Finalmente pubblicata la norma EN 11697:2017
Chi scrive ha partecipato fin dall’inizio alla elaborazione di questa norma e ha vissuto e superato le numerose difficoltà, che si sono presentate sul cammino piuttosto accidentato, che finalmente ha portato alla pubblicazione della norma.
Questa norma era attesa da molte aziende, che alla data del 25 maggio 2018 saranno obbligate a designare un responsabile della protezione dei dati personali. Questa figura, affatto sconosciuta in Italia, è già nota all’estero ed ecco perché è stato possibile, in fase di elaborazione della norma, fare riferimento anche ad esperienze già maturate all’estero.
I profili professionali che vengono presi in considerazione in questa norma sono due primari e due di supporto.
I due profili primari fanno riferimento al responsabile del trattamento, accuratamente descritto nell’articolo 28 del regolamento generale sulla protezione dei dati 679/2016 e al profilo del responsabile della protezione dei dati, altrettanto accuratamente descritto nella sezione 4 dello stesso regolamento, dall’articolo 37 all’articolo 39. I due profili di supporto sono stati chiamati dalla norma con il nome di specialista privacy e di valutatore privacy.
Il lettore mi consenta di ricordare ancora una volta che ormai la parola privacy è scomparsa da tutti i documenti legislativi scritti in lingua italiana e perfino da quelli scritti in lingua inglese. Ecco la ragione per la quale ho fatto inserire, all’inizio della norma, un avvertimento circa il fatto che questo termine viene utilizzato solo perché, nel testo della norma, si fa riferimento ad altri documenti precedentemente sviluppati in ambito normativo, nei quali questa parola viene utilizzata.
Anche se il responsabile il trattamento è un profilo professionale già noto, perché già presente nel decreto legislativo 196/2003, l’impostazione completamente differente che è stata data dal regolamento, rispetto al decreto legislativo, ha fatto sì che fosse indispensabile creare, in questa norma, una specifica descrizione delle responsabilità e dei compiti di questo soggetto.
Basti ricordare ai lettori che il responsabile del trattamento, nel decreto legislativo 196 /2003 è descritto con due righe, mentre nel regolamento europeo viene descritto con due corposi articoli pieni di commi e lettere, per rendersi conto della sostanziale differenza tra il precedente profilo professionale e l’attuale, anche se il nome è lo stesso.
La norma è stata sviluppata secondo l’ormai ben noto schema europeo chiamato EQF-European Qualification framework, che rappresenta la linea guida per sviluppare norme applicabili ad attività professionali non regolamentate e non ordinistiche. Chi scrive ha partecipato all’elaborazione della norma per i serraturieri, a titolo di esempio.
Ricordo a tutti i lettori che una norma UNI, per definizione del codice civile, rappresenta la regola d’arte per il settore; d’ora in avanti tutti i titolari del trattamento, che dovranno avvalersi dell’assistenza di un responsabile del trattamento o un responsabile della protezione dei dati avranno a disposizione un riferimento oggettivo per verificare le caratteristiche professionali di questi soggetti, che andranno o ad assumere od a scegliere come collaboratori.
Su questa base potranno anche muoversi gli istituti di certificazione, che fino adesso si sono mossi utilizzando degli schemi proprietari e invece hanno oggi a disposizione uno schema che gode appunto delle garanzie offerte da una norma UNI, conforme alla regola d’arte.
Parliamo adesso di due profili sussidiari, anch’essi ben illustrati nella norma.
Ci si è resi conto che la guerra non si vince soltanto con i generali, ma questi generali hanno bisogno di ufficiali, sottufficiali e truppe, dotati di adeguato addestramento, che possono cooperare e collaborare nell’attuazione dei compiti che competono ai profili superiori.
Lo specialista privacy è un soggetto che ha ricevuto una specifica formazione professionale, della durata di almeno 24 ore, che può prestare prezioso aiuto al responsabile del trattamento ed al responsabile della protezione dei dati per effettuare operazioni e verifiche sul territorio. Si pensi ad esempio ad una grande azienda, che può aver designato un responsabile della protezione dei dati, ma che ha bisogno di riferimenti nei vari stabilimenti ed uffici sparsi sul territorio.
Lo stesso può dirsi per il valutatore privacy, soggetto che deve aver partecipato ad un corso di un minimo di 40 ore, che può prestare una ancora più approfondita ed incisiva assistenza ai responsabili primari.
La norma dà ampio risalto alle conoscenze informatiche di tutti i soggetti coinvolti, come d’altronde è naturale, per il fatto che questa norma è stata sviluppata congiuntamente da UNINFO ed UNI.
La struttura generale della norma è del tutto familiare per coloro che hanno già avuto occasione di utilizzare norme UNINFO, mentre può destare qualche perplessità in chi, fino ad oggi, ha avuto a che fare solo con norme sviluppate dai comitati tecnici UNI.
Posso però assicurare che il lavoro congiunto ha dato un ottimo frutto e mi auguro che saranno numerosi i soggetti fisici che vorranno raggiungere i livelli di esperienza, abilità e competenza, che permetteranno loro di certificarsi secondo questo prezioso modello di riferimento.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.
Pubblica un commento
Rispondi Autore: Danilo Faggiano - likes: 0 | 09/12/2017 (10:42:27) |
Un altro fardello per le attività produttive che, invece di produrre e dare lavoro, devono stare attente a non farsi multare su un'altra inutile incombenza che nessuno aveva chiesto e di cui non si sentiva affatto l'esigenza. |