Thursday 05 July 2018 14:44:39

Normativa  Unione Europea e Cooperazione Internazionale

Data Protection Officer: requisiti e certificazioni nel nuovo regolamento europeo sulla Privacy

Nota del dott. Massimigliano Mignanelli

Le caratteristiche necessarie per ricoprire il ruolo di Responsabile della Protezione dei dati

Con l’adozione del GPDR (General Data Protection Regulation, Regolamento sulla protezione dei dati personali) l’Unione ha modellato il diritto alla privacy intorno alla realtà dei social network e dei motori di ricerca ed ha introdotto una figura professionale, finora sconosciuta al nostro ordinamento: il Data Protection Officer (c.d. “Responsabile della Protezione dei Dati”). 

Gli incalzanti progressi tecnologici stanno generando processi di trasformazione culturale ed economica che minano la classica organizzazione del lavoro, facendo emergere nuovi modelli organizzativi e inedite figure professionali. Indipendentemente dai dettami della normativa incombente, è la trasformazione digitale in atto, che in Italia ha un valore di 25 miliardi di euro e 200 mila occupati, a delineare un futuro prossimo in cui, come ha affermato il presidente di Confindustria Digitale Elio Catania «non è possibile pensare che le aziende e le PA non siano dotate anche di specialisti della protezione dei dati». Si tratta, continua Catania «di un'opportunità per garantire efficienza e sviluppo di nuovi servizi per il mercato che vale migliaia di nuovi posti di lavoro. Un'occasione di sviluppo che come sistema Paese non possiamo perdere».

Il presidente di Federprivacy, Nicola Bernardi, si affretta a puntualizzare quali devono essere il ruolo in azienda e le caratteristiche del privacy officer. «Non vogliamo dare ad intendere che si tratti solo di un burocrate imposto da una normativa - afferma Bernardi - deve piuttosto essere un professionista dinamico e proattivo, con specifiche competenze giuridiche, e con spiccati skills informatici, dato che la maggioranza dei flussi di dati circola ormai attraverso pc, social network e siti web, tablet, smartphone, ed altri devices mobili».

L’era di Internet sembra, pertanto, imporre una revisione radicale degli strumenti di tutela. Questi per risultare adeguati devono fondarsi su tre fattori: la convenienza, la fiducia e la competenza. 

Dal 25 maggio 2018, il Regolamento Europeo sulla protezione dei dati è direttamente applicabile anche in Italia e circa 45mila imprese pubbliche e private dovranno adempiere all'obbligo di designare un responsabile della protezione dei dati personali, il cosiddetto "data protection officer". Analizziamo, perciò, quali sono le caratteristiche necessarie per ricoprire il ruolo di Responsabile della Protezione dei dati.

 

Formazione ed esperienza

Il presupposto necessario per ricoprire la figura di Privacy Officer è la conoscenza specialistica sia della normativa di settore che della prassi in materia di protezione dei dati personali, nonché la capacità di adempiere ai compiti di compliance alla normativa e, al contempo, di gestione della protezione dei dati oggetto di trattamento. In altre parole, è necessario possedere competenze interdisciplinari afferenti tanto al diritto quanto alla gestione della sicurezza dei dati (sotto i diversi profili, incluso quello tecnico, informatico ed organizzativo).  Sorge, dunque, la necessità, per i dipendenti e per i consulenti esterni che mirino a rivestire il ruolo di Privacy Officer, di possedere adeguate competenze e conoscenze specialistiche attraverso titoli che siano formalmente attestati e certificati, tra i quali assumono indubbia rilevanza quelli rilasciati in ambito universitario.

L'esperienza e le competenze costituiscono uno dei pilastri su cui si fonda la figura del Privacy Officer. Esse devono essere commisurate alla delicatezza e alla complessità del trattamento effettuato e al volume dei dati gestiti dall’organizzazione. 

