Dopo le critiche di Nicola Bernardi, presidente di Federprivacy, gli altri membri della commissione che ha lavorato alla norma tecnica finalizzata a definire i profili professionali di quanti si occuperanno della protezione e del trattamento dei dati, hanno firmato un comunicato in cui stigmatizzano il comportamento e le frasi del presidente di Federprivacy.
Il documento, firmato da Fabio Guasconi, presidente CT 510 “Sicurezza” UNI/UNINFO, Partner Bl4ckswan, Roberto Scano, presidente CT 526 “APNR” UNI/UNINFO, Ugo Gecchelin, delegato CNI per UNINFO e Fabrizio Bulgarelli, responsabile IS Audit & IT Advisory presso BDO Italia, si apre con una serie di chiarimenti normativi:
“Dopo oltre un anno di lavori è arrivato alla fase finale di inchiesta pubblica il progetto di norma tecnica UNI/UNINFO “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza abilità e competenza” che definisce i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali”.
Occorre evitare il Far West
Del resto la necessità di una normativa univoca nel settore era necessaria, anche in considerazione del fatto che alcuni professionisti stavano investendo tempo e denaro per certificare le proprie competenze, così come le aziende devono potersi affidare dati anche sensibili a persone in possesso di reali competenze. Per questo, si legge nel documento:
“Uno degli obiettivi dichiarati fin dal principio è stato quello di portare regole comuni condivise, onde evitare un “far west” a scapito di professionalità e competenze su un mercato già popolato da iniziative proprietarie, nessuna delle quali qualificante delle prestazioni professionali sulla base della legge n°4 del 2013. Alcuni dei promotori di tali iniziative hanno anche deciso di partecipare ai tavoli per l’elaborazione della norma tecnica, perdendo tuttavia l’occasione per avvicinare la nuova norma ai loro schemi e cercando invece in tutti i modi di fare ostruzionismo verso l’uscita della stessa che invece è ora finalmente in vista.
La norma tecnica, frutto di una collaborazione dichiarata dal principio tra esperti legali ed esperti di ICT provenienti da due commissioni UNI e una commissione UNINFO, recepisce pienamente non solo le disposizioni in materia del Regolamento UE 2016/679 ma anche tutte le più recenti indicazioni fornite dal WP 29 andando a mettere insieme le conoscenze delle diverse componenti di maggior rilievo delle norme di legge applicabili e quelle dei sistemi informativi nonché delle tecniche di protezione e sicurezza ad essi relative, ormai imprescindibili nella nostra società”.
Quali sono le nuove figure
Entrando nei dettagli del contenuto e senza alimentare polemiche che, come spesso accade, non aiutano a comprende lo spirito di una norma tecnica, nel comunicato viene spiegato come “partendo da un’impostazione generale solidamente strutturata e già riconosciuta a livello europeo e nazionale (EQF ed e-CF), arricchita, ampliata e ulteriormente avvicinata ai contesti non ICT, è stato definito un insieme “minimo” di profili professionali che, assieme ad una figura di DPO allineata alla lettera ai dettami del nuovo Regolamento UE 2016/679, include una figura di taglio manageriale, una figura di tipo operativo e una figura di valutatore esterno. Questi profili, nel loro insieme ed eventualmente anche aggregati tra loro nelle realtà più semplici, sono stati pensati per poter fornire tutto il supporto a titolari e responsabili nella gestione dei trattamenti di dati personali.
Considerando la prevista entrata in vigore del nuovo Regolamento UE 2016/679 e delle diverse novità fondamentali al suo interno a maggio 2018 ce ne sarà certamente bisogno. Un’innovazione significativa sarà, ad esempio quella legata al passaggio dall’adozione di misure di sicurezza “statiche” come quelle presenti nell’Allegato B del d.lgs. 196/2003 a quelle definite come risultato di attività di valutazione degli impatti e del rischio, che, assieme all’avanzamento tecnologico registrato negli ultimi quindici anni, richiedono una serie di competenze specifiche”.
Feedback costruttivi
Le righe finali del documento spiegano che il progetto di norma tecnica non è comunque arrivato al termine del proprio cammino perché, come previsto dall’iter di questi progetti, è ora aperta la possibilità di esprimere pareri e di inviare commenti costruttivi. Anche se stupisce il fatto che critiche alla norma, come quelle mosse da Federprivacy, arrivino da chi ha contribuito a scrivere la norma stessa: “Una volta conclusa l’inchiesta pubblica (accessibile e commentabile da tutti inserendo il codice progetto E14D00036 nella pagina dedicata del sito www.uni.com e il cui scopo è comunque quello di recepire feedback di valore da parte di soggetti non già coinvolti nello sviluppo della norma tecnica), l’Italia sarà il primo paese a dotarsi di uno schema nazionale di questo tipo a livello europeo e potrà riproporlo per esame ed adozione a livello europeo, proponendosi una volta di più come locomotiva piuttosto che come fanalino di coda”.
