Data Protection Officer: formazione e certificazione, una scelta di qualità

February 23, 2018

Approfondimento e guida alla nuova normativa italiana sul GDPR

 

Si avvicina il 25 maggio, data in cui il Regolamento Europeo UE 2016/679 (più comunemente noto come GDPR) diventerà direttamente applicabile in tutti gli Stati membri[1], scatenando quella che già da mesi pare una vera rivoluzione copernicana relativamente alle innovazioni introdotte su accountability dei titolari dei trattamenti, data protection by design, impact assessment.   Il GDPR introduce un approccio di data protection viva, in continuo movimento, condivisa tra le unità organizzative, con procedure sempre attive in azienda e scelte sempre giustificabili dal titolare nel rispetto dei principi di liceità, correttezza e trasparenza nella gestione dei dati. Il Regolamento investe infatti tutti gli aspetti del trattamento dei dati personali, rafforzando in particolare i diritti fondamentali degli individui: dal diritto di accesso a quello di rettifica, dal diritto alla cancellazione/oblio a quello di limitare il trattamento, dal diritto alla portabilità dei dati a quello di opposizione.

 

Tante le novità, tanti gli aspetti che pubbliche amministrazioni, centrali e locali, e imprese devono conoscere per rispondere alle nuove regole evitando così di incorrere in pesanti sanzioni. È la terza “generazione” di norme sulla privacy e data protection, ma stavolta il legislatore senza dubbio vuole una vera svolta, viste anche le sanzioni previste, che sono molto più alte di quelle dell’attuale normativa, e possono arrivare nei casi più gravi anche al 4% del fatturato annuo.

 

Una delle grandi novità della normativa è l’obbligo, nei casi previsti dall’art. 37 del Regolamento Europeo di inserire un Data Protection Officer (DPO), figura intorno alla quale, ancora oggi, molti sono gli interrogativi rispetto a competenze e requisiti.

 

Chi è quindi il DPO?

Il Regolamento Europeo definisce il DPO come: “un esperto che deve essere in grado di fornire consulenza al management aziendale circa le prescrizioni della legge sulla protezione dei dati personali, sorvegliando poi che essa sia correttamente applicata, fungendo inoltre da punto di contatto con l’Autorità per la privacy e con gli interessati.”

 

Persona fisica interna all’aziende o consulente esterno, persona o società  che sia, il DPO avrà un compito consultivo e di controllo a supporto del titolare e del responsabile del trattamento nel garantire la conformità dell’organizzazione, posizione molto simile a quella dell’Organismo di Vigilanza ex d.lgs. 231/01.

Nominato o assunto dal titolare, dovrà possedere un'adeguata conoscenza della normativa, degli aspetti gestionali e tecnici della sicurezza dei dati e adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse; in sintesi un ruolo molto complesso con conoscenze e competenze molto ampie – dall’analisi organizzativa e dei processi, all’analisi e gestione dei rischi, alla gestione di incidenti ed emergenze, alla legislazione nazionale e internazionale in materia di protezione dei dati, alle normative e ai sistemi di gestione sulla sicurezza dei dati, alle tecnologie di protezione, ai principi e norme di deontologia professionale - ribadite tra il resto, anche dal Garante per la privacy.

 

Qual è il ruolo della norma UNI 11697:2017?

In questo quadro si inseriscono i lavori che hanno portato all’approvazione e pubblicazione della Norma UNI 11697:2017 “Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza”.

 

Si potrebbe dire che in Italia è stato fatto un passo in più: partendo dal GDPR, è stata redatta una norma tecnica volontaria con la quale vengono definiti i requisiti relativi ai professionisti che opereranno nell’ambito del trattamento e della protezione dei dati personali, tra cui, in conformità agli articoli 37, 38 e 39 del Regolamento, anche i requisiti del DPO.

 

Questa ulteriore norma, che individua analiticamente le conoscenze, abilità e competenze associate alle diverse attività professionali, differenziandoli su apprendimento formale (titoli di studio), apprendimento non formale (formazione specifica) e apprendimento informale (esperienza lavorativa), nell’appendice B, in relazione alla figura del DPO, richiede in modo specifico al professionista: una Laurea, un corso di almeno 80 ore su “Gestione della Privacy e Sicurezza delle Informazioni” con attestazione finale e minimo 6 anni di esperienza lavorativa legata alla privacy di cui almeno 4 anni in incarichi manageriali (gli anni possono diminuire o aumentare in funzione del tiolo di studio – laurea magistrale o diploma). La finalità della norma UNI è quella di assicurare che “determinate figure professionali possiedano, mantengano e migliorino nel tempo la necessaria competenza.

 

Si può quindi concludere che, mentre il Regolamento Europeo ha delineato in generale, ma in maniera obbligatoria, requisiti, competenze, conoscenze e qualità del DPO, la normativa UNI 11697:2017 con carattere volontario, li ha ulteriormente dettagliati a favore di quei professionisti che vorranno scegliere la certificazione quale ulteriore garanzia della propria professionalità.

 

Quale in tutto questo scenario, il ruolo degli Enti di Formazione?

Noi, da professionisti e tecnici della formazione riteniamo che gli enti che si occupano di formazione dovrebbero sempre rimanere focalizzati sul proprio ruolo e missione, ossia quello di preparare gli allievi a svolgere nel migliore modo possibile la professione e a superare, gli esami a cui sceglieranno di sottoporsi liberamente, ribadendo con ostinazione la propria indipendenza e distinzione da quegli enti che invece si occupano di certificazione.  

 

La Scuola Internazionale Etica & Sicurezza, insieme a Galdus, da 25 anni impegnata nella formazione e crescita a fianco dei professionisti della security, ha deciso di proseguire nel suo impegno per lo sviluppo di queste tematiche, senza perdere di vista però il proprio ruolo ed obiettivo, che continua ad essere quello di formare gli allievi, secondo criteri di eccellenza e qualità volti a tutelare il mercato e le aziende, ribadendo con forza la propria indipendenza di ruolo.   

 

Chiamati però ad esprimere un parere in merito, riteniamo che la certificazione di ente terzo sia un importante elemento di garanzia per i professionisti e un valido aiuto per le aziende che devono scegliere un professionista cui affidarsi.

 

In quest’ottica quindi la proposta di corsi di alta formazione professionale, strutturati su un numero minimo di 80 ore, utili quindi a potersi successivamente certificare, risulta essere per noi una risposta conforme ad una richiesta di etica e serietà di un Paese, professionisti e imprenditori, che manifestano spesso il desiderio di propendere per una via da loro ritenuta qualitativamente più sicura. Ma sempre di libera scelta si tratta.

 

 

 

[1] Il Codice Privacy italiano rimarrà in vigore per quelle parti che non sono in contrasto con il GDPR; quali parti rimarranno in vigore e quali parti verranno abrogate verrà stabilito dal/dai decreto/i legislativo/i di armonizzazione che dovrebbero essere emanati dal governo entro aprile 2018 (la legge delega è la 163 del 25/10/2017).

 

 

Please reload

Altri articoli

October 31, 2019

Please reload

Archivio

Please reload

  • Facebook - White Circle
  • Twitter - White Circle
  • LinkedIn - White Circle
  • Facebook Social Icon
  • Twitter Social Icon
  • LinkedIn Social Icon

GAM Education & Consulting S.r.l.
 

Corso di Porta Vittoria, 28 - 20122 Milano

P.IVA: 01801240662

Capitale Sociale € 10.000 i.v.
Iscrizione al Registro delle Imprese di Milano: 1955623