Thursday 05 July 2018 14:44:39

Normativa  Unione Europea e Cooperazione Internazionale

Data Protection Officer: requisiti e certificazioni nel nuovo regolamento europeo sulla Privacy

Nota del dott. Massimigliano Mignanelli

Le caratteristiche necessarie per ricoprire il ruolo di Responsabile della Protezione dei dati

Con l’adozione del GPDR (General Data Protection Regulation, Regolamento sulla protezione dei dati personali) l’Unione ha modellato il diritto alla privacy intorno alla realtà dei social network e dei motori di ricerca ed ha introdotto una figura professionale, finora sconosciuta al nostro ordinamento: il Data Protection Officer (c.d. “Responsabile della Protezione dei Dati”). 

Gli incalzanti progressi tecnologici stanno generando processi di trasformazione culturale ed economica che minano la classica organizzazione del lavoro, facendo emergere nuovi modelli organizzativi e inedite figure professionali. Indipendentemente dai dettami della normativa incombente, è la trasformazione digitale in atto, che in Italia ha un valore di 25 miliardi di euro e 200 mila occupati, a delineare un futuro prossimo in cui, come ha affermato il presidente di Confindustria Digitale Elio Catania «non è possibile pensare che le aziende e le PA non siano dotate anche di specialisti della protezione dei dati». Si tratta, continua Catania «di un'opportunità per garantire efficienza e sviluppo di nuovi servizi per il mercato che vale migliaia di nuovi posti di lavoro. Un'occasione di sviluppo che come sistema Paese non possiamo perdere».

Il presidente di Federprivacy, Nicola Bernardi, si affretta a puntualizzare quali devono essere il ruolo in azienda e le caratteristiche del privacy officer. «Non vogliamo dare ad intendere che si tratti solo di un burocrate imposto da una normativa - afferma Bernardi - deve piuttosto essere un professionista dinamico e proattivo, con specifiche competenze giuridiche, e con spiccati skills informatici, dato che la maggioranza dei flussi di dati circola ormai attraverso pc, social network e siti web, tablet, smartphone, ed altri devices mobili».

L’era di Internet sembra, pertanto, imporre una revisione radicale degli strumenti di tutela. Questi per risultare adeguati devono fondarsi su tre fattori: la convenienza, la fiducia e la competenza. 

Dal 25 maggio 2018, il Regolamento Europeo sulla protezione dei dati è direttamente applicabile anche in Italia e circa 45mila imprese pubbliche e private dovranno adempiere all'obbligo di designare un responsabile della protezione dei dati personali, il cosiddetto "data protection officer". Analizziamo, perciò, quali sono le caratteristiche necessarie per ricoprire il ruolo di Responsabile della Protezione dei dati.

 

Formazione ed esperienza

Il presupposto necessario per ricoprire la figura di Privacy Officer è la conoscenza specialistica sia della normativa di settore che della prassi in materia di protezione dei dati personali, nonché la capacità di adempiere ai compiti di compliance alla normativa e, al contempo, di gestione della protezione dei dati oggetto di trattamento. In altre parole, è necessario possedere competenze interdisciplinari afferenti tanto al diritto quanto alla gestione della sicurezza dei dati (sotto i diversi profili, incluso quello tecnico, informatico ed organizzativo).  Sorge, dunque, la necessità, per i dipendenti e per i consulenti esterni che mirino a rivestire il ruolo di Privacy Officer, di possedere adeguate competenze e conoscenze specialistiche attraverso titoli che siano formalmente attestati e certificati, tra i quali assumono indubbia rilevanza quelli rilasciati in ambito universitario.

L'esperienza e le competenze costituiscono uno dei pilastri su cui si fonda la figura del Privacy Officer. Esse devono essere commisurate alla delicatezza e alla complessità del trattamento effettuato e al volume dei dati gestiti dall’organizzazione. 

