domenica, 20 maggio 2018

Articoli

Schema UNI 11697: 2017 nuovi profili di Data Protection

14/05/2018

di Giovanni Villarosa - Laureato in Scienze dell’Intelligence e della Sicurezza, esperto di Sicurezza Fisica per Infrastrutture, Chief Security Officer e Data Protection Officer, Giovanni Villarosa è anche Vice Presidente di SECURTEC (Associazione culturale, composta da security manager certificati, che si occupa di tematiche legate al mondo - logica e fisica - per la protezione di infrastrutture complesse e critiche).

Manca davvero poco ormai: fra un mese circa il nuovo GDPR, il regolamento UE 2016/679 diventerà definitivamente operativo, introducendo pesanti sanzioni che potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo delle imprese che saranno trovate inadempienti. L’Ente Nazionale Italiano di Unificazione, meglio conosciuto con l’acronimo UNI (l’associazione privata priva scopo di lucro, istituzionalmente riconosciuta, anche ai sensi dell’art. 27 del Regolamento UE 2012/1025), che storicamente sviluppa e pubblica norme tecniche di carattere volontario in diversi settori, industriali, commerciali e del terziario, anche questa volta non si è fatta cogliere di sorpresa, pubblicando una norma di settore che prevede l’istituzione di specifici profili professionali nel settore della Data Protection.

Nel novembre 2017 l’ente ha rilasciato una nuova norma di settore, la UNI 11697_2017: “Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza. Schema normativo finalizzato alla definizione dei requisiti relativi all’attività dei professionisti operanti nell’ambito del trattamento e della protezione dei dati personali, esercitata a diversi livelli organizzativi, tanto pubblico, quanto privato. Nello specifico, lo schema UNI definisce i profili professionali relativi al trattamento e alla protezione dei dati personali, coerentemente con il quadro europeo delle qualifiche ai livelli EQF, utilizzando gli strumenti messi a disposizione contenuti in altre diverse normative UNI, ovvero la 11506, la 11621, la 16234, etc.

NUOVE FIGURE PROFESSIONALI

Le nuove figure professionali delineate dalla nuova 11697 sono quattro. Data protection officer - Il DPO (data protection officer), ovvero il responsabile della protezione dei dati, è la figura centrale e di supporto al titolare, o responsabile del trattamento, nell’applicazione e per l’osservanza del regolamento (UE) 2016/679 in conformità a quanto previsto nell’ art. 37. Avrà il compito principale di garantire, in maniera indipendente, l’applicazione interna delle disposizioni contenute nel regolamento da parte del titolare del trattamento; deve (art. 38), inoltre, essere coinvolto dal titolare e/o dal responsabile del trattamento in tutte le questioni riguardanti la protezione dei dati personali. Una totale apertura nei confronti del DPO trova giustificazione nella necessità di rendere consapevole tale figura sulle finalità e sulle tipologie di trattamento, oltre che sulle misure di sicurezza implementate a loro garanzia. La totale conoscenza delle prassi aziendali pone il DPO in condizione di valutarne la compliance al regolamento, garantendo nel contempo una maggiore tutela del titolare e del responsabile. Altri sono i compiti del responsabile della protezione dei dati stabiliti nell’art. 39, quali:

1) informare e consigliare il titolare o il responsabile e gli incaricati del trattamento circa i loro obblighi ai sensi del regolamento e delle altre disposizioni, europee e statali, in materia di protezione dei dati;

2) fornire consulenza, ove richiesto, per quanto riguarda la valutazione d’impatto sulla protezione dei dati, la cd. PIA (privacy impact assessment art.35) e monitorare i relativi adempimenti. I pareri espressi dal DPO andranno documentati. Se il titolare decidesse di discostarsene, è tenuto a darne motivazione;

3) cooperare con l’Autorità di controllo;

4) agire come punto di contatto per l’autorità di controllo (art. 36) su tutte le questioni relative al trattamento dei dati personali;

5) controllare il rispetto del regolamento, delle altre disposizioni relative alla protezione dei dati e delle regole interne del titolare o del responsabile in materia di protezione dei dati personali, inclusi l’assegnazione delle responsabilità, la formazione del personale coinvolto nelle operazioni di trattamento e i relativi programmi di audit.