Le qualità personali del DPO, inoltre, devono includere una spiccata integrità e un’elevata etica professionale, dato che uno dei suoi compiti principali è quello di promuovere lo sviluppo di una cultura rispettosa della normativa sulla protezione dei dati all’interno dell’organizzazione nella quale si trova ad operare. 

Pur se nell’attuale mercato del lavoro, sempre più selettivo, sembrano essere determinanti le credenziali e il know-how e per ricoprire il ruolo di Responsabile della Protezione dei Dati non siano richiesti necessariamente specifici titoli di studio o abilitazioni professionali, non sembra tuttavia scontato che possedere determinate referenze, alcune anche formali, possa contribuire a  fortificare e consolidare tutti gli skills che il professionista candidato Privacy Officer è in grado di dimostrare di possedere operativamente. Alcuni elementi in possesso di un candidato Privacy Officer concorrono sicuramente a consolidare lo spessore del suo curriculum e questi, ad esempio, potrebbero riguardare:  

• il titolo di studio afferente al ruolo (es. laurea in scienze giuridiche, informatica giuridica);

• le abilitazioni professionali (avvocato, consulente del lavoro);

• le certificazioni (certificati ISO 17024);

• l’esperienza lavorativa documentata;

• l’aggiornamento professionale (master, corsi di formazione e di aggiornamento in materia di privacy);

• la conoscenza di una seconda o di una terza lingua che in realtà multinazionali potrebbe rappresentare un requisito fondamentale. 

 

Caratteristiche personali

Nell'ultimo European Data Protection Days, tenutosi a Berlino, le Autorità europee si sono confrontate sulle tematiche più spinose del nuovo Testo in materia di Data Protection.

Tra i vari punti in questione, anche la figura del Privacy Officer è stata analizzata sotto molteplici prospettive:  prima fra tutte la questione sul come le aziende incamereranno questa figura/ufficio che avrà un ruolo cardine nel privacy compliance program, sia sul breve che sul lungo periodo. 

Una figura capace di conciliare, come abbiamo già detto, conoscenze tecnologiche con competenze normative; le aziende, nell'individuare il Data Protection Officer non potranno non valutare altri peculiari aspetti, visto l'ampio coinvolgimento di tale figura nelle decisioni aziendali.

La figura in questione dovrà, oltre a dimostrare il proprio status (essere maggiorenne; essere cittadino italiano o di altro stato della comunità europea con residenza stabile in Italia; se cittadino extracomunitario, soddisfare la vigente normativa inerente il permesso di soggiorno e lavoro ed abbia residenza stabile in Italia), soddisfare altri stringenti requisiti. In particolare dovrà: non aver subito condanne definitive riguardanti reati in violazione della normativa sulla privacy, delitti informatici e reati che incidano sulla moralità professionale; essere una persona riservata, propositiva, adattabile, conciliante e diplomatica; essere in possesso almeno del Diploma di Scuola Media Superiore in mancanza del quale, è necessario dimostrare la continuità dell’attività di Consulente della Privacy o Privacy Officer in forma retribuita per almeno 3 anni. 

 

Conoscenze e attività trasversali

Il candidato Privacy Officer dovrà possedere competenza e conoscenza nei sottoindicati ambiti:

• utilizzo di strumenti informatici di comune uso nella gestione dei dati;

• terminologia giuridica, informatica ed amministrativa;

• comunicazione personale e interpersonale, gestione dei reclami;

• risoluzione dei problemi;

• gestione di lavoro in team. 

 

Conoscenze professionali specifiche

Il candidato Privacy Officer dovrà, inoltre, possedere le seguenti conoscenze specifiche: 

• Normativa vigente e provvedimenti del Garante in materia di Videosorveglianza;

• Normativa vigente e provvedimenti del Garante in materia di utilizzo dei dati biometrici;

• Finalità, scopi e poteri dell'Autorità Garante per la protezione dei dati personali;

• Trattamenti di dati personali soggetti a notifica preventiva;

• Codice Amministrazione Digitale ex D.lgs 235/2010;

• Sicurezza e tutela delle banche dati informatiche (cenni sui principi di data security: reti e domini, mappa logica delle infrastrutture, vulnerabilità dei sistemi operativi, firewall, software e hardware, backup e ripristino delle macchine, continuità delle operazioni in caso di incidenti, antivirus,

tutela dei log di sistema);

• Analisi e Valutazione dei Rischi nella gestione di banche dati.

