Il 12 gennaio 2018 inizierà il corso di alta formazione sulla protezione dei dati personali per la formazione professionale del Responsabile della Protezione dei dati, figura meglio nota come Data Protection Officer (DPO).

Il corso - che gode del patrocinio del Garante per la protezione dei dati personali - è stato attivato in attuazione del Protocollo di Intesa 28 aprile 2017, siglato tra il Consiglio nazionale forense (CNF) e il Consiglio Nazionale Ingegneri (CNI), su progetto della Fondazione Italiana per l’Innovazione Forense (FIIF) e grazie all’interesse dei due Consiglieri Nazionali Avv. Carla Secchieri ed Ing. Luca Scappini che ne assumono il coordinamento.

Il corso di 88 ore è riservato ad Avvocati ed Ingegneri.

Ho l’onore di essere componente del Comitato Scientifico e docente insieme ad illustri accademici e professionisti.

Il coinvolgimento come docente mi vede impegnato per le lezioni su “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali” (il 10/2/2018) e su “Data protection by design and by default” (il 17/3/2018).

La lezione inaugurale sul tema “Il diritto alla protezione dei dati e la tutela della persona” si terrà giorno 12 gennaio 2018 alle ore 14:30 con l’intervento del Garante per la protezione dei dati personali - Dott. Antonello Soro - e di eminenti studiosi (Prof. Avv. Salvatore Sica, Prof. Avv. Alberto Maria Gambino).

L’Avv. Carla Secchieri - coordinatrice della FIIF - ha colto l’importanza e l’attualità della nuova disciplina europea in materia di protezione dei dati personali (Regolamento UE 2016/679) proponendo con estrema sensibilità verso gli aspetti più innovativi un progetto che poi è sfociato nella organizzazione del corso.

Si tratta di una importante opportunità di formazione professionale specialistica soprattutto in un momento in cui le professioni si estendono anche a contesti non tipicamente tradizionali.

A mio modesto parere la professione va considerata in continua evoluzione e non può prescindere dalle innovazioni che richiedono la necessaria attenzione sul piano della formazione, in modo da accrescere le professionalità richieste dal mercato. Questa esperienza insegna come la professione, in particolare quella forense, non è soltanto legata agli aspetti tipicamente normativi perché la disciplina del GDPR impone anche la conoscenza di tematiche tecniche soprattutto con riferimento alla sicurezza informatica.

Infatti nel corso ci saranno anche lezioni sulle norme tecniche che assumono un ruolo primario riguardo alle misure di sicurezza da adottare nel trattamento dei dati personali. La protezione dei dati personali, infatti, va correttamente qualificata - alla luce della disciplina del GDPR - come una sequenza di processi e non come un unico adempimento per garantirsi la compliance. Il trattamento dei dati personali è un tema vivo e dinamico, non statico. Il Responsabile della Protezione dei Dati (RPD o DPO) assume un ruolo primario e costituisce senza dubbio una delle nuove figure professionali. Il GDPR richiede da un lato la designazione “sistematica” del RPD in presenza delle condizioni previste dall’art. 37, comma 1, e dall’altro il possesso di “qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. L’art. 39 dispone:

Articolo 39 - Compiti del responsabile della protezione dei dati

1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo; e

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”.

L’art. 39 del GDPR, pertanto, indica i compiti minimi (si dice “almeno”) che sono richiesti al RDP, ma evidentemente è necessaria una conoscenza approfondita di tutto il Regolamento UE 2016/679 e delle norme, anche tecniche, in materia di protezione dei dati personali e sicurezza.

Del resto, anche il CCBE (Council of Bars and Law Societies of Europe) ha emanato diversi documenti in materia di data protection e, specificamente riguardo al GDPR,già dal 19/5/2017 la guida dal titolo “CCBE Guidance on the main new compliance measures for lawyers regarding the General Data Protection Regulation (GDPR)”.

Ciò attesta che siamo di fronte ad un tema di assoluto rilievo anche per la professione forense e, alla luce di ciò, è auspicabile che il corso verga replicato per consentire anche ad altri professionisti di approfondire gli argomenti in materia di protezione dei dati personali.