venerdì, 29 marzo 2024

W la Privacy

W la Privacy

Certificazioni Data Protection Officer, lama a doppio taglio

13/01/2016

ROMA - Con la riforma delle professioni non organizzate in ordini e collegi, stanno prendendo campo le certificazioni basate sulla Norma ISO 17024, che la stessa Legge 4/2013 promuove per garantire il possesso delle competenze dei professionisti. Anche nel settore della data protection, stanno fiorendo una dopo l’altra nuove certificazioni di figure professionali con svariate denominazioni.

Dopo quella del Privacy Officer, promossa da Federprivacy e certificata da TÜV Italia già da due anni, come è normale aspettarsi quando ci sono delle innovazioni che riscuotono successo, il ventaglio delle proposte si sta allargando adesso con una serie di certificazioni similari, come quella del Privacy Consultant, del Data Privacy Manager, o quella del quantomeno ambizioso Data Protection Officer.

Già, perché, se non fosse per altro, ma è doveroso ricordare che il famigerato DPO al momento è una figura che non compare in nessun testo normativo vigente nel nostro Paese, ma solo nella proposta di regolamento europeo sulla protezione dei dati personali, che come tale potrà vedere delle modifiche fino all’approvazione definitiva, per cui è arduo affermare di poterla certificare prima della sua entrata in vigore, un po’ come un sarto che si assume la responsabilità di cucire un vestito per lo sposo un anno prima del matrimonio; una bella scommessa, e in ogni caso, auguri a quello sposo che compra l’abito con cotanto anticipo!

E a dire il vero,anche se gli articoli da 35 a 37 della proposta di Regolamento privacy UE dovessero rimanere inalterati, lasciando così come sono le caratteristiche ed i requisiti del data protection officer, (o responsabile della protezione dei dati, come si chiamerà in Italia), costruire uno schema di certificazione intorno all’attuale testo normativo, é di fatto un’opera assai complessa,dato che i suddetti articoli descrivono un data protection officer il cui nome deve essere l’unico punto di contatto con le autorità di controllo, (in Italia, il Garante della Privacy), che deve notificare alle autorità e in certi casi agli utenti le eventuali violazioni dei dati personali, e soprattutto che “assolve le proprie funzioni e compiti in piena indipendenza, senza ricevere alcuna istruzione per quanto riguardo il loro esercizio”, di fatto un professionista che si colloca in una posizione dirigenziale, ma anche con uno spiccato carisma, che gli permetta di mettere da parte l’imbarazzo quando è il momento di agire.

Proporre una certificazione di una figura professionale di un così alto spessore, per quando basata su standard riconosciuti a livello internazionale, come quelli della Norma ISO 17024, richiederebbe un corrispondente percorso di valutazione che permetta di misurare le conoscenze e le competenze del professionista con criteri che comprovino in modo oggettivo il possesso dei requisiti richiesti dalla legge, che sono intrinsecamente anche caratteriali.

Anche un processo di certificazione articolato, in cui si richieda il possesso di un titolo di studio significativo, un certo periodo di esperienza nel settore, nonchè un corso di approfondimento di 40 o 50 ore, e infine un esame in cui il candidato debba rispondere a una serie di quiz o risolvere casi pratici, potrebbe risultare decisamente semplicistico per certificare, (ergo: rendere certo, assicurare, accertare), che quel professionista é abile e arruolato per svolgere il ruolo di data protection officer in conformità al dettato europeo. Come dire che per ottenere il brevetto di pilota aereo, bastasse essere diplomati, fare qualche giorno di formazione, e il processo si esaurisca con un esame in cui basti rispondere correttamente a una lista di domande, o poco più.

Anche in questo caso, auguri ai passeggeri che si affidassero a un tale pilota! E nel caso di un sedicente data protection officer, auguri alle aziende che vi si affidano sulla base di una certificazione che dovrebbe essere attentamente valutata per verificarne i requisiti, e non solo il nome altisonante!

