Certificazione DPO e professioni Privacy – UNI 11697

Prossima sessione d’esame

Fiumicino, 24 ottobre 2018

Contesto – Il Regolamento europeo 679/2016

Il Regolamento Generale dell’Unione Europea n. 679 del 2016 recepisce le criticità che la digitalizzazione di tutti i contesti produttivi e amministrativi comportano, relativamente alla gestione dei dati.

L’applicazione del Regolamento, obbligatorio da maggio 2018, e dettagliato in Italia dal D.Lgs. 101/2018,  comporta importanti cambiamenti rispetto alla gestione della privacy normata dalla legislazione precedente, ovvero il D. Lgs. 196/2003.

Le organizzazioni saranno chiamate a dotarsi di strutture, competenze e processi che garantiscano l’effettiva applicazione di tutti i diritti che l’Unione Europea garantisce al cittadino in materia di conservazione, trasmissione e cancellazione di dati personali, particolari (ex sensibili) e giudiziari.

Per le organizzazioni inadempienti sono previste sanzioni che arrivano anche al 2% del fatturato.

Per gestire al meglio questi importanti cambiamenti ed il successivo sistema per la gestione dei dati, il Regolamento Europeo prevede figure con competenze giuridiche, informatiche, di risk management e di analisi dei processi.

La norma UNI 11697:2017

“Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”

L’Ente Italiano di Normazione UNI ha emesso a novembre 2017 la norma UNI 11697, che regolamenta i “profili professionali relativi al trattamento e alla protezione dei dati personali”.

La norma individua quattro figure professionali e regolamenta le conoscenze, le abilità e le competenze che devono avere le persone che si occupano della protezione dei dati. Inoltre, stabilisce quali sono i compiti che ciascuna di esse è chiamata a ricoprire.

Il Responsabile della protezione dei dati personali (Data Protection Officer – DPO)

Il DPO è una figura la cui nomina è obbligatoria nei seguenti casi:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati sularga scala; oppure

c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

Le organizzazioni obbligate e quelle che decidono comunque di fare ricorso a questa figura possono nominare un DPO al loro interno oppure come consulente esterno. Il DPO, che risulta essere una figura di livello dirigenziale per le importanti responsabilità che gli sono delegate, deve occuparsi di:

  • consulenza e informazione alle figure aziendali coinvolte (Titolare e Responsabili) e ai dipendenti che effettuano il trattamento, in materia di obblighi legislativi nazionali ed europei in vigore;
  • Tracciare, in collaborazione con le figure apicali dell’organizzazione, le necessarie procedure di risk management;
  • monitorare l’effettiva applicazione del Regolamento, sia per quanto riguarda le attrezzature software e hardware, sia per la sensibilizzazione delle figure coinvolte;
  • valutare l’implementazione delle procedure di protezione dati sulla produzione e sui servizi dell’Organizzazione;
  • Interfacciarsi con le autorità di controllo, in merito a preautorizzazioni, comunicazioni ed eventuali controlli.

Il DPO, tramite background professionale e formazione specifica, deve essere in possesso di competenze gestionali, giuridiche, didattiche, tecniche per garantire all’organizzazione la completa conformità ai Regolamenti e quindi sfruttare l’alto valore aggiunto che una corretta gestione dei dati assicura al Cliente.

La certificazione per questo profilo secondo la norma UNI 11697 richiede un’esperienza nel settore minima di 4 anni, che cresce a seconda del titolo di studio posseduto, e una formazione di 80 ore.

Il Manager Privacy

Il DPM è una figura individuata dalla norma UNI 11697, che opera all’interno delle Organizzazioni o come consulente di Direzione. E’ la figura che si interfaccia con il DPO e coordina tutte le figure coinvolte. Coniuga una conoscenza specifica alle tecniche di gestione aziendale, con specifico riferimento all’Innovation Management, in modo da garantire una transizione ottimale ed una costante vocazione innovation-oriented.

La certificazione per questo profilo secondo la norma UNI 11697 richiede un’esperienza nel settore minima di 4 anni, che cresce a seconda del titolo di studio posseduto, e una formazione di 60 ore.

Lo Specialista Privacy

Compito dello Specialista Privacy è supportare il DPO ed il Manager Privacy nell’implementazione dei sistemi informatici e organizzativi.

E’ una figura di taglio più operativo, ma in possesso di conoscenze tecniche di alto livello e di tutte le abilità necessarie a implementare e mantenere i sistemi privacy.

La norma UNI 11697 prevede un minimo di 24 ore di formazione e 2 anni di esperienza professionale.

Il Valutatore Privacy

Il valutatore è la figura che, in possesso delle necessarie conoscenze tecniche, verifica come auditor interno o esterno la conformità legislativa o normativa dei sistemi per la protezione dei dati. Oltre ad adeguate competenze tecniche e legislative deve quindi essere in possesso delle tecniche di audit e di spiccate capacità di reporting.

La formazione minima specifica per il valutatore privacy è di 40 ore, l’esperienza lavorativa legata alla privacy di minimo 3 anni.

AJA Registrars Europe

AJA è un Organismo di Certificazione che opera nella certificazione delle persone secondo la norma internazionale ISO 17024. E’ in possesso da anni dell’accreditamento ACCREDIA per la certificazione di numerose figure professionali tecniche e gestionali, tra cui il profilo di Professionista della Security e da marzo 2018 è accreditata per tutti i profili individuati dalla norma UNI 11697.

Per informazioni: info@ajaregistrars.it

Click edit button to change this text.