La libera circolazione di prodotti e servizi e il mercato globalizzato riguardano anche le competenze professionali. Per quanto concerne le professionalità, la coesistenza di sistemi scolastici e processi formativi anche molto diversi nei vari Stati UE ha fatto sorgere l'esigenza di un sistema europeo condiviso di riconoscimento delle competenze e delle professionalità dei lavoratori.
Dopo oltre un anno di lavori è giunto alla fase finale di inchiesta pubblica il progetto di norma tecnica UNI/UNINFO “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza abilità e competenza” che definisce i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali.
Le certificazioni rilasciate da enti di terza parte indipendenti e imparziali accreditati dalla Norma internazionale UNI CEI EN ISO/IEC 17024, rappresentano uno strumento di
misurazione oggettivo che permette al professionista di dimostrare con concretezza sul mercato del lavoro il possesso delle competenze necessarie per rivestire il ruolo di Privacy Officer.
La norma, frutto di una collaborazione alla quale hanno preso parte prestigiosi avvocati di rilievo nazionale ed altri giuristi e tecnici del settore specifico, recepisce pienamente non solo le disposizioni in materia del Regolamento UE 2016/679 ma anche tutte le più recenti pronunce fornite dal Gruppo di lavoro (WP 29) andando ad unire le conoscenze delle differenti componenti di maggior rilievo delle norme di legge applicabili e quelle dei sitemi informativi nonché delle tecniche di protezione e sicurezza ad essi relativi.
La norma già riconosciuta a livello europeo e nazionale – EQF ed e-CF, UNI 11506 e 11621 – è stata definita un insieme “minimo” di profili professionali che, assieme ad una figura di DPO allineata alla lettera ai dettami del nuovo Regolamento UE 2016/679, include una figura di taglio manageriale, una figura di tipo operativo e una figura di valutatore esterno.
Questi profili, nel loro insieme ed eventualmente anche aggregati tra loro nelle realtà più semplici, sono stati
pensati per poter fornire tutto il supporto a titolari e responsabili nella gestione dei trattamenti di dati personali. In Italia, Federprivacy, ha promosso la certificazione della figura professionale di “Privacy Officer”, presentando il proprio schema di certificazione, sviluppato in accordo ai requisiti della norma UNI CEI EN ISO/IEC 17024, al Garante per la protezione dei dati personali, il quale si è pronunciato positivamente con nota ufficiale del 13 ottobre 2011.
Dal 2012, nel nostro Paese, le certificazioni dei professionisti sono aumentate notevolmente, molti coloro che hanno intrapreso il percorso per ottenere il certificato di “Privacy Officer e Consulente della Privacy”, rilasciato dall'ente TÜV Italia102 ai candidati che al termine di un processo di
valutazione superano l'esame conclusivo costituito da prove scritte ed orali, durante il quale il candidato deve dimostrare ad una commissione d'esperti di possedere una idonea formazione ed esperienza professionale.
L'iter di certificazione si articola nei seguenti passaggi:
102 TÜV Italia è un ente indipendente di certificazione, ispezione, testing, collaudi e formazione, che offre servizi certificativi in ambito qualità, energia, ambiente, sicurezza e prodotto. Presente in Italia dal 1987 ed appartenente al gruppo TÜV SÜD, fondato nel 1866 per volontà di alcuni imprenditori e tecnici bavaresi che, preoccupati per le frequenti esplosioni che coinvolgevano i generatori ed i serbatoi a pressione, crearono l'Associazione bavarese di ispezione per i serbatoi a pressione, oggi conosciuta in tutto il mondo con il nome di TÜV SÜD.
• presentazione della candidatura, attraverso il modulo di “richiesta certificazione” e di tutti i documenti richiesti;
• verifica del possesso dei requisiti di formazione (conoscenza) e di esperienza professionale specifica (abilità) richiesti dallo schema;
• svolgimento di un esame di certificazione, composto da prove scritte ed un colloquio individuale sulle materie professionali;
• rilascio della certificazione da parte del comitato di delibera.
Il rilascio della certificazione consente l'iscrizione del professionista nel registro dei professionisti certificati per la figura professionale richiesta. Tale informazione, se autorizzata da parte del candidato in fase di richiesta di certificazione, permette la pubblicazione dei dati del candidato sul sito www.tuv.it e, nel caso di schemi accreditati, sul sito www.accredia.it.
