La Norma tecnica UNI 11697:2017 esce di scena dopo 6 anni trascorsi senza mai essere riuscita a raggiungere i risultati auspicati all’epoca della sua pubblicazione, con appena 476 professionisti attualmente censiti nelle banche dati di Accredia che risultano aver ottenuto la certificazione di Data Protection Officer, ovvero un numero che pare una goccia nel secchio (0,7%) se messo a confronto con le 68.255 nomine che a settembre 2023 risultavano essere state notificate al Garante per la protezione dei dati personali.
I motivi della limitata espansione della certificazione italiana – Tra i fattori che hanno impedito a questa norma italiana di spiccare il volo e raggiungere una platea più ampia di professionisti hanno inciso sicuramente vari aspetti, tra cui requisiti richiesti per la certificazione molto elevati rispetto a un’attestazione non obbligatoria che, sebbene considerata uno strumento utile per dimostrare il possesso delle competenze, non costituisce però “titolo abilitante” che determina l’idoneità a ricoprire il ruolo di Data Protection Officer, come più volte ribadito dall’Autorità.
Altra lacuna mai colmata nella norma è stata quella derivata dalla mancata dinamicità che sarebbe stata necessaria per una materia sempre in continua evoluzione sia sotto il profilo normativo che sul piano della sicurezza informatica. Infatti, il documento che ora viene riposto in soffitta è rimasto immutato sin dal 2017 senza mai essere né aggiornato né implementato, nonostante l’introduzione di numerosi atti normativi di rilievo che si sono susseguiti negli ultimi anni, delle cui ricadute non si trova però alcuna traccia in tale norma tecnica, mentre vi sono rimasti contemplati i riferimenti al Privacy Shield, disciplina sul trasferimento dei dati tra UE-USA che è stata invalidata dalla Corte di Giustizia dell’UE nell’ormai lontano luglio 2020.
Che qualcosa sia andato storto lo ha dimostrato pure lo scarso riconoscimento della UNI 11697:2017 da parte del mercato, causato anche dalla mancata partecipazione allo sviluppo della norma di primari stakeholder che fossero rappresentativi sia delle imprese che dei consumatori e delle stesse categorie professionali direttamente interessate, tra cui anche Federprivacy, che dopo aver cercato di fornire il proprio contributo per definire standard coerenti nell’interesse dei suoi 2.500 associati professionisti della protezione dei dati, aveva poi finito per rinunciare alla partecipazione ai tavoli di lavoro nell’indifferenza dell’UNI (Ente Nazionale di Normazione) mentre veniva definito nella norma un profilo professionale del Data Protection Officer in cui le competenze informatiche prendevano il sopravvento sulle conoscenze giuridiche, che il GDPR richiede invece a livello specialistico.
Con la stesura della UNI 11697:2017 è stata sprecata inoltre l’opportunità che si era presentata di favorire una generalizzata convergenza tra i vari organismi di certificazione, i quali avrebbero avuto ogni interesse a individuare una comune certificazione per tutti i professionisti della data protection, mentre invece enti indipendenti che già negli anni antecedenti al GDPR rilasciavano certificazioni di Privacy Officer e Consulente della Privacy hanno mantenuto anche schemi proprietari collaudati da tempo, piuttosto che scegliere di affidarsi esclusivamente agli standard di una norma nazionale che non erano del tutto convincenti per fornire una risposta adeguata alle reali esigenze del mercato.
La certificazione con la nuova norma europea – Ci sono comunque spiragli di luce all’orizzonte per i professionisti della data protection, perché il motivo per cui cala il sipario sulla UNI 11697:2017 risiede nel fatto che ora essa cede il passo alla nuova Norma EN 17740:2023 “Requirements for professional profiles related to personal data processing and protection”, dove la sigla “EN” identifica le norme tecniche elaborate dal CEN (Comité Européen de Normalisation), Organismo di Normazione Europea di cui fa parte l’Italia, a cui tocca il compito di recepire e tradurre dall’inglese i nuovi standard sui profili professionali coinvolti nella protezione dei dati personali.
Se la norma italiana prevedeva 4 profili professionali, nel nuovo framework europeo le figure certificabili diventano invece 5, di cui la più interessante per gli addetti ai lavori è sicuramente quella del Data Protection Officer, corrispondente alla descrizione riportata negli artt.37-39 del Regolamento europeo 679/2016 (GDPR), e anche se al momento neppure la certificazione basata su questa nuova norma potrà costituire una “patente di DPO”, essa rappresenta comunque un importante passo avanti nel coerente processo di armonizzazione degli standard europei che hanno direttamente un impatto sulla corretta applicazione della normativa in materia di protezione dei dati personali all’interno dello Spazio Economico Europeo (SEE). Questo significa peraltro che, se la norma nazionale UNI 11697:2017 aveva il limite di essere valida solo in Italia, chi invece sarà certificato come Data Protection Officer con la EN 17740:2023 potrà contare su standard riconosciuti in tutta Europa, con un pregio forse simile a quello della certificazione rilasciata dall’International Association of Privacy Professionals (IAPP) denominata “Certified Information Privacy Professional Europe” (CIPP/E), che attesta le conoscenze individuali del professionista sulle leggi paneuropee ed internazionali in materia di protezione dei dati personali. Anche se pure nella EN 17740:2023 rimangono molto elevati i requisiti sulle conoscenze informatiche, chi aspirasse ad ottenere una certificazione di DPO basata su questa norma potrà almeno ritenere che essa avrà un valore presumibilmente maggiore rispetto alla precedente norma italiana.
Prospettive di espansione della certificazione europea – Per quanto riguarda la prospettiva di un’eventuale ampia diffusione della certificazione di Data Protection Officer basata sulla EN 17740:2023, la norma sconterà probabilmente la decisione di aver voluto mantenere la complessità della struttura e gli elevati requisiti che erano richiesti anche dalla norma italiana, tra cui il possesso di una laurea che includa discipline giuridiche o informatiche, almeno 6 anni di esperienza nel settore della protezione dei dati, (per chi non possiede una laurea gli anni di esperienza richiesti salgono a 8), e la partecipazione ad un percorso formativo specialistico di almeno 80 ore.
Pur rivestendo un valore pregevole, la certificazione di Data Protection Officer basata sulla Norma EN 17740:2023 rischia quindi di rimanere un obiettivo a portata di mano di un numero limitato di professionisti come era accaduto con la norma UNI, e anche coloro che negli anni arriveranno a maturare il notevole bagaglio richiesto, nel frattempo potrebbero essersi già affermati nel settore della protezione dei dati anche senza possedere tale certificazione, e per questo potrebbero realisticamente non essere più di tanto interessati ad ottenerla.
Nicola Bernardi, presidente di Federprivacy