 

Esperienza lavorativa generale

Il candidato Privacy Officer dovrà dimostrare l’esercizio di una attività come consulente d’impresa in proprio o in studio associato, oppure come dipendente, collaboratore o professionista in ente pubblico o azienda privata. Il requisito minimo di durata dell’attività svolta è di tre anni (se in possesso di laurea) o di cinque anni (se in possesso di diploma).

 

Esperienza lavorativa specifica 

Nell’ambito della propria esperienza lavorativa generale il candidato Privacy Officer deve aver esercitato la professione, nella forma retribuita, di Consulente della Privacy per almeno due anni e in questo ambito aver progettato, mantenuto ed aggiornato almeno cinque sistemi organizzati di gestione dei dati personali comprendenti l’adozione di un complesso di idonee misure di sicurezza. 

In assenza di questi requisiti sono ammessi, previo superamento di una prova scritta, anche i DPO che dimostrino una esperienza professionale di almeno un anno in proprio o in collaborazione professionale (secondo una forma qualsiasi di contratto di prestazione d’opera) con Consulenti della Privacy o Privacy Officer esperti, o come lavoratori subordinati (secondo una delle qualsiasi forme previste per legge) con funzioni comprendenti mansioni direttamente collegate alla gestione della privacy aziendale (responsabile della sicurezza dei dati personali, addetto gestione della privacy aziendale, addetto alla gestione della sicurezza dei dati personali, addetto alla security aziendale, referente privacy, addetto privacy, addetto affari legali, addetto ufficio legale,etc.).

 

Il futuro del Privacy Officer come figura professionale certificata

L’adozione del Regolamento si è mostrato, sin da subito, uno strumento privilegiato idoneo ad evitare divergenze nella legislazione nazionale e a favorire la libera circolazione nel mercato interno. Infine, solo il Regolamento garantisce il medesimo livello di diritti a tutte le persone fisiche ed in tutti gli Stati membri nonché stessi obblighi, responsabilità e sanzioni per coloro che processano i dati.

Del resto il principio della libera circolazione di prodotti e servizi e il mercato globalizzato riguardano anche le competenze professionali. Sotto tale profilo, la coesistenza di sistemi scolastici e processi formativi anche molto diversi nei vari Stati UE ha fatto sorgere l'esigenza di un sistema europeo condiviso di riconoscimento delle competenze e delle professionalità dei lavoratori.

Dopo oltre un anno di lavori è giunto alla fase finale di inchiesta pubblica il progetto di norma tecnica UNI/UNINFO “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza abilità e competenza” che definisce i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali. Le certificazioni rilasciate da enti di terza parte indipendenti e imparziali accreditati dalla Norma internazionale UNI CEI EN ISO/IEC 17024, rappresentano uno strumento di misurazione oggettivo che permette al professionista di dimostrare con concretezza sul mercato del lavoro il possesso delle competenze necessarie per rivestire il ruolo di Privacy Officer.

La norma, frutto di una collaborazione alla quale hanno preso parte prestigiosi avvocati di rilievo nazionale ed altri giuristi e tecnici del settore specifico, recepisce pienamente non solo le disposizioni in materia del Regolamento UE 2016/679 ma anche tutte le più recenti pronunce fornite dal Gruppo di lavoro (WP 29) andando ad unire le conoscenze delle differenti componenti di maggior rilievo delle norme di legge applicabili e quelle dei sistemi informativi nonché delle tecniche di protezione e sicurezza ad essi relativi.

