Diritto e Fisco | Articoli

Privacy: per il Data Protection Officer serve una certificazione ISO?

13 novembre 2018


Privacy: per il Data Protection Officer serve una certificazione ISO?

> Diritto e Fisco Pubblicato il 13 novembre 2018



Privacy: il Data Protection Officer deve avere competenze al ruolo svolto nella protezione dei dati personali, ma questo implica che debba anche ottenere una certificazione ISO.

La legge sulla privacy prevede la figura del Data Protection Officer, cioè di un soggetto esperto a cui sono affidati compiti di responsabilità nella gestione del trattamento di dati personali, tra cui quello di garantire che tutte le relative operazioni da compiere sui dati (acquisizione, archiviazione, utilizzo, ecc.) avvengano in sicurezza e nel rispetto delle disposizioni di legge vigenti. Per le imprese, la scelta di nominare un Data Protection Officer è quasi sempre facoltativa, salvo alcuni casi in cui, data la delicatezza dei dati e la complessità e la mole delle operazioni da svolgere, la nomina di tale figura è prevista come obbligatoria. La scelta sul soggetto chiamato a ricoprire tale ruolo può ricadere all’interno o all’esterno dell’organizzazione in cui opera. Ti starai chiedendo, a questo punto, cosa faccia e quali competenze debba possedere il Data Protection Officer, in modo da poterlo scegliere al meglio e, in particolare, se ai sensi delle norme sulla Privacy: per il Data Protection Officer serve una certificazione ISO? e, in caso di risposta affermativa, quale è la certificazione più adatta.

Le principali figure per il trattamento dei dati personali 

Il 25 maggio 2018 sono entrate in vigore nuove norme sulla protezione dei dati personali, previste dall’Unione Europea e recepite di recente dall’ordinamento italiano [1]. Tra gli adempimenti previsti a carico di imprese e Pubbliche Amministrazioni rientra la necessità di individuare con precisione i soggetti, i compiti e le relative responsabilità tra i soggetti che svolgono operazioni di trattamento dei dati personali come, ad esempio, la loro acquisizione, utilizzo, aggiornamento ed eliminazione.

Le principali figure previste sono:

  • il titolare del trattamento, cioè il soggetto che si occupa di prendere tutte le decisioni sulle finalità e le modalità del trattamento dei dati personali. Può essere una persona fisica, una persona giuridica (ad esempio una società) o una Pubblica Amministrazione [2];
  • il responsabile del trattamento, cioè il soggetto che si occupa delle operazioni di trattamento dei dati personali per conto del titolare. Si tratta di un soggetto a cui il titolare affida tutte o un gruppo di operazioni di trattamento sui dati personali [3];
  • gli autorizzati al trattamento, cioè i soggetti che, in concreto, svolgono le operazioni sui dati personali (ad esempio i dipendenti del titolare o del responsabile) [4].
  • il Data Protection Officer (o responsabile del trattamento dei dati personali), cioè il soggetto che si occupa di garantire il rispetto delle norme sulla privacy nell’organizzazione in cui opera.

Data Protection Officer: cosa fa e quando dev’essere nominato?

Il Data Protection Officer è una figura prevista dalla legge sulla privacy [5] che, all’interno di imprese e Pubbliche Amministrazioni, può ricoprire un ruolo particolarmente rilevante nel trattamento e nella protezione dei dati personali.

In particolare, il Data Protection Officer è tenuto a [6]:

  • vigilare sul rispetto delle norme sulla privacy all’interno dell’organizzazione in cui opera;
  • valutare e prevenire eventuali rischi nel trattamento dei dati personali;
  • collaborare e supportare i soggetti che hanno ruoli di responsabilità e direzione del trattamento (il titolare e il responsabile del trattamento);
  • informare e sensibilizzare tutti i soggetti dell’organizzazione in cui opera riguardo agli obblighi in materia di protezione dei dati;
  • cooperare con il Garante per la Protezione dei Dati Personali, cioè fare da tramite tra l’impresa o amministrazione in cui opera e l’Autorità di vigilanza sul rispetto delle norme in materia di privacy.

La nomina del Data Protection Officer è una scelta consigliata per tutte le imprese, dato che consente di ridurre al minimo il rischio di violazioni delle norme sulla privacy o di incidenti che portino, ad esempio, alla diffusione incontrollata di dati riservati (cosiddetti “data breaches”). Per alcuni soggetti, invece, la nomina del Data Protection Officer è prevista come obbligatoria.

Si tratta, in particolare, dei seguenti soggetti:

  1. amministrazioni, enti pubblici e autorità giudiziarie;
  2. soggetti che, per la loro attività, svolgono un monitoraggio regolare e sistematico dei dati personali su larga scala (ad esempio istituti di credito, call center, società di selezione del personale ecc.)
  3. soggetti che svolgono operazioni di trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici (ad esempio ospedali e laboratori d’analisi).