Manager Privacy - Un secondo livello professionale è riservato al Manager Privacy, figura anche questa di garanzia con un altissimo livello di conoscenze, che assiste il titolare nelle attività di coordinamento di tutti i soggetti che all’interno dell’organizzazione sono coinvolti nel trattamento di dati personali (responsabili, incaricati, amministratori di sistema, etc.), garantendo il rispetto delle norme in materia di privacy e il mantenimento di un adeguato livello di misure organizzative, di sicurezza e protezione dei dati personali.

Specialista Privacy - Il terzo livello professionale specificatamente di supporto è quello previsto dello Specialista Privacy, figura che deve essere appositamente formata. Collabora a stretto contatto con il Manager Privacy, curando la corretta attuazione del trattamento dei dati personali all’interno dell’organizzazione e svolgendo le attività operative che, di volta in volta, si rendono necessarie durante tutto il ciclo di vita di un trattamento dati. E’ una figura indispensabile all’interno delle grandi organizzazioni aziendali articolate su più uffici, stabilimenti, e con diversa collocazione territoriale, laddove, e soprattutto, ci siano le condizioni proprie per creare più uffici privacy di protezione dei dati.

Valutatore Privacy - Il quarto livello previsto nella norma è quello del Valutatore Privacy, figura dotata di un profilo pertinente a conoscenze e competenze nei settori informatico, tecnologico e giuridico. Questa figura si caratterizza per la sua terzietà nei confronti delle figure del Manager e dello Specialista Privacy: esplica tutte quelle attività di monitoraggio e audit, esaminando periodicamente il trattamento dei dati personali, valutandone il rispetto delle normative di settore emanate a livello nazionale e comunitario, applicando tutte le misure ritenute necessarie per l’eliminazione di eventuali non conformità ai vincoli normativi prescritti dal regolamento, in maniera del tutto indipendente da tutte le altre figure manageriali ed operative.

CIRCOLARE E PRIMI ESAMI

Per completare il processo di attuazione normativa, il 13 febbraio con la Circolare Tecnica n° 03/2018 (scaricabile dal sito di Accredia (1)) contenente le “Disposizioni in materia di certificazione e accreditamento per la conformità alla norma UNI 11697:2017 – Profili professionali relativi al trattamento e alla protezione dei dati personali”, ACCREDIA (ente italiano di accreditamento) comunicava a tutti gli organismi di certificazione (OdC) le nuove modalità di accreditamento per poter operare al rilascio delle certificazioni professionali di settore previste nel nuovo schema.

Il 13 marzo scorso ho avuto l’onore di partecipare, in qualità di commissario esaminatore in coppia con il Dr Eric Falzone, alla prima sessione nazionale di esami UNI 11697, che ha visto coinvolti quattro professionisti candidati ai diversi profili di certificazione. Una prima assoluta in fatto di applicazione operativa della circolare al primo OdC richiedente, svoltasi presso la sede romana di AJA Registrars Europe, alla presenza dei rispettivi vertici aziendali, di rappresentanti di Accredia e di due osservatori ministeriali che hanno seguito l’intera fase del processo certificativo. Una “prima “ che ha coinvolto emotivamente un po’ tutti, vista la complessità del processo, diviso (in funzione del profilo di certificazione richiesto) in una prova scritta tra le 35/40 domande e risposte multiple, e un’ulteriore prova scritta di 2/3 casi di studio; la prova orale finale oscillava tra i 30/40 minuti minimi a testa. Ed è stata proprio questa la parte più interessante, soprattutto per noi esaminatori: un role play di 10 minuti circa, all’interno del quale il candidato simulava una procedura operativa su un nostro specifico argomento. Una sorta di rappresentazione “teatrale” nella quale il candidato simulava la propria attività professionale in funzione di un accadimento che poteva verificarsi all’interno dell’azienda. Un’opportunità decisamente positiva utile a riesaminare il comportamento emotivo e professionale del candidato, che ha ricevuto l’approvazione del team ispettivo e di osservazione per le modalità in cui è stata applicata. Il processo valutativo nella sua interezza è complesso: la prova di suo richiede ai candidati una preparazione profonda e una certa multidisciplinarità (non comune) nelle competenze/conoscenze, ma questo è a tutti noto! La figura del DPO è complessa e trasversale: questo è emerso appieno durante la nostra sessione valutativa, che si è rilevata un momento altamente formativo anche per noi commissari.

(1) https://www.accredia.it/documento/circolare-tecnica-dc-n-03-2018-certificazione-e-accreditamento-per-la-conformita-alla-norma-uni-116972017-profili-professionali-relativi-al-trattamento-e-alla-protezione-dei-dati-personali/



pagina precedente