Data Protection Officer, finalmente uno schema per la certificazione unificato … e non solo

Pubblicato: Mercoledì, 01 Marzo 2017 in Focus

Dopo oltre un anno di lavori è arrivato alla fase finale di inchiesta pubblica finale (vd. la banca dati) il progetto di norma tecnica UNI/UNINFO “Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza abilità e competenza” (codice progetto E14D00036) che definisce i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali.

Uno degli obiettivi dichiarati fin dal principio è stato quello di portare regole comuni condivise, onde aiutare un mercato già popolato da iniziative proprietarie, nessuna delle quali qualificante delle prestazioni professionali sulla base della legge n°4 del 2013.

La norma tecnica, frutto di una collaborazione dichiarata dal principio tra esperti legali ed esperti di ICT provenienti dalle commissioni UNI “Servizi” e “Sicurezza della società e del cittadino” e dalla commissione UNINFO “APNR – ICT”, recepisce pienamente non solo le disposizioni in materia del Regolamento UE 2016/679 ma anche tutte le più recenti indicazioni fornite dal WP 29 andando a mettere insieme le conoscenze delle diverse componenti di maggior rilievo delle norme di legge applicabili e quelle dei sistemi informativi, nonché delle tecniche di protezione e sicurezza ad essi relative, ormai imprescindibili nella nostra società.

Partendo da un’impostazione generale solidamente strutturata e già riconosciuta a livello europeo e nazionale (EQF ed e-CF, UNI 11506 e 11621), arricchita, ampliata e ulteriormente avvicinata ai contesti non ICT, è stato definito un insieme “minimo” di profili professionali che, assieme ad una figura di DPO allineata alla lettera ai dettami del nuovo Regolamento UE 2016/679, include una figura di taglio manageriale, una figura di tipo operativo e una figura di valutatore esterno. Questi profili, nel loro insieme ed eventualmente anche aggregati tra loro nelle realtà più semplici, sono stati pensati per poter fornire tutto il supporto a titolari e responsabili nella gestione dei trattamenti di dati personali.

Una volta conclusa l’inchiesta pubblica (il prossimo 25 marzo), il cui scopo è sempre quello di recepire feedback di valore da parte di soggetti non già coinvolti nello sviluppo della norma tecnica, l’Italia sarà il primo paese a dotarsi di uno schema nazionale di questo tipo a livello europeo e potrà riproporlo per esame ed adozione a livello europeo, proponendosi una volta di più come locomotiva piuttosto che come fanalino di coda.

Fabio Guasconi, Presidente CT 510 “Sicurezza” UNI/UNINFO, Partner Blackswan
Roberto Scano, Presidente CT 526 “APNR” UNI/UNINFO
Ugo Gecchelin, Delegato CNI per UNINFO
Fabrizio Bulgarelli, Responsabile IS Audit & IT Advisory presso BDO Italia