Sul fronte della definizione delle competenze del personale, il nuovo regolamento 679/2016 trova un elemento complementare nella nuova norma nazionale, utile a tutte le organizzazioni per inquadrare DPO e altri soggetti-chiave da impiegare in questo importante contesto
[spacer color=”8BC234″ icon=”fa-info” style=”1″]
Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.
Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola
Clicca qui per scaricarlo gratuitamente
[spacer color=”8BC234″ icon=”fa-info” style=”1″]
Il gruppo di lavoro di UNI/CT 526 “UNINFO Attività professionali non regolamentate” ha iniziato a riunirsi nel 2015 per stendere una norma nazionale, basata sulla UNI 11506, che definisse i profili professionali legati a una completa gestione dei dati personali, traguardando quella che allora era ancora la bozza di un Regolamento europeo. Nei due anni successivi, sono avvenute moltissime cose, alle quali i lavori si sono dovuti adeguare e, come era naturale aspettarsi in un contesto in cui gli schemi proprietari regnavano incontrastati, diversi loro estensori hanno partecipato ai lavori cercando di influenzarne il corso, alcuni in maniera costruttiva e altri, purtroppo, in maniera distruttiva.
Alla fine, però, il buonsenso e la necessità del mercato di avere uno schema di riferimento unico – per quanto questo possa o meno essere perfettibile – hanno prevalso, e la norma UNI 11697 è stata finalmente pubblicata il 30 novembre. Al suo interno, si trovano quattro profili professionali definiti in termini di competenze, abilità e conoscenze, ottenute adattando ed estendendo per l’occasione l’e-Competence Framework ora diffuso nella norma europea UNI EN 16234-1. Ciascun profilo ha inoltre una mission, dei compiti, dei risultati attesi e dei KPI relativi alle sue attività secondo lo schema definito dalla norma UNI 11621-1. I profili sono: responsabile della protezione dei dati (DPO) – completamente allineato a quanto riportato nel Regolamento agli artt. 37, 38 e 39 nonché alle “Guidelines on Data Protection Officers” emesse dal WP 29; manager privacy – relativo a soggetti con un elevatissimo livello di conoscenze, abilità e competenze in uno specifico contesto organizzativo (sia esso un’area funzionale dell’organizzazione sia il settore di appartenenza della stessa) per garantire l’adozione di idonee misure organizzative nel trattamento di dati personali; specialista privacy – relativo a soggetti che supportano il responsabile per la protezione dei dati e/o il manager privacy nel mettere a punto le idonee misure tecniche e organizzative ai fini del trattamento di dati personali; valutatore privacy – relativo a soggetti indipendenti con conoscenze e competenze nel settore informatico/tecnologico e di natura giuridica/organizzativa che conducono attività del trattamento e della protezione dei dati personali per effettuare attività di audit.
Essendo specificati in appendice i requisiti per l’accesso ai profili professionali nei termini di titoli di studio, formazione specifica ed esperienza lavorativa richieste per ognuno dei 4 profili, la norma permette l’eventuale certificazione compatibilmente con quanto definito dalla legge 4 del 2013 ed è l’unico schema che lo permette e Accredia, l’ente italiano di accreditamento, sta lavorando ai criteri unificati per tutti gli organismi. Vale la pena sottolineare che, in linea con il comunicato congiunto tra Autorità Garante e Accredia del 18/07/2017, la certificazione dei profili professionali non è obbligatoria, ma può costituire un’apprezzabile dimostrazione di diligenza e, in questo caso specifico, di competenza del professionista. Non vi è invece alcuna relazione tra la norma e quanto richiamato dal Regolamento negli artt. 42 e 43 (certificazione e organismi di certificazione) che abbracciano contesti diversi legati alla certificazione di prodotti e servizi. Ci si aspetta che la pubblicazione della norma UNI 11697 – “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza” – possa fornire finalmente delle linee guida unificate alle organizzazioni che saranno tenute a rispettare il nuovo regolamento UE 2016/679 per la selezione del personale che dovrà occuparsi di questo sempre più importante filone di attività, nonché ai professionisti che vogliono prepararsi per poter occupare tali posizioni, superando la frammentazione d’offerta che si è venuta a creare sul mercato negli ultimi anni.
Fabio Guasconi
presidente del comitato italiano ISO/IEC SC27 in UNINFO e membro del direttivo CLUSIT
[spacer color=”8BC234″ icon=”fa-info” style=”1″]
Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.
Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola
Clicca qui per scaricarlo gratuitamente
[spacer color=”8BC234″ icon=”fa-info” style=”1″]