La norma, già riconosciuta a livello europeo e nazionale (EQF ed e-CF, UNI 11506 e 11621) è stata definita un insieme “minimo” di profili professionali che, assieme ad una figura di DPO allineata alla lettera ai dettami del nuovo Regolamento UE 2016/679, include una figura di taglio manageriale, una figura di tipo operativo e una figura di valutatore esterno.

Questi profili, nel loro insieme ed eventualmente anche aggregati tra loro nelle realtà più semplici, sono stati pensati per poter fornire tutto il supporto a titolari e responsabili nella gestione dei trattamenti di dati personali.

In Italia, Federprivacy, ha promosso la certificazione della figura professionale di “Privacy Officer”, presentando il proprio schema di certificazione, sviluppato in accordo ai requisiti della norma UNI CEI EN ISO/IEC 17024, al Garante per la protezione dei dati personali, il quale si è pronunciato positivamente con nota ufficiale del 13 ottobre 2011.

Dal 2012, nel nostro Paese, le certificazioni dei professionisti sono aumentate notevolmente. Sono molti coloro che hanno intrapreso il percorso per ottenere il certificato di “Privacy Officer o Consulente della Privacy”, rilasciato dall'ente TÜV Italia102 al termine di un processo di valutazione e superamento dell'esame conclusivo costituito da prove scritte ed orali, durante il quale il candidato deve dimostrare ad una commissione d'esperti di possedere una idonea formazione ed esperienza professionale.

L'iter di certificazione si articola nei seguenti passaggi:

• presentazione della candidatura, attraverso il modulo di “richiesta certificazione” e di tutti i documenti richiesti;

• verifica del possesso dei requisiti di formazione (conoscenza) e di esperienza professionale specifica (abilità) richiesti dallo schema;

• svolgimento di un esame di certificazione, composto da prove scritte ed un colloquio individuale sulle materie professionali;

• rilascio della certificazione da parte del comitato di delibera.

Il rilascio della certificazione consente l'iscrizione del professionista nel registro dei professionisti certificati per la figura professionale richiesta. Tale informazione, se autorizzata da parte del candidato in fase di richiesta di certificazione, permette la pubblicazione dei dati del candidato sul sito www.tuv.it e, nel caso di schemi accreditati, sul sito www.accredia.it.

I registri pubblicati sul sito www.tuv.it vengono aggiornati con cadenza mensile e contestualmente comunicati ad Accredia per l'aggiornamento del loro sito. Analoga modalità di comunicazione viene attuata per i provvedimenti di rinuncia, sospensione e revoca della certificazione.

La certificazione ha validità triennale con tacito rinnovo ed è vincolata al rispetto delle condizioni richieste dallo schema per il suo mantenimento. Nel triennio di validità sono previsti due mantenimenti annuali.

La certificazione delle competenze offre, dunque, numerosi vantaggi. Per il Professionista è un'attestazione di professionalità che arricchisce il curriculum, aprendo la strada a nuove opportunità lavorative, per le Organizzazioni è garanzia della professionalità dei propri dipendenti o fornitori di servizi.

In conclusione, un attestato che certifichi le competenze  come Privacy Officer, rilasciato da un ente di certificazione del personale accreditato ISO/IEC 17024, è il modo più concreto e attendibile per poter dimostrare le proprie abilità, anche all'estero, ove l'unica barriera da dover rimuovere potrebbe essere rappresentata dalla conoscenza di una seconda lingua.

 

Testo del Provvedimento (Contenuto Riservato)

 

Se hai già aderito:

Entra

altrimenti per accedere ai servizi:    

Sostieni la Fondazione

 

Ultime Notizie

Uso del Territorio: Urbanistica, Ambiente e Paesaggio - Sunday 07 April 2019 20:07:40

Edilizia: l’annullamento della concessione rilasciata sulla base di una falsa o erronea rappresentazione della realtà

Premesso in punto di fatto che la concessione veniva rilasciata sulla base di un presupposto erroneamente rappresentato dal richiedente in riferime...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 5.4.2019, n. 2216

Pubblico Impiego e Responsabilità Amministrativa - Sunday 07 April 2019 19:55:29

Funzionari diplomatici: la discrezionalità del potere di nomina

La Sezione Quinta del Consiglio di Stato con plurime decisioni (cfr. tra le tante Cons. Stato, IV, 11 marzo 2010, n. 1450; idem 31 maggio 2005, n....

