twitterlinkedinmail

GDPR e Certificazioni

Con l’imminente entrata in vigore del Regolamento EU di riforma della Privacy (provvedimento anche noto come GDPR) prevista per il prossimo maggio 2018, il mercato (sempre prolifico) delle Certificazioni si è mosso tempestivamente, nell’intento di proporre percorsi di Certificazione delle competenze ad hoc indirizzati agli aspiranti DPO (Data Protection Officer).

Nulla da eccepire, per carità, se non fosse che il marketing (come purtroppo spesso capita) abbia preso il sopravvento sulla litera legis, facendo dire alla normativa quello che in realtà essa non dice, e cioè ventilando l’obbligatorietà di una apposita Certificazione delle competenze da conseguirsi specificamente al fine di poter ricoprire il ruolo di DPO.

Era già successo ai tempi dell’approvazione della normativa sulle Professioni Non Regolamentate, L. n. 4/2013, che fu l’occasione per alcune Associazioni e Enti di certificazione per diffondere la “credenza” (per non scomodare il termine di fake news) secondo la quale fosse necessario iscriversi ad una Associazione professionale, nonchè certificare appositamente le competenze acquisite per poter esercitare validamente la professione non regolamentata di appartenenza (cosa che nei fatti la L. n.4/2013 non prevede, limitandosi a statuire la possibilità di iscrizione/certificazione, ma non certo la obbligatorietà al fine dell’esercizio professionale).

Nomina DPO e Certificazioni, il Garante Privacy si mette di traverso…

Adesso a “rompere le uova nel paniere” per quanto riguarda la pretesa necessità di conseguire certificazioni di competenze al fine di essere nominati DPO ci pensa il Garante Privacy, che con un proprio recente provvedimento sollecita l’adozione di un approccio “sostanzialista” nella scelta e nomina del DPO.

Più dei “pezzi di carta”, contano insomma le competenze (anche multidisciplinari) maturate, e soprattutto la scelta del DPO deve ricadere su soggetti che possano in concreto vantare competenze adeguate alla complessità dell’incarico.

…e c’è chi grida al “complotto”

Ovviamente la risposta da parte dei diretti interessati (non solo enti certificatori, ma anche utenti che hanno o stanno conseguendo la certificazione) non si è fatta attendere, e in alcuni casi qualcuno ha rispolverato la sempre-verde teoria del complotto, ventilando la possibilità che senza l’obbligo di certificazione le nomine di DPO nella Pubblica Amministrazione possano essere maggiormente ispirate a criteri “discrezionali” (come se bastasse il “pezzo di carta” per prevenire il malcostume delle nomine ad personam nella P.A.).

Tali osservazioni sono evidentemente pretestuose, e non tengono conto della ratio legis della normativa GDPR, oltre a trascurare gli orientamenti giurisprudenziali in merito alla valenza ricoperta dalle certificazioni standard in ambiti giuridici quali ad es. la Responsabilità Amministrativa delle Imprese (231/2001).

L’approccio “sostanzialista” adottato dalla normativa

Proprio di recente, la Corte di Cassazione (sentenza n.41768 depositata il 13/9/2017), nel condannare le società imputate per non essersi dotate del modello organizzativo e di gestione richiesto dal D.Lgs. n. 231/2001, ha incidentalmente “bocciato” i modelli ISO UNI EN ISO 9001 e “Deloitte”, statuendo che tali modelli non possono essere assimilabili al modello organizzativo previsto dalla 231/2001, in quanto non contengono l’individuazione degli illeciti da prevenire, oltre a non specificare il sistema sanzionatorio previsto per la violazione del modello.

Il parallelo con i “modelli 231” che viene naturale porre, è tutt’altro che peregrino, visto che la normativa GDPR (a differenza del precedente D.Lgs. n.196/2003) si avvicina molto alla logica giuridica prevista dalla Responsabilità Amministrativa delle Imprese (solo nominalisticamente amministrativa, ma penale nella sostanza e nelle forme del procedimento), volta a prevenire (oltre che contrastare) in concreto e non semplicemente “sulla carta” i rischi connessi alla gestione della Riservatezza (ben potendosi configurare una culpa in eligendo nei confronti del Titolare del Trattamento che provveda a nominare il DPO sulla base della Certificazione conseguita, anzichè valutare le effettive competenze del professionista, alla luce della complessità dell’incarico proposto).

Non dimentichiamo inoltre che tra i “reati presupposto” della normativa 231/2001 vi sono anche i reati informatici, alla cui prevenzione (in relazione alle possibili conseguenze negative in materia di Tutela della Riservatezza) contribuiscono anche le indicazioni fornite dal DPO (anche in relazione ai presidi di sicurezza predisposti dal Security Manager).