Il GDPR è molto chiaro: le certificazioni nel settore della privacy sono un ottimo strumento per aiutare il titolare o il responsabile a dimostrare la propria accountability (ossia la capacità di responsabilità), soprattutto nei momenti in cui si intavolano le trattative per definire i rapporti di contitolarità o di subordinazione delle responsabilità conseguentemente all’esternalizzazione dei trattamenti.
Difatti, l’art. 28, par. 5 del GDPR, recita: “L’adesione da parte del responsabile del trattamento [omissis] a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo”.
Tra le garanzie sufficienti, è bene ricordarlo, vi sono anche quelle in ordine alla sicurezza dei trattamenti, per impostazione predefinita e sin dalla progettazione.
A cosa servono
Osservando l’art.42 del GDPR, appare chiaro che il meccanismo di certificazione di cui si tratta nel Regolamento, è destinato a valutare e attestare che sono i trattamenti a essere conformi alla norma.
Pertanto, la certificazione ha lo scopo di documentare la qualità dei trattamenti compiuti dal titolare o dal responsabile, realizzati attraverso la fornitura di servizi nell’ambito di processi complessi o di singole attività.
Lo spirito delle certificazioni, quindi, non è molto diverso da quello che riguarda le impresse e gli enti quando adottano un sistema di gestione della qualità (SGQ) o di gestione della sicurezza delle informazioni (SGSI).
Questo concetto è riscontrabile infatti nelle parole del sesto paragrafo dello stesso articolo del GDPR, secondo cui: “Il titolare del trattamento o il responsabile del trattamento che sottopone il trattamento effettuato al meccanismo di certificazione fornisce all’organismo di certificazione di cui all’articolo 43 o, ove applicabile, all’autorità di controllo competente tutte le informazioni e l’accesso alle attività di trattamento necessarie a espletare la procedura di certificazione”.
È chiaro, perciò, che per il GDPR si possono certificare i trattamenti, o meglio, il GDPR disciplina le certificazioni dei trattamenti, cioè di attività o insiemi di attività (processi) compiute sui dati personali.
Il loro valore effettivo
Oggi, alla luce della situazione attuale, il percorso formativo che porta alla certificazione, per quanto articolato, non deve in nessun caso essere considerato esaustivo di tutte le conoscenze che un DPO dovrebbe possedere. Pertanto, la certificazione va intesa solamente come uno strumento in più con cui il candidato DPO riesce a garantire le proprie determinate caratteristiche e conoscenze, senza, tuttavia, fornire assicurazioni riguardo le sue capacità organizzative e gestionali, sia in situazioni ordinarie che straordinarie, quali potrebbero essere le violazioni di dati o l’esercizio di diritti da parte degli interessati o le ispezioni da parte delle autorità di controllo.
A riguardo, in funzione delle esperienze pregresse dichiarate dal candidato, la norma UNI 11697, delinea quattro “livelli” di certificazione:
- DPO;
- Privacy Manager;
- Privacy Specialist;
- Privacy Auditor.
Viceversa, la parte afferente alle capacità organizzative e comportamentali è garantita dall’etica della persona.
In quest’ottica, quindi, la certificazione di competenze dovrebbe essere utilizzata come maggior garanzia in sede di assegnazione del ruolo, in quanto è potenzialmente più affidabile un candidato certificato rispetto a uno non certificato, a parità di curriculum accademico e di esperienze professionali pregresse.
Il corso Privacy Specialist DPO targato Musa Formazione mira appunto a fornire a ciascuno studente la preparazione adatta per svolgere questa professione e garantire il possesso delle competenze adeguate, anche attraverso l’acquisizione della certificazione Privacy G.D.P.R. DPO Pekit.