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 5.4.2019, n. 2230

Pubblico Impiego e Responsabilità Amministrativa - Sunday 07 April 2019 19:47:56

Procedure concorsuali: in seguito all'annullamento giurisdizionale degli atti del concorso la rinnovazione degli atti va , o meno, affidata ad una commissione giudicatrice in una composizione diversa?

Il giudizio all’esame della Sesta Sezione del Consiglio di Stato ha ad oggetto una sentenza oggetto di ottemperanza ermeneutica riguardante i...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. VI del 5.4.2019, n. 2238

Contratti, Servizi Pubblici e Concorrenza - Sunday 07 April 2019 19:27:34

Contratti pubblici: il rapporto di avvalimento non deve trasformarsi in una “scatola vuota”

Si legge nella sentenza depositata dalla Quinta Sezione del Consiglio di Stato in data 5 aprile 2019 che “ l’istituto dell’avvali...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. V del 5.4.2019, n. 2243

Contratti, Servizi Pubblici e Concorrenza - Sunday 07 April 2019 19:22:03

Appalti: la “cristallizzazione” della platea dei partecipanti in un momento antecedente all’esame delle offerte

L’Adunanza plenaria del Consiglio di Stato, con sentenza 26 aprile 2018, n. 4, ha affermato che l’art. 120, comma 2-bis, Cod. proc. amm...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. V del 5.4.2019, n. 2243

Procedimento Amministrativo e Riforme Istituzionali - Sunday 07 April 2019 19:08:31

Il passaggio in giudicato delle sentenza del Consiglio di Stato

Il Consiglio di Stato nella sentenza depositata in data 5 aprile 2019 ha affermato che “a norma dell'art. 324 c.p.c., applicabile anche nel p...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. Vi del 5.4.2019, n. 2252

Pubblico Impiego e Responsabilità Amministrativa - Sunday 07 April 2019 18:58:34

L’induzione in errore dell’Amministrazione a causa dell’esibizione di documenti falsi: l’irrilevanza della buona fede

Ritiene il Consig...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. VI del 5.4.2019, n. 2257

Contratti, Servizi Pubblici e Concorrenza - Sunday 07 April 2019 18:47:45

Servizi pubblici: la giurisdizione del giudice amministrativo non si estende alle controversie di natura patrimoniale afferenti al rapporto concessorio

Secondo un consolidato indirizzo giurisprudenziale, conformemente a quanto precisato dalla Corte Costituzionale nella sentenza n. 204 del 2004, le...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. V del 3.4.2019, n. 2201

Uso del Territorio: Urbanistica, Ambiente e Paesaggio - Sunday 07 April 2019 18:39:43

L’occupazione abusiva di immobili da parte della Pubblica Amministrazione

SOMMARIO:

Premessa – I concetti di base elaborati alla luce della giurisprudenza indicata nella premessa:

§1 – La...

segnalazione della Rassegna monotematica di giurisprudenza del Consiglio di Stato Ufficio Studi massimario e formazione aggiornata al 26.3.2019

Patto di Stabliità, Bilancio e Fiscalità - Sunday 07 April 2019 14:05:12

Dissesto Enti locali: la nomina del Commissario ad acta che ha dichiarato la mancata presentazione, da parte del Comune, del piano di riequilibrio pluriennale

 Il provvedimento con cui l’Assessorato Regionale ha disposto la nomina del Commissario ad acta, in conseguenza di deliberazioni della C...

segnalazione della nota della Giustizia Amministrativa alla sentenza del Tar Catania, sez. I del 2 aprile 2019, n. 680

Top