Data Protection Officer: le competenze e le capacità richieste

Le norme sulla privacy non prevedono una particolare qualifica per svolgere il ruolo di Data Protection Officer, ma richiedono che abbia conoscenze adeguate al suo ruolo. In linea di massima è ragionevole aspettarsi che il Data Protection Officer abbia:

  • una conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, anche tenendo conto del grado di protezione richiesta per i dati personali oggetto di trattamento sulla base della loro sensibilità, complessità e quantità. Ad esempio, se il trattamento è effettuato su grandi quantità di dati relativi alla salute, le competenze del Data Protection Officer dovranno essere maggiori rispetto a quelle richieste in caso di trattamenti solo su indirizzi email, nomi e cognomi;
  • una conoscenza adeguata del settore di attività e dell’organizzazione in cui opera. Ad esempio, se si tratta di una Pubblica Amministrazione, il Data Protection Officer dovrà conoscere tutte le disposizioni che ne regolano l’organizzazione e i procedimenti amministrativi;
  • una adeguata conoscenza informatica, con riferimento agli strumenti telematici attraverso cui le operazioni di trattamento sono svolte.

Si tratta quindi di competenze legate tanto al settore della protezione dei dati personali, quanto alla organizzazione dell’impresa o dell’Amministrazione in cui opera. Questo implica la necessità di una certificazione ISO? Vediamolo insieme

Per il DPO serve una certificazione ISO?

Le certificazioni ISO sono certificazioni che con un cui un soggetto terzo (l’organismo di certificazione) verifica e attesta il rispetto di regole, requisiti e standard raggruppati in un unico documento di riferimento adottato dalla Organizzazione internazionale per la normazione.

Tale documento è definito “norma” ed è denominato secondo un formato del tipo “ISO nnnn:yyyy – titolo”, dove:

  • “nnnn” è il numero assegnato alla norma;
  • “yyyy” è l’anno di pubblicazione;
  • “titolo” è una breve descrizione della norma.

Nel caso del personale, la certificazione ISO assicura che determinati soggetti possiedano competenze, conoscenze e abilità adeguate ai compiti da svolgere. Per questo motivo, nel settore pubblico, spesso il possesso delle certificazioni ISO è richiesto come condizione per partecipare alla gara per l’affidamento di un servizio in relazione al quale debbano essere possedute determinate competenze, conoscenze e abilità,

Esiste una norma ISO obbligatoria per il Data Protection Officer?

Per il Data Protection Officer è stata pubblicata la norma ISO 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”. Si tratta della norma che individua i requisiti dei soggetti che operano nel trattamento e nella protezione dei dati.

Con particolare riferimento al Data Protection Officer, la norma definisce:

  • i compiti principali che è chiamato a svolgere;
  • le competenze, le abilità e le conoscenze richieste, tra cui:
    • la capacità di analisi, di organizzazione, di pianificazione e programmazione;
    • la capacità di individuare criticità, debolezze e vulnerabilità nell’organizzazione;
    • la capacità di garantire il rispetto delle norme sulla privacy;
    • la conoscenza dei principi in materia di protezione dei dati personali;
    • la conoscenza delle migliori pratiche, degli standard, delle norme legali e delle nuove tecnologie che possono rilevare nel trattamento dei dati personali;
    • le competenze gestionali/manageriali.

Nonostante misuri il possesso dei requisiti professionali per svolgere il ruolo di Data Protection Officer, la certificazione ISO 11697:2017 non è obbligatoria. Pertanto:

  • l’impresa può nominare un Data Protection Officer, interno o esterno, sprovvisto della ISO 11697:2017;
  • le amministrazioni non sono tenute a prevedere la ISO 11697:2017 come requisito di partecipazione per le procedure di affidamento del ruolo di Data Protection Officer.

Esistono altre certificazioni che pur non avendo ad oggetto le specifiche mansioni del Data Protection Officer potrebbero essere erroneamente ritenute compatibili con tale figura. Una di queste è la certificazione ISO 27001:2017 “Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti”. Si tratta di una norma che definisce i requisiti, le regole e gli standard per garantire la gestione della sicurezza nell’utilizzo dei sistemi informatici. Tale certificazione è stata ritenuta da alcune sentenze non adatta a misurare il possesso delle competenze, delle conoscenze e delle abilità richieste per svolgere le funzioni di Data Protection Officer [7].

In particolare, è stato ritenuto che la certificazione di Auditor/Lead Auditor ISO/IEC/27001 non colga pienamente la specifica funzione dell’incarico di Data Protection Officer. Si tratta, infatti, di certificazione che mira ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma non attiene alla tutela e alla protezione dei dati personali.

Di GIUSEPPE BRUNO

note

[1] Reg. (UE) n. 679/2016 e D. Lgs. n. 101/2018 che ha modificato il Codice Privacy al d.lgs. n. 196/2003.

[2] Art. 4 co. 1 n. 7 e art. 24 del Reg. (UE) n. 679/2016.

[3] Art. 4 co. 1 n. 8 e art. 28 del Reg. (UE) n. 679/2016.

[4] Art. 4 co. 1 n. 10 del Reg. (UE) n. 679/2016.

[5] Art. 37, Reg. (UE) n. 679/2016.

[6] Artt. 38 e 39 del Reg. (UE) n. 679/2016.

[7] T.A.R. Friuli Venezia Giulia, Trieste sent.  n. 287 del 13.09.2018.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

1 Commento

  1. Attenzione non esiste la ISO 11697:2017, ma la UNI 11697:2017 norma italiana sui profili delle professioni privacy.
    Gli OdC di certificazione delle persone secondo la ISO 17024 possono certificare, solo in Italia, in uno dei profili previsti e il professionista certificato può operare in Italia secondo la lg.4/2013

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI