4/2013 è consentito ai professionisti di scegliere la forma di esercizio della propria attività (forma individuale, associata, societaria o lavoro indipendente). Il professionista può, dunque, costituire associazioni professionali di natura privatistica con il fine di valorizzare le competenze degli associati. È ovvio che le associazioni costituitesi in forma aggregativa da altre associazioni aderenti, sono caratterizzate dai caratteri dell indipendenza e dell imparzialità, essendo soggetti autonomi rispetto alle associazioni professionali che le compongono. Stando così le cose bisogna prestare particolare attenzione all esistenza di certificazioni di competenze professionali in assenza dei relativi requisiti stabiliti dalla legge. Per quanto riguarda la figura del privacy officer, ad oggi, non esiste, infatti, alcuna norma tecnica UNI che la regolamenti. Ciò nonostante, alcune associazioni che offrono corsi di formazione hanno creato un proprio schema proprietario di riferimento sulle competenze del privacy officer che permetterebbe, a loro parere, di certificare le competenze individuate grazie a un ente di certificazione, facendo impropriamente riferimento alla norma UNI/ISO Conformity assessment - General requirements for bodies operating certification of persons. Tale norma è applicabile in generale agli organismi che effettuano la certificazione di persone, ma non è una norma specifica per certificare le particolari competenze professionali relative alle attività di consulenza nell ambito privacy. 3

4 Tale norma ISO non è idonea per certificare le competenze professionali del privacy officer, anche perché, occorre sottolinearlo ulteriormente, questa figura non è ancora prevista normativamente e giuridicamente, in quanto il Regolamento europeo precedentemente citato è ancora in fase di discussione. La UNI/ISO si limita, dunque, a certificare le persone, a livello europeo e per determinati percorsi, secondo requisiti generici, riconosciuti e condivisi. Inoltre, la normativa ISO non prescrive quali siano le singole figure professionali che l Organismo di certificazione deve certificare, ma stabilisce piuttosto che l organismo di certificazione definisca per ogni figura professionale i requisiti che caratterizzano la figura che sarà certificata. Attraverso la normativa ISO 17024, quindi, l organismo di certificazione stabilisce per sé le regole che gli consentiranno di certificare le competenze del professionista. Normazione, accreditamento e certificazione Schematizzando, possiamo individuare un sistema di normazione (ISO, CEN, UNI) con l emissione di specifiche norme che vengono recepite dalle associazioni di riferimento, un sistema di accreditamento (IAF, EA, ACCREDIA) che accredita gli Organismi di Certificazione e un sistema di certificazione costituito dall ente che rilascia i certificati. Quando ci si riferisce alle certificazioni delle competenze professionali, si deve tener presente lo standard di riferimento UNI/ISO e lo schema di certificazione (disciplinare o norme tecniche). La norma di accreditamento UNI/ISO si applica agli enti di certificazione e stabilisce i requisiti per questi organismi. Essa è stata elaborata per creare un riferimento internazionale per i precitati enti certificatori, in modo da facilitare il mutuo riconoscimento delle certificazioni stesse nei vari Paesi del mondo. Detto ciò, è chiaro che non è sufficiente essere conformi a una norma tecnica generica e richiamare impropriamente un riferimento normativo per inventare una figura professionale e certificarne le competenze. Tali figure possono essere, anzi, fuorvianti e creare confusione nel consumatore e nello specifico in chi abbia intenzione di formarsi. È difficile comprendere che cosa si intenda per privacy officer, che a volte viene definito anche come consulente privacy, perché se per consulente privacy si intende il consulente legale, allora sicuramente si dovrà fare attenzione all utilizzo di questo professionista e al ruolo che egli potrà assumere, dovendo fare preciso riferimento alla disciplina della professione forense. Concludendo, non ci rimane che ribadire che la figura professionale del privacy officer, oggetto di formazione e certificazione da parte di alcuni enti, non è prevista da nessuna normativa, di conseguenza non è ancora possibile certificarla sulla base di una normativa tecnica UNI. Occorrerà, quindi, fare particolare attenzione alla tipologia di riconoscimenti e di certificazioni che vengono proposti sul mercato - e che rischiano di non avere alcuna valenza giuridica - e stare attenti a non cadere nella trappola delle false attestazioni. N.B. Al fine di evitare pretestuose interpretazioni errate del nostro pensiero, si precisa che per false attestazioni intendiamo ovviamente non falsi documentali, ma attestazioni e certificazioni che, per il modo in cui sono presentate sul mercato, rischiano di risultare ingannevoli per i consumatori e i professionisti che se ne avvalgono e, quindi, finire per essere farlocche piuttosto che indice di serietà e qualità. Articolo pubblicato in: Diritto della privacy 4

5 TAG: Privacy Officer Avvertenza La pubblicazione di contributi, approfondimenti, articoli e in genere di tutte le opere dottrinarie e di commento (ivi comprese le news) presenti su Filodiritto è stata concessa (e richiesta) dai rispettivi autori, titolari di tutti i diritti morali e patrimoniali ai sensi della legge sul diritto d'autore e sui diritti connessi (Legge 633/1941). La riproduzione ed ogni altra forma di diffusione al pubblico delle predette opere (anche in parte), in difetto di autorizzazione dell'autore, è punita a norma degli articoli 171, 171-bis, 171-ter, 174-bis e 174-ter della menzionata Legge 633/1941. È consentito scaricare, prendere visione, estrarre copia o stampare i documenti pubblicati su Filodiritto nella sezione Dottrina per ragioni esclusivamente personali, a scopo informativo-culturale e non commerciale, esclusa ogni modifica o alterazione. Sono parimenti consentite le citazioni a titolo di cronaca, studio, critica o recensione, purché accompagnate dal nome dell'autore dell'articolo e dall'indicazione della fonte, ad esempio: Luca Martini, La discrezionalità del sanitario nella qualificazione di reato perseguibile d'ufficio ai fini dell'obbligo di referto ex. art 365 cod. pen., in "Filodiritto" ( con relativo collegamento ipertestuale. Se l'autore non è altrimenti indicato i diritti sono di Inforomatica S.r.l. e la riproduzione è vietata senza il consenso esplicito della stessa. È sempre gradita la comunicazione del testo, telematico o cartaceo, ove è avvenuta la citazione. 5