Le qualità personali del DPO, inoltre, devono includere una spiccata integrità e un’elevata etica professionale, dato che uno dei suoi compiti principali è quello di promuovere lo sviluppo di una cultura rispettosa della normativa sulla protezione dei dati all’interno dell’organizzazione nella quale si trova ad operare. 

Pur se nell’attuale mercato del lavoro, sempre più selettivo, sembrano essere determinanti le credenziali e il know-how e per ricoprire il ruolo di Responsabile della Protezione dei Dati non siano richiesti necessariamente specifici titoli di studio o abilitazioni professionali, non sembra tuttavia scontato che possedere determinate referenze, alcune anche formali, possa contribuire a  fortificare e consolidare tutti gli skills che il professionista candidato Privacy Officer è in grado di dimostrare di possedere operativamente. Alcuni elementi in possesso di un candidato Privacy Officer concorrono sicuramente a consolidare lo spessore del suo curriculum e questi, ad esempio, potrebbero riguardare:  

• il titolo di studio afferente al ruolo (es. laurea in scienze giuridiche, informatica giuridica);

• le abilitazioni professionali (avvocato, consulente del lavoro);

• le certificazioni (certificati ISO 17024);

• l’esperienza lavorativa documentata;

• l’aggiornamento professionale (master, corsi di formazione e di aggiornamento in materia di privacy);

• la conoscenza di una seconda o di una terza lingua che in realtà multinazionali potrebbe rappresentare un requisito fondamentale. 

 

Caratteristiche personali

Nell'ultimo European Data Protection Days, tenutosi a Berlino, le Autorità europee si sono confrontate sulle tematiche più spinose del nuovo Testo in materia di Data Protection.

Tra i vari punti in questione, anche la figura del Privacy Officer è stata analizzata sotto molteplici prospettive:  prima fra tutte la questione sul come le aziende incamereranno questa figura/ufficio che avrà un ruolo cardine nel privacy compliance program, sia sul breve che sul lungo periodo. 

Una figura capace di conciliare, come abbiamo già detto, conoscenze tecnologiche con competenze normative; le aziende, nell'individuare il Data Protection Officer non potranno non valutare altri peculiari aspetti, visto l'ampio coinvolgimento di tale figura nelle decisioni aziendali.

La figura in questione dovrà, oltre a dimostrare il proprio status (essere maggiorenne; essere cittadino italiano o di altro stato della comunità europea con residenza stabile in Italia; se cittadino extracomunitario, soddisfare la vigente normativa inerente il permesso di soggiorno e lavoro ed abbia residenza stabile in Italia), soddisfare altri stringenti requisiti. In particolare dovrà: non aver subito condanne definitive riguardanti reati in violazione della normativa sulla privacy, delitti informatici e reati che incidano sulla moralità professionale; essere una persona riservata, propositiva, adattabile, conciliante e diplomatica; essere in possesso almeno del Diploma di Scuola Media Superiore in mancanza del quale, è necessario dimostrare la continuità dell’attività di Consulente della Privacy o Privacy Officer in forma retribuita per almeno 3 anni. 

 

Conoscenze e attività trasversali

Il candidato Privacy Officer dovrà possedere competenza e conoscenza nei sottoindicati ambiti:

• utilizzo di strumenti informatici di comune uso nella gestione dei dati;

• terminologia giuridica, informatica ed amministrativa;

• comunicazione personale e interpersonale, gestione dei reclami;

• risoluzione dei problemi;

• gestione di lavoro in team. 

