Q&A Certificazioni Personali Privacy UNI 11697: facciamo chiarezza!

Ha visto la luce a Novembre 2017 la norma UNI 11697 – “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che va a definire i profili legati al nuovo Regolamento Europeo 679/2016.

L’attenzione al tema è alta. Vista la prossima obbligatorietà delle disposizioni (il 25 maggio 2018) e l’incertezza che ancora accompagna l’applicazione di alcune disposizioni, abbiamo deciso di pubblicare le FAQ riguardanti questo schema, scelte tra le numerosissime richieste di chiarimenti che ci arrivano quotidianamente, sperando di contribuire a fare chiarezza.

D. Che cos’è la certificazione dei profili Privacy?

R. E’ una certificazione delle competenze delle persone, ovvero un certificato che viene rilasciato ai singoli individui dopo un processo di controllo dei prerequisiti ed il superamento di un esame. Dopo anni in cui le certificazioni privacy (ad esempio il Data Protection Officer) erano rilasciate senza controllo centrale, e quindi con un grado di credibilità legato esclusivamente al credito che il mercato decideva di attribuire chi le rilasciava, oggi è stata emessa una norma tecnica, la UNI 11697, ed una circolare ACCREDIA. Il combinato disposto dei due documenti definisce i prerequisiti, le modalità di esame ed altre regole (ad esempio i requisiti di competenza degli esaminatori) che sono necessari per certificare e per essere certificati.

D. Sto valutando di fare un corso sul Regolamento 2016/679 e mi hanno detto che dopo avere terminato potrò certificarmi. E’ vero?

R. Ni. La formazione è solo uno dei prerequisiti per accedere all’esame di certificazione. L’altro è avere un certo numero di anni di esperienza, variabili a seconda del titolo di studio e del profilo richiesto. E’ comunque necessario verificare che il numero di ore del corso sia pari o superiore a quelle richieste.

D. E’ necessario un corso universitario?

R. No. E’ necessaria una formazione che parte dalle 24 ore dello specialista per arrivare alle 80 del DPO, che possono essere erogate da qualsiasi ente di formazione. Se la formazione è di scarsa qualità, però, c’è il rischio di non passare l’esame!

D. Come funziona l’esame?

R. L’esame è composto da test a risposta multipla, una prova a risposta aperta ed un esame orale in cui si deve sostenere anche un breve role-play, ovvero la simulazione di situazioni reali.

D. La norma prevede altri profili oltre al DPO?

R. Sì: oltre al DPO (Responsabile della protezione dei dati), la norma individua il Manager Privacy, lo Specialista Privacy e il Valutatore Privacy

D. Che cosa distingue un profilo da un altro? C’è una gerarchia oppure coprono diverse specializzazioni?

R. I profili si distinguono per i compiti previsti e per le conoscenze, abilità e competenze richieste. Il DPO è una figura tecnico-manageriale che deve garantire un’adeguata copertura di tutti gli ambiti di applicazione del GDPR; il Manager si occupa principalmente degli aspetti gestionali e di management; il valutatore, invece, ha competenze specifiche in attività di audit; infine, lo specialista è un profilo operativo ad alta competenza tecnica. Tuttavia, anche in relazione alle prescrizioni ACCREDIA per la certificazione, si può intravedere una gerarchia che individua nel DPO il più complesso, seguito da Manager, Valutatore e infine specialista.

D. Il Garante della Privacy riconosce queste certificazioni?

R. Ni. E’ la domanda “madre”, anche perché in altri settori (Professionista della Security UNI 10459, EGE UNI 11339) per alcuni adempimenti è obbligatorio essere certificati. La legislazione non richiede specificamente la certificazione del personale, né quella dei sistemi, anche se gli artt. 42 e 43 del Regolamento prevedono una certificazione del livello di protezione dei dati. Il Garante della Privacy ha preso parte alle fasi di sviluppo di questo schema, compreso il tavolo di lavoro per la redazione della norma UNI, ma ad oggi non ha formalmente riconosciuto queste certificazioni.

D. E allora perché dovrei certificarmi?

R. Proprio perché non obbligatorie, le certificazioni UNI 11697 acquistano valore: chi le possiede dimostra di avere un’ampia esperienza professionale, di avere studiato molto e soprattutto di avere superato un articolato esame. Si garantisce quindi ai clienti e agli enti di controllo di avere tutte le competenze necessarie a ricoprire il ruolo. Per i liberi professionisti, si sgombra il campo dal sospetto di essere l’ennesimo “riciclato” che si improvvisa esperto Privacy solo quando le aziende sono chiamate a conformarsi. Inoltre, l’azienda che si affida a professionisti certificati dà evidenza, in caso di eventuali controlli, di avere agito facendo il possibile per garantire la conformità legislativa.