I registri pubblicati sul sito www.tuv.it vengono aggiornati con cadenza mensile e contestualmente comunicati ad Accredia103 per l'aggiornamento del loro sito. Analoga
103 ACCREDIA è l'Ente unico nazionale di accreditamento designato dal Governo il 22 dicembre 2009, nato come Associazione riconosciuta, senza scopo di lucro dalla fusione di SINAL e SINCERT e con il contributo di SIT - INRIM, ENEA e ISS.
modalità di comunicazione viene attuata per i provvedimenti di rinuncia, sospensione e revoca della certificazione.
La certificazione ha validità triennale con tacito rinnovo ed è vincolata al rispetto delle condizioni richieste dallo schema per il suo mantenimento. Nel triennio di validità sono previsti due mantenimenti annuali.
La certificazione delle competenze offre, dunque, numerosi vantaggi:
• per il Professionista, è un'attestazione di professionalità che arricchisce il curriculum, aprendo la strada a nuove opportunità lavorative;
• per le Organizzazioni, è garanzia della professionalità dei propri dipendenti o fornitori di servizi.
In conclusione, un certificato come Privacy Officer, rilasciato da un ente di certificazione del personale accreditato ISO/IEC 17024, è il modo più concreto e attendibile per l'unico ente riconosciuto in Italia ad attestare che gli organismi di certificazione ed ispezione, i laboratori di prova, anche per la sicurezza alimentare, e quelli di taratura abbiano le competenze per valutare la conformità dei prodotti, dei processi e dei sistemi agli standard di riferimento. ACCREDIA opera sotto la vigilanza del Ministero dello Sviluppo Economico e svolge un servizio di pubblica autorità, in quanto l'accreditamento è un servizio svolto nell'interesse pubblico ed un efficace strumento di qualificazione dei prodotti e servizi che circolano su tutti i mercati.
Con ACCREDIA l'Italia si è adeguata al Regolamento del Parlamento Europeo e del Consiglio n. 765, del 9 luglio 2008, che dal 1° gennaio 2010 è applicato per l'accreditamento e la vigilanza del mercato in tutti i Paesi UE.
poter dimostrare le proprie attitudini, anche all'estero, dove l'unica barriera da dover rimuovere potrebbe essere la conoscenza di una seconda lingua.
Conclusioni
Sin dai tempi di Platone, l'uomo è stato alla costante ricerca di relazionarsi agli altri, di intessere relazioni sociali. Sino ad oggi, ogni forma associativa ha dovuto più o meno fare i conti con una serie di limiti anche fisici per entrare in contatto con i propri simili.
Le nuove tecnologie hanno permesso di superare anche grandi distanze a costi accessibili e in costi ridotti.
La parola, il suono, l'immagine, tutto può essere trasformato in bit e condiviso in Rete, e questo ovviamente ha cambiato profondamente le problematiche connesse alle responsabilità, ai diritti e alle forme di tutela.
Dall'economia alla medicina assistiamo a cambiamenti positivi. I Big data, le macro informazioni disponibili grazie al digitale, sono essenziali per le imprese perché possano competere nel mercato globale. Ma quello a cui assistiamo oggi è uno spostamento dei poteri: i dati sono un valore economico in mano a pochi grandi player e, in questo modo, la nostra vulnerabilità di cittadini cresce in modo esponenziale, così come aumentano i pericoli di essere “catalogati e spersonalizzati” in profilazioni sempre più
accurate.
Le Istituzioni europee hanno varato una riforma estremamente ambiziosa e impegnativa, che è scaturita da un travagliato periodo di trattative iniziato nel 2012.
A fronte di un'evoluzione tecnologica inarrestabile da un lato e irrinunciabile dall'altro, essendo la chiave di volta dello sviluppo delle economie di tutti i Paesi, la General Data
Protection Regulation, rappresenta una nuova concezione di
recepire la normativa, essendo caratterizzata oltre che da una prospettiva di efficacia duratura nel tempo, anche da un certo livello di flessibilità in grado di rispondere a dinamiche tecnologiche in continua trasformazione, tenuto altresì conto delle peculiarità delle aziende che dovranno osservare gli obblighi imposti.
Le disposizioni descritte nel nuovo testo normativo sono fortemente incentivate dal valore assunto dal dato personale e, più in generale, dal patrimonio informativo delle aziende sempre più esposte a rischi di perdita dei dati o della riservatezza sugli stessi, dati che devono necessariamente essere considerati un asset aziendale, e come tale da proteggere e preservare.
livello di attenzione delle aziende sulle tematiche della Data Protection, richiedendo loro un coinvolgimento diretto e attivo nel processo di adeguamento, piuttosto che relegandole a mere esecutrici passive.
Con il Regolamento arriveranno quindi nuove tutele e nuovi diritti per gli interessati, e immancabilmente nuovi obblighi a carico di Titolari e Responsabili.
Sarà introdotto esplicitamente il diritto all'oblio: ogni persona potrà richiedere, per motivi legittimi, la cancellazione dei propri dati in possesso di terzi.
Troveremo poi il diritto alla portabilità dei dati personali, grazie al quale gli interessati avranno diritto alla massima trasparenza e ad essere compiutamente informati su eventuali violazioni della privacy dei propri dati personali. Gli aspetti che verosimilmente avranno il maggiore impatto sulla vita delle imprese saranno: il principio della
accauntability (responsabilizzazione), in virtù del quale il
titolare del trattamento dovrà mettere in atto misure tecniche ed organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali sia garantito in conformità al Regolamento. Dovranno, inoltre, essere costituite e conservate apposite documentazioni
attestanti il “modello organizzativo e di sicurezza privacy”, saranno necessarie “valutazioni d'impatto sulla protezione dei dati personali, in caso di trattamenti di dati che si rivelino rischiosi.
Verrà poi introdotto il concetto della protezione dei dati personali “by design” e “by default”, ossia la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che per tutta la durata del trattamento, e di usarli secondo le finalità per cui gli interessati hanno prestato il loro consenso e per il tempo necessario alla realizzazione delle stesse.
Altra grande novità per gli enti pubblici e gli enti privati che trattino dati di natura delicata o monitorino su larga scala e in maniera sistematica gli individui, viene introdotta la figura del c.d. Data Protection Officer”: un soggetto, dipendente o professionista esterno all'ente, esperto di normativa e prassi in materia di privacy, con il compito di informare e consigliare il titolare del trattamento in merito agli obblighi derivanti dal Regolamento stesso, di vigilare sul loro effettivo adempimento, di fornire le sopracitate valutazioni d'impatto sulla protezione dei dati raccolti e di interfacciarsi, da un lato con gli interessati, dall'altro,
direttamente con il Garante.
Anche il regime sanzionatorio subirà un sensibile inasprimento: nel caso di violazioni delle norme previste dal Regolamento, infatti, saranno previste sanzioni pecuniarie fino ad un massimo di € 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo.
Il Regolamento oltre ad essere applicabile a tutti i titolari e responsabili stabiliti nel territorio dell’Unione Europea, prevede l’estensione della sua applicabilità anche a coloro i quali non siano stabiliti in detto territorio, nel caso in cui il trattamento riguardi l’offerta di beni o la prestazione di servizi ad interessati nell’Unione Europea, oppure il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo all’interno dell’Unione Europea.
Tuttavia, accanto a innovazioni giuridiche auspicate e intelligenti, compaiono ombre applicative.
Il successo della nuova disciplina dipenderà in modo significativo dalla maturazione di una sensibilità attenta alle problematiche inerenti alla protezione dei dati personali da parte dei titolari e dei responsabili del trattamento e dalla propensione di questi ultimi ad accettare di adeguarsi ai
nuovi e minuziosi standard di tutela. Indubbiamente le sanzioni elevate e i poteri più incisivi delle autorità di controllo rappresenteranno forti stimoli a conformarsi al Regolamento. Soltanto dal 25 maggio 2018 si potrà valutare con certezza se il legislatore europeo sia riuscito o meno nel suo intento di armonizzazione normativa.
Bibliografia
Acciai R., Il diritto alla protezione dei dati: la disciplina sulla
privacy alla luce del nuovo codice, Rimini, 2004.
Alpa G., La normativa sui dati personali. Modelli di lettura e
problemi esegetici, in Dir. Inf., 1997.
Arcudi G., Poli V., Il diritto alla riservatezza, Milano, 2000. Barbera A., Principi fondamentali. Art. 2, in Branca G., Comm.
Cost., Zanichelli, Bologna e Roma, 1975.
Bifulco, Cartaria, Celotto, L'Europa dei diritti, Bologna, 2002. Bloustein, 39 N.Y.U.L. Rev. 962, Privacy as an Aspect of Human Dignity: an answer to Dean Prosser, cit., 974.