 

Conoscenze professionali specifiche

Il candidato Privacy Officer dovrà, inoltre, possedere le seguenti conoscenze specifiche: 

• Normativa vigente e provvedimenti del Garante in materia di Videosorveglianza;

• Normativa vigente e provvedimenti del Garante in materia di utilizzo dei dati biometrici;

• Finalità, scopi e poteri dell'Autorità Garante per la protezione dei dati personali;

• Trattamenti di dati personali soggetti a notifica preventiva;

• Codice Amministrazione Digitale ex D.lgs 235/2010;

• Sicurezza e tutela delle banche dati informatiche (cenni sui principi di data security: reti e domini, mappa logica delle infrastrutture, vulnerabilità dei sistemi operativi, firewall, software e hardware, backup e ripristino delle macchine, continuità delle operazioni in caso di incidenti, antivirus,

tutela dei log di sistema);

• Analisi e Valutazione dei Rischi nella gestione di banche dati.

 

Esperienza lavorativa generale

Il candidato Privacy Officer dovrà dimostrare l’esercizio di una attività come consulente d’impresa in proprio o in studio associato, oppure come dipendente, collaboratore o professionista in ente pubblico o azienda privata. Il requisito minimo di durata dell’attività svolta è di tre anni (se in possesso di laurea) o di cinque anni (se in possesso di diploma).

 

Esperienza lavorativa specifica 

Nell’ambito della propria esperienza lavorativa generale il candidato Privacy Officer deve aver esercitato la professione, nella forma retribuita, di Consulente della Privacy per almeno due anni e in questo ambito aver progettato, mantenuto ed aggiornato almeno cinque sistemi organizzati di gestione dei dati personali comprendenti l’adozione di un complesso di idonee misure di sicurezza. 

In assenza di questi requisiti sono ammessi, previo superamento di una prova scritta, anche i DPO che dimostrino una esperienza professionale di almeno un anno in proprio o in collaborazione professionale (secondo una forma qualsiasi di contratto di prestazione d’opera) con Consulenti della Privacy o Privacy Officer esperti, o come lavoratori subordinati (secondo una delle qualsiasi forme previste per legge) con funzioni comprendenti mansioni direttamente collegate alla gestione della privacy aziendale (responsabile della sicurezza dei dati personali, addetto gestione della privacy aziendale, addetto alla gestione della sicurezza dei dati personali, addetto alla security aziendale, referente privacy, addetto privacy, addetto affari legali, addetto ufficio legale,etc.).

 

Il futuro del Privacy Officer come figura professionale certificata

L’adozione del Regolamento si è mostrato, sin da subito, uno strumento privilegiato idoneo ad evitare divergenze nella legislazione nazionale e a favorire la libera circolazione nel mercato interno. Infine, solo il Regolamento garantisce il medesimo livello di diritti a tutte le persone fisiche ed in tutti gli Stati membri nonché stessi obblighi, responsabilità e sanzioni per coloro che processano i dati.

Del resto il principio della libera circolazione di prodotti e servizi e il mercato globalizzato riguardano anche le competenze professionali. Sotto tale profilo, la coesistenza di sistemi scolastici e processi formativi anche molto diversi nei vari Stati UE ha fatto sorgere l'esigenza di un sistema europeo condiviso di riconoscimento delle competenze e delle professionalità dei lavoratori.

Dopo oltre un anno di lavori è giunto alla fase finale di inchiesta pubblica il progetto di norma tecnica UNI/UNINFO “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza abilità e competenza” che definisce i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali. Le certificazioni rilasciate da enti di terza parte indipendenti e imparziali accreditati dalla Norma internazionale UNI CEI EN ISO/IEC 17024, rappresentano uno strumento di misurazione oggettivo che permette al professionista di dimostrare con concretezza sul mercato del lavoro il possesso delle competenze necessarie per rivestire il ruolo di Privacy Officer.

La norma, frutto di una collaborazione alla quale hanno preso parte prestigiosi avvocati di rilievo nazionale ed altri giuristi e tecnici del settore specifico, recepisce pienamente non solo le disposizioni in materia del Regolamento UE 2016/679 ma anche tutte le più recenti pronunce fornite dal Gruppo di lavoro (WP 29) andando ad unire le conoscenze delle differenti componenti di maggior rilievo delle norme di legge applicabili e quelle dei sistemi informativi nonché delle tecniche di protezione e sicurezza ad essi relativi.