Che fare allora, se abbiamo intenzione conseguire una certificazione di privacy professional e si sta valutando quale potrebbe essere quella più idonea?

Senza dubbio, l’obiettivo della certificazione rappresenta lo strumento ideale per proporsi in modo efficace sul mercato dei professionisti della data protection.

Ma come un diploma o una laurea differiscono nel valore, maggiore o minore che viene loro attribuito a seconda se sono stati conseguiti con un percorso ordinario o al serale piuttosto che a distanza, presso una facoltà prestigiosa piuttosto che presso una notoriamente “generosa”, così anche la certificazione che prenderemo farà la sua bella differenza.

Per prendere quindi correttamente la decisione prima di intraprendere un percorso di certificazione, alcuni fattori da verificare saranno:

1) L’ORGANISMO DI CERTIFICAZIONE E LA REPUTAZIONE DI CUI GODE SUL MERCATO, poichè sarà sotto quel nome che andrete a proporvi,e lo status dell’ente che vi ha certificato potrà fare la differenza;

2) IL CONTENUTO DELLO SCHEMA DI CERTIFICAZIONE E I REQUISITI RICHIESTI, che costituiranno il vero valore del vostro riconoscimento a prescindere dalla denominazione adottata per la figura professionale, poiché in concreto il ruolo dell’ente è quello di certificare che possedete le competenze che vi sono descritte,

3) IL NUMERO E LO SPESSORE DI QUELLI CHE GIÀ HANNO OTTENUTO QUELLA CERTIFICAZIONE, che potete ricavare dal registro pubblico detenuto dall’ente. Se sono pochi, quale è il motivo? Chi sono i professionisti certificati? Per saperlo, non c’è di solito troppa privacy, basta copiare e incollare il nome su Google o su Linkedin, perché se la certificazione è davvero prestigiosa, ci si aspetterebbe che chi la ricerca sia un noto professionista, o un funzionario di una nota azienda,facilmente reperibile o identificabile;

4) LE ASSOCIAZIONI O LE ORGANIZZAZIONI CHE PROMUOVONO LA CERTIFICAZIONE, sono numericamente significative? Da quanti anni esistono? Che credenziali vantano? Ricordatevi, che queste informazioni vi riveleranno molto sul valore della certificazione,perchè per fare una campagna pubblicitaria occorrono solo soldi nell’immediato, ma il background, e la storia di una organizzazione si costruiscono lentamente anno dopo anno;

5) I CONTENUTI DELLA FORMAZIONE RICHIESTA DALLO SCHEMA DI CERTIFICAZIONE, come vengono offerti e strutturati? Chi sono i docenti che svolgono quei corsi? Se il programma è un deja-vu e un’accozzaglia di materie come si vedono molti corsi sulla privacy, e se da una debita verifica, i docenti non sono professionisti notoriamente al di sopra delle vostre stesse conoscenze e competenze, ciò che porterete a casa da quei giorni di formazione sarà di conseguenza scarso.

Prima di scommettere su una certificazione di figura professionale basata sulla Norma ISO 17024, è bene quindi ricordare che una non vale l’altra, e non si tratta di un semplice bollino da esporre: il regolamento europeo sulla protezione dei dati personali, baderà molto più alla sostanza che alla forma, e anche le aziende dovranno rivolgere per forza la loro attenzione a professionisti che possiedano in concreto specifiche competenze, conoscenze, ed esperienza; la certificazione dei professionisti, è uno strumento per darne evidenza e per dimostrarlo, altrimenti perderebbe ogni significato conseguirla.

 

 

 


maggiori informazioni su:
www.federprivacy.it



Tutte le news

Privacy e Videosorveglianza

Preparazione alla Certificazione

Ethos Academy

Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia

Webinar
La Norma CEI 64-8

Cybersecurity

Webinar

Ethos Academy

La cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia