Siamo pronti a seppellire la norma UNI 11697?
Gli organi normativi nazionali italiani sono stati i primi, in Europa, a sviluppare una norma, che definiva i profili professionali di soggetti coinvolti nella protezione dati personali.
Questa norma, la UNI 11697, è stata presa come elemento di riferimento da comitati normativi di altri paesi, che hanno cominciato a lavorare per sviluppare una norma di dimensione europea.
Questa norma, sviluppata dal CEN/CLC/TC 13 - Cybersecurity and Data Protection, con la collaborazione del CEN/CLC/JTC 13/WG 5 - Data Protection, Privacy and Identity Management, è stata ufficialmente battezzata con la seguente descrizione:
prEN 17740:2021 Requirements for professional profiles related to personal data processing and protection
Questa bozza definisce i requisiti legati ad attività professionali di soggetti, che sono coinvolti nel trattamento e nella protezione dei dati personali.
In particolare, la norma affronta una professione intellettuale, che viene sviluppata a diversi livelli di complessità e in diversi contesti organizzativi, sia pubblici sia privati.
La norma è stata sviluppata in conformità con il quadro di riferimento europeo delle qualifiche-EQF, ed è stata elaborata in modo da facilitare e, possibilmente, armonizzare, i processi di valutazione e convalida dei profili professionali.
Come noto, quando viene pubblicata una norma europea, i vari comitati tecnici nazionali devono ritirare eventuali norme esistenti, in quanto il profilo europeo ha priorità sul profilo nazionale.
Ecco il motivo per cui tutti i soggetti, che in Italia hanno già ottenuto riconoscimenti e certificazioni professionali, secondo la norma italiana, debbono prepararsi ad aggiornare i propri profili, in maniera da renderli conformi alla norma europea che, secondo le più aggiornate valutazioni, dovrebbe essere pubblicata entro fine anno.
Questo è motivo per cui ritengo che i lettori siano oltremodo interessati ad avere una breve presentazione di questa nuova norma, che modifica in maniera significativa la norma italiana.
I profili professionali a livello europeo
La norma europea introduce dei livelli professionali, descritti in modo alquanto diverso rispetto a quanto avvenuto nella norma italiana. Viene inoltre raggiunto un livello professionale che in Italia non era stato sviluppato.
Data protection officer
è un profilo corrispondente al profilo professionale descritto nel regolamento europeo 679/2016, all’articolo 39. La norma precisa che è possibile assegnare a questo profilo anche incarichi differenti e anche incarichi appartenenti ad altri profili professionali e manageriali, a condizione che non sia presente un conflitto di interessi.
Data protection manager
è un profilo corrispondente a professionisti con un elevato livello di conoscenza, abilità e competenze, operanti in uno specifico contesto organizzativo, sia a livello funzionale sia in settori specifici. Questo soggetto deve garantire l’adozione di appropriate misure organizzative che permettano di trattare correttamente i dati personali in esame.
Data protection specialist
è un profilo corrispondente a quello di professionisti che sono in grado di dare supporto al data protection officer oppure al data protection manager, nello sviluppare misure appropriate, di livello tecnico ed organizzativo, afferenti al trattamento di dati personali.
Data protection engineer
è un nuovo profilo, che corrisponde a professionisti che devono progettare e sviluppare sistemi, in grado di trattare dati personali. Questi specialisti devono avere una specifica conoscenza approfondita e deve esser loro assegnato un adeguato livello di responsabilità, per tutto ciò che riguarda la protezione dei dati. Ad esempio, questi soggetti possono operare in parallelo a specialisti di software, di sistemi e di discipline tecniche connesse, nonché con altri profili comunque collegati al trattamento di dati personali, che operino nel contesto aziendale.
Data protection auditor
è un profilo corrispondente a un professionista indipendente, con elevato livello di conoscenze e abilità nel settore informatico, legale e organizzativo, in grado di sviluppare attività di trattamento e protezione dei dati personali, facendo anche riferimento ai contributi che possono essere offerti dagli specialisti della protezione dei dati, sopra illustrati.
Compiti ed attività di questi professionisti
Il profilo di un qualunque professionista, che operi nell’ambito del trattamento e della protezione dati personali, deve comprendere una serie di abilità specifiche, che vengono descritte in dettaglio nella norma.
La norma descrive, per ogni profilo professionale, la missione che può essere affidata a questo soggetto, i risultati che possono essere attesi ed altri elementi qualificanti di questo profilo professionale.
Ormai questa bozza di norma è giunta in dirittura d’arrivo, come accennato in precedenza, ed è opportuno che tutti i profili professionali, già esistenti in Italia e conformi o certificati secondo la norma UNI 11697, comincino a studiarla per prepararsi alla migrazione.
Chiudo questa presentazione con un briciolo di amarezza, perché fra l’elenco delle norme di riferimento, che ogni norma deve obbligatoriamente riportare, il comitato tecnico tedesco, che ha sviluppato la norma, si è completamente dimenticato di citare la norma madre, vale a dire quella sviluppata da un gruppo di volenterosi e competenti soggetti, in ambito UNI!
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.