Come certificare gli esperti di trattamento e protezione dei dati
Negli ultimi tempi, sono proliferati i corsi di formazione afferenti al trattamento e alla protezione dei dati, che vengono svolti secondo modalità oltremodo differenziate, soprattutto in termini di durata del corso di formazione. Inoltre, non sempre, al termine del corso, il partecipante è in grado di soddisfare ai requisiti che erano stati pubblicati nella Circolare tecnica 03/2018 Accredia.
Oggi questa Circolare tecnica è stata incorporata in una Prassi di riferimento UNI, conferendo ancora maggiore autorevolezza a questo schema di certificazione, che rappresenta una garanzia per il soggetto certificato, ma soprattutto per il titolare del trattamento, che di tale soggetto vuole avvalersi.
Anche se probabilmente i lettori sono già familiari con la circolare Accredia, sopra menzionata, offro di seguito una rapida rassegna dei punti salienti della nuova Prassi di riferimento.
Con l’occasione, sottolineo il fatto che la disponibilità anche in lingua inglese di questa prassi vuole portare a livello europeo una iniziativa di qualificazione dei soggetti coinvolti, in cui l’Italia ha indubbiamente avuto un ruolo primario. Non risulta infatti, ad oggi, che in altri paesi europei siano già disponibili delle norme, emesse dagli organismi locali di normazione, che facciano riferimento a questa specifica e importantissima attività.
Quando avviammo l’attività di sviluppo della norma e della successiva Prassi di riferimento, i componenti del comitato tecnico avevano due obiettivi primari:
- stabilire regole oggettive, che potessero garantire gli idonei livelli di professionalità dei soggetti coinvolti,
- offrire una garanzia oggettiva ai titolari circa la idoneità di questi soggetti a svolgere le critiche mansioni loro affidate.
Oggi questo percorso si è chiuso e chiunque abbia bisogno di professionisti nel settore della protezione dei dati, sa quale strumento usare per la selezione e la qualificazione.
È bene comunque ricordare che la certificazione di persone, rilasciata sotto accreditamento, è un’attività volontaria, che costituisce una garanzia e atto di diligenza verso le parti interessate nel rispetto della legislazione vigente (L.4/2013).
Nella descrizione dell’attività professionale, la norma UNI 11697 distingue quattro differenti profili professionali:
1. Responsabile della protezione dei dati personali (DPO)
2. Manager Privacy
3. Valutatore Privacy
4. Specialista Privacy
Per ognuno di questi profili la Prassi di riferimento indica le modalità di verifica degli adeguati livelli di formazione, conoscenza e competenza.
La norma si preoccupa anche della qualificazione degli esaminatori, che devono garantire imparzialità ed un livello di competenza oggettiva, documentata da appropriati supporti. In questo modo, gli enti di certificazione possono selezionare i componenti della commissione in modo tale, da garantire sia agli esaminandi, sia ai futuri titolari, un idoneo livello di affidabilità della commissione.
Il procedimento di certificazione è articolato a tre livelli, come già avviene per altri schemi di certificazione. Una differenza significativa riguarda la dimensione assai più impegnativa del questionario, basato su domande a risposta multipla. In molti altri schemi, il questionario si limita a 20 domande, mentre nella fattispecie si sale a 40 domande. Il questionario così impegnativo è evidentemente riferito alla certificazione di responsabile della protezione dati personali, mentre per altri profili sono previsti questionari meno impegnativi, almeno in termini di numero delle domande.
È interessante inoltre sottolineare il fatto che è possibile richiedere, nel corso dello stesso esame, una certificazione non solo per un profilo, ma anche per più profili, soddisfacendo ad alcuni requisiti integrativi dell’esame di certificazione.
Apprezzo in modo particolare che sia finalmente consentito ai candidati, in corso di esame, di consultare alcuni documenti, in analogia a quanto avviene anche per altri schemi di certificazione per attività professionali, come ad esempio gli avvocati; i documenti consultabili sono i seguenti:
- norma UNI 11697:2017;
- Regolamento (UE) 679/2016 e s.m.i.;
- D.Lgs. 101/2018 e D.Lgs. 196/2003.
Poiché la circolare precedente di Accredia è stata incorporata in questa norma, non è necessario che il titolare, che cerchi soggetti professionalmente certificati, faccia specifico riferimento a questa Prassi di riferimento, in quanto essa deve essere utilizzata dall’organismo di certificazione, per rilasciare la appropriata certificazione. Il rilascio di questa certificazione include quindi il rispetto delle indicazioni di questa Prassi di riferimento.
Ci auguriamo che gli altri paesi europei vogliano prendere buona nota di questa iniziativa e possano allinearsi con l’Italia sul fronte della formazione e della certificazione, a garanzia dei titolari, che potrebbero essere esposti a sanzioni oltremodo severe, in causo di incauta selezione di questi fondamentali supporti, che li aiuteranno rispettare in modo puntuale le vigenti disposizioni di legge in materia di trattamento e protezione dei dati personali.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.