Bolognini L., Il regolamento privacy europeo, Milano, 2016. Buttarelli G., Banche dati e tutela della riservatezza, Giuffrè, 1997.
Carigliano F., Benvegnù A., Paruzzo F., Diritto dell'internet, Primiceri, 2016.
Cassano G., Del Vecchio M., Diritto alla riservatezza e accesso
ai documenti amministrativi, Milano, 2001.
Cirillo G. P., Il nuovo codice in materia di trattamento dei dati personali. Il diritto alla protezione dei dati e gli schemi di riferimento relativi alla tutela dei diritti fondamentali della persona e dei cd. diritti dell’interessato, in G. Santaniello (a
cura di), La protezione dei dati personali, in Trattato di diritto
amministrativo, Padova, 2005, p.3.
Cirillo G. P., La tutela amministrativa e il ricorso contenzioso
innanzi al Garante per la protezione dei dati personali, in Aa.
Vv., La tutela della riservatezza, in Trattato di Diritto
Amministrativo, vol. XXVI, Cedam, 2000.
Clemente E., Privacy, Padova, 1999.
Condemi M., Commento all'art. 12, in AA.VV., Le modifiche
alla normativa in materia di privacy, cit., 121.
Condemi M., Commento all'art. 14, in AA.VV., Le modifiche
alla normativa in materia di privacy, cit., 133.
Condemi M., Commento all'art. 16, in AA.VV., Le modifiche
alla normativa in materia di privacy, cit., 141.
Cooley T. M., A treatise on the Law of Torts, Callaghan & Company, Chicago, 1988.
Coke E., in The Istitute of Laws of England, 1628.
De Cupis A., I diritti della personalità, in Trattato di diritto
civile e commerciale, Giuffrè, Milano, 1982.
Fiandaca G., Musco E., Diritto penale Parte generale, Bologna, 2004, pag. 753.
Fried, Privacy, in Yale L. J., 1968, 77, 482.
Gardini G., Le regole dell’informazione. Principi giuridici,
Imperiali Ri., Imperiali Ro., Codice della privacy, cit., 627, Ed. Il sole 24 ore, Milano, 2004.
Karas, Privacy, Identity, Databases, cit., 410.
Lugaresi N., Internet, Privacy e Pubblici Poteri negli Stati Uniti, Giuffrè Editore, 2000, p.49. 10 W. Prosser, Privacy, a legal analysis, in California Law Review, 1960.
Miller A., personal privacy in the computer age: the challange of a new technology in an information- oriented society, in Mich. L. Rev., 1969, 67, 1107.
Niger S., Le nuove dimensioni della privacy: dal diritto alla
riservatezza alla protezione dei dati personali, Cedam, 2006.
Ondei E., Esiste un diritto alla riservatezza?, in rass. dir. cinem., 1955, 66.
Pagallo U., La tutela della privacy negli Stati Uniti d’America e
in Europa, cit., pag. 96.
Perri P., Privacy, Diritto e sicurezza informatica, Milano, 2007. Prosser W., Privacy, a legal analysis, in California Law Review, 1960.
Rescigno P., Il diritto di essere lasciati soli, Napoli, 1964, 494. Rodotà S., Diritti e libertà nella storia d'Italia. Conquiste e
conflitti 1861-2011, Roma, Donzelli, 2011.
Rodotà S., Intervista su Privacy e libertà, Roma- Bari, Laterza, cit., pag. 19.
Rodotà S., La «privacy» tra individuo e collettività, in Pol. dir., Il Mulino, 1974, cit., 547.
Rodotà S., Privacy e Costituzione della sfera privata. Ipotesi e
prospettive, in Politica del diritto,1991.
Rodotà S., Tecnologie e diritti, Bologna, cit., 72. Ronald B. Standler, Privacy Law in the U.S.A., 1997.
Santamaria F., Il diritto alla illesa intimità privata, in Riv. dir.
Priv. , 1937, I, 168.
Schoeman V., Privacy, philosophical dimension of the
literature, cit., 3.
Shils E., Privacy: Its Constitution and Vicissitudes, in «Law and Contemporary Problems», 31 (1996), p. 289.
Traverso C. E., Riservatezza e diritto al rispetto della vita
privata, nota a Cass. 20 aprile 1963, n. 990, in Riv. dir. ind.,
1963, II, 30.
Warren S., Brandeis L. D., The right of privacy, in Harv.L. Rev., 1890, 4, 193.
Westin A. F., Privacy and Freedom, Atheneum, New York, 1967.