Tra i numerosi spunti che sono scaturiti dal 4° Privacy Day Forum al CNR di Pisa, uno che merita l’attenta riflessione degli addetti ai lavori, emerge dall’intervento del prof. Francesco Pizzetti, sette anni Garante della protezione dei dati personali. Parlando del data protection officer, figura che sarà introdotta nella UE con il nuovo regolamento, il suo monito è stato perentorio: “Non si può pensare di diventare data protection officer con un corso di tre o quattro giorni“.
E alle parole dell’illustre ex Garante, mi permetto di aggiungere: peggio ancora, sarebbe pensare che abbia un valore rilevante il conseguimento di una certificazione professionale di “data protection officer” dopo solo un corso di tre o quattro giorni, solo perchè porta il nome della figura che diventerà obbligatoria per 20.000 pubbliche amministrazioni e per migliaia di altre aziende italiane.
Era importante che a sollevare la questione fosse una voce autorevole come quella di Pizzetti, perchè negli ultimi tempi i corsi e le certificazioni che portano il nome di “data protection officer” stanno proliferando, gettando molto fumo negli occhi dei professionisti che in odore di nuovo regolamento vorrebbero accaparrarsi un incarico di “responsabile della protezione dei dati”, come propriamente si chiamerà nella versione italiana del regolamento UE tradotta dall’inglese.
Che le certificazioni basate sulla Norma internazionale ISO 17024:2012 abbiano un valore concreto sul mercato è indubbio, tanto è che sono promosse espressamente dalla riforma delle professioni non organizzate in ordini e collegi, avvenuta con l’approvazione della Legge 4 del 2013. Detto valore, non è però costituito da una denominazione altisonante attribuita a una certa figura professionale, ma dai contenuti delle competenze che l’ente autorizzato certifica in base al proprio schema. Il nome quindi non inganni, occorre essere oculati nello scegliere corsi e certificazioni, analizzando ogni dettaglio per non illudersi che un foglio di carta possa miracolosamente farci avere le carte in regola per ricoprire il ruolo di responsabile della protezione dei dati con le nuove regole che saranno introdotte in tutti i 28 Stati membri dell’Unione Europea.
Ha ragione quindi Pizzetti, quando avverte che non si può pensare che in soli tre o quattro giorni si possa diventare idonei per ricoprire un ruolo a cui il testo approvato in prima lettura lo scorso 12 marzo dal parlamento europeo assegna un rilevante potere, conferendogli autonomia e indipendenza, assegnandogli anche la funzione cardine di punto di contatto con l’autorità.
Come per diventare piloti d’aereo, non basta un corso di tre o quattro giorni, anche per candidarsi legittimamente per ricoprire il ruolo di data protection officer occorre un curriculum di spicco, con conoscenze, competenze, e un notevole bagaglio professionale che non si possono improvvisare, ma si accumulano in anni di esperienza e studi di approfondimento.
Corsi e certificazioni, sono uno dei tasselli che compongono il profilo del data protection officer, come lo sono il titolo di studio, l’esperienza professionale, e gli skills.