La norma, già riconosciuta a livello europeo e nazionale (EQF ed e-CF, UNI 11506 e 11621) è stata definita un insieme “minimo” di profili professionali che, assieme ad una figura di DPO allineata alla lettera ai dettami del nuovo Regolamento UE 2016/679, include una figura di taglio manageriale, una figura di tipo operativo e una figura di valutatore esterno.

Questi profili, nel loro insieme ed eventualmente anche aggregati tra loro nelle realtà più semplici, sono stati pensati per poter fornire tutto il supporto a titolari e responsabili nella gestione dei trattamenti di dati personali.

In Italia, Federprivacy, ha promosso la certificazione della figura professionale di “Privacy Officer”, presentando il proprio schema di certificazione, sviluppato in accordo ai requisiti della norma UNI CEI EN ISO/IEC 17024, al Garante per la protezione dei dati personali, il quale si è pronunciato positivamente con nota ufficiale del 13 ottobre 2011.

Dal 2012, nel nostro Paese, le certificazioni dei professionisti sono aumentate notevolmente. Sono molti coloro che hanno intrapreso il percorso per ottenere il certificato di “Privacy Officer o Consulente della Privacy”, rilasciato dall'ente TÜV Italia102 al termine di un processo di valutazione e superamento dell'esame conclusivo costituito da prove scritte ed orali, durante il quale il candidato deve dimostrare ad una commissione d'esperti di possedere una idonea formazione ed esperienza professionale.

L'iter di certificazione si articola nei seguenti passaggi:

• presentazione della candidatura, attraverso il modulo di “richiesta certificazione” e di tutti i documenti richiesti;

• verifica del possesso dei requisiti di formazione (conoscenza) e di esperienza professionale specifica (abilità) richiesti dallo schema;

• svolgimento di un esame di certificazione, composto da prove scritte ed un colloquio individuale sulle materie professionali;

• rilascio della certificazione da parte del comitato di delibera.

Il rilascio della certificazione consente l'iscrizione del professionista nel registro dei professionisti certificati per la figura professionale richiesta. Tale informazione, se autorizzata da parte del candidato in fase di richiesta di certificazione, permette la pubblicazione dei dati del candidato sul sito www.tuv.it e, nel caso di schemi accreditati, sul sito www.accredia.it.

I registri pubblicati sul sito www.tuv.it vengono aggiornati con cadenza mensile e contestualmente comunicati ad Accredia per l'aggiornamento del loro sito. Analoga modalità di comunicazione viene attuata per i provvedimenti di rinuncia, sospensione e revoca della certificazione.

La certificazione ha validità triennale con tacito rinnovo ed è vincolata al rispetto delle condizioni richieste dallo schema per il suo mantenimento. Nel triennio di validità sono previsti due mantenimenti annuali.

La certificazione delle competenze offre, dunque, numerosi vantaggi. Per il Professionista è un'attestazione di professionalità che arricchisce il curriculum, aprendo la strada a nuove opportunità lavorative, per le Organizzazioni è garanzia della professionalità dei propri dipendenti o fornitori di servizi.

In conclusione, un attestato che certifichi le competenze  come Privacy Officer, rilasciato da un ente di certificazione del personale accreditato ISO/IEC 17024, è il modo più concreto e attendibile per poter dimostrare le proprie abilità, anche all'estero, ove l'unica barriera da dover rimuovere potrebbe essere rappresentata dalla conoscenza di una seconda lingua.

 

Testo del Provvedimento (Contenuto Riservato)

 

Se hai già aderito:

Entra

altrimenti per accedere ai servizi puoi:

Abbonarti

oppure

Sostenere la fondazione

 

Ultime Notizie

Uso del Territorio: Urbanistica, Ambiente e Paesaggio - Monday 17 September 2018 08:36:37

Concessione edilizia ottenuta in base ad una falsa o erronea rappresentazione della realtà: il potere di autotutela del Comune

La Quarta Sezione del Consiglio di Stato ha confermato la correttezza della statuizione del TAR laddove ha ritenuto che “il provvedimento di...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 14.9.2018, n. 5408

Uso del Territorio: Urbanistica, Ambiente e Paesaggio - Monday 17 September 2018 08:31:38

SCIA: nessun limite alla libera presentazione anche in caso di voltura

L’art. 19 della legge n. 241/1990 è chiaro nello stabilire, al suo primo comma, che l’istituto della segnalazione certificata di...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 14.9.2018, n. 5412

Procedimento Amministrativo e Riforme Istituzionali - Monday 17 September 2018 08:18:51

La teoria del “contrarius actus” può essere (ma non lo è necessariamente) alla base dell’istituto dell’autotutela

La Quarta Sezione del Consiglio di Stato nella sentenza del 14 settembre 2018 ha affermato che “Né varrebbe obiettare – come pro...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 14.9.2018, n. 5406

Contratti, Servizi Pubblici e Concorrenza - Monday 17 September 2018 08:09:23

Procedure di gara: quando il giudice amministrativo non può sostituire il giudizio tecnico discrezionale della commissione di gara con un proprio giudizio di merito

Nella controversia giunta innanzi alla Quinta Sezione del Consiglio di Stato con il primo motivo (Violazione e falsa applicazione dei principi che...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. V del 14.9.2018, n. 5388

Procedimento Amministrativo e Riforme Istituzionali - Monday 17 September 2018 08:02:52

Il principio del “one shot temperato”: il rinnovo per una sola volta del provvedimento annullato

Secondo il costante indirizzo giurisprudenziale, in sede di ottemperanza al giudicato l’Amministrazione è tenuta non solo ad uniformar...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. V del 13.9.2018, n. 5371

Contratti, Servizi Pubblici e Concorrenza - Monday 17 September 2018 07:57:23

L’ammissione al concordato preventivo con continuità aziendale anche in bianco non impedisce l’affidamento di commesse pubbliche

Nel giudizio in esame il Consiglio di Stato ha esaminato l’eccezione dell’appellante in ordine alla mandataria del raggruppamento aggiu...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. V del 13.9.2018, n. 5371

Giustizia e Affari Interni - Monday 17 September 2018 07:48:38

Revoca del premesso di soggiorno per pericolosità sociale

La Terza Sezione del Consiglio di Stato con la sentenza depositata in data 14 settembre 2018 ha confermato l’orientamento già espresso...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. III del 14.9.2018, n. 5411

Pubblico Impiego e Responsabilità Amministrativa - Monday 17 September 2018 07:45:54

Corpo di polizia penitenziaria: il personale non può iscriversi all’albo degli avvocati

L’iscrizione all’albo degli avvocati costituisce frontale violazione dell’art. 35 d.lgs. n. 443 del 1992, a tenore del quale &ldq...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 14.9.2018, n. 5413

Giustizia e Affari Interni - Monday 17 September 2018 07:37:06

Permesso di soggiorno: la valutazione sul possesso del requisito di un reddito minimo per il sostentamento

“L'art. 5, comma 5, del d.lgs. 25 luglio 1998, n. 286 - nell'imporre alla Pubblica amministrazione di prendere in considerazione, in sede di...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. III del 14.9.2018, n. 5409

Pubblico Impiego e Responsabilità Amministrativa - Sunday 16 September 2018 05:14:12

Stipendi: quando il pagamento in contanti fa scattare le sanzioni

Si pubblicano le indicazioni dell’Ispettorato Nazionale del Lovoro fornite al personale ispettivo in materia di divieto di pagamento in...

segnalazione della nota dell’Ispettorato Nazionale del Lavoro n. 10.9.2018, n. 7369

Top