Thursday 05 July 2018 14:44:39

Normativa  Unione Europea e Cooperazione Internazionale

Data Protection Officer: requisiti e certificazioni nel nuovo regolamento europeo sulla Privacy

Nota del dott. Massimigliano Mignanelli

Le caratteristiche necessarie per ricoprire il ruolo di Responsabile della Protezione dei dati

Con l’adozione del GPDR (General Data Protection Regulation, Regolamento sulla protezione dei dati personali) l’Unione ha modellato il diritto alla privacy intorno alla realtà dei social network e dei motori di ricerca ed ha introdotto una figura professionale, finora sconosciuta al nostro ordinamento: il Data Protection Officer (c.d. “Responsabile della Protezione dei Dati”). 

Gli incalzanti progressi tecnologici stanno generando processi di trasformazione culturale ed economica che minano la classica organizzazione del lavoro, facendo emergere nuovi modelli organizzativi e inedite figure professionali. Indipendentemente dai dettami della normativa incombente, è la trasformazione digitale in atto, che in Italia ha un valore di 25 miliardi di euro e 200 mila occupati, a delineare un futuro prossimo in cui, come ha affermato il presidente di Confindustria Digitale Elio Catania «non è possibile pensare che le aziende e le PA non siano dotate anche di specialisti della protezione dei dati». Si tratta, continua Catania «di un'opportunità per garantire efficienza e sviluppo di nuovi servizi per il mercato che vale migliaia di nuovi posti di lavoro. Un'occasione di sviluppo che come sistema Paese non possiamo perdere».

Il presidente di Federprivacy, Nicola Bernardi, si affretta a puntualizzare quali devono essere il ruolo in azienda e le caratteristiche del privacy officer. «Non vogliamo dare ad intendere che si tratti solo di un burocrate imposto da una normativa - afferma Bernardi - deve piuttosto essere un professionista dinamico e proattivo, con specifiche competenze giuridiche, e con spiccati skills informatici, dato che la maggioranza dei flussi di dati circola ormai attraverso pc, social network e siti web, tablet, smartphone, ed altri devices mobili».

L’era di Internet sembra, pertanto, imporre una revisione radicale degli strumenti di tutela. Questi per risultare adeguati devono fondarsi su tre fattori: la convenienza, la fiducia e la competenza. 

Dal 25 maggio 2018, il Regolamento Europeo sulla protezione dei dati è direttamente applicabile anche in Italia e circa 45mila imprese pubbliche e private dovranno adempiere all'obbligo di designare un responsabile della protezione dei dati personali, il cosiddetto "data protection officer". Analizziamo, perciò, quali sono le caratteristiche necessarie per ricoprire il ruolo di Responsabile della Protezione dei dati.

 

Formazione ed esperienza

Il presupposto necessario per ricoprire la figura di Privacy Officer è la conoscenza specialistica sia della normativa di settore che della prassi in materia di protezione dei dati personali, nonché la capacità di adempiere ai compiti di compliance alla normativa e, al contempo, di gestione della protezione dei dati oggetto di trattamento. In altre parole, è necessario possedere competenze interdisciplinari afferenti tanto al diritto quanto alla gestione della sicurezza dei dati (sotto i diversi profili, incluso quello tecnico, informatico ed organizzativo).  Sorge, dunque, la necessità, per i dipendenti e per i consulenti esterni che mirino a rivestire il ruolo di Privacy Officer, di possedere adeguate competenze e conoscenze specialistiche attraverso titoli che siano formalmente attestati e certificati, tra i quali assumono indubbia rilevanza quelli rilasciati in ambito universitario.

L'esperienza e le competenze costituiscono uno dei pilastri su cui si fonda la figura del Privacy Officer. Esse devono essere commisurate alla delicatezza e alla complessità del trattamento effettuato e al volume dei dati gestiti dall’organizzazione. 

Le qualità personali del DPO, inoltre, devono includere una spiccata integrità e un’elevata etica professionale, dato che uno dei suoi compiti principali è quello di promuovere lo sviluppo di una cultura rispettosa della normativa sulla protezione dei dati all’interno dell’organizzazione nella quale si trova ad operare. 

Pur se nell’attuale mercato del lavoro, sempre più selettivo, sembrano essere determinanti le credenziali e il know-how e per ricoprire il ruolo di Responsabile della Protezione dei Dati non siano richiesti necessariamente specifici titoli di studio o abilitazioni professionali, non sembra tuttavia scontato che possedere determinate referenze, alcune anche formali, possa contribuire a  fortificare e consolidare tutti gli skills che il professionista candidato Privacy Officer è in grado di dimostrare di possedere operativamente. Alcuni elementi in possesso di un candidato Privacy Officer concorrono sicuramente a consolidare lo spessore del suo curriculum e questi, ad esempio, potrebbero riguardare:  

• il titolo di studio afferente al ruolo (es. laurea in scienze giuridiche, informatica giuridica);

• le abilitazioni professionali (avvocato, consulente del lavoro);

• le certificazioni (certificati ISO 17024);

• l’esperienza lavorativa documentata;

• l’aggiornamento professionale (master, corsi di formazione e di aggiornamento in materia di privacy);

• la conoscenza di una seconda o di una terza lingua che in realtà multinazionali potrebbe rappresentare un requisito fondamentale. 

 

Caratteristiche personali

Nell'ultimo European Data Protection Days, tenutosi a Berlino, le Autorità europee si sono confrontate sulle tematiche più spinose del nuovo Testo in materia di Data Protection.

Tra i vari punti in questione, anche la figura del Privacy Officer è stata analizzata sotto molteplici prospettive:  prima fra tutte la questione sul come le aziende incamereranno questa figura/ufficio che avrà un ruolo cardine nel privacy compliance program, sia sul breve che sul lungo periodo. 

Una figura capace di conciliare, come abbiamo già detto, conoscenze tecnologiche con competenze normative; le aziende, nell'individuare il Data Protection Officer non potranno non valutare altri peculiari aspetti, visto l'ampio coinvolgimento di tale figura nelle decisioni aziendali.

La figura in questione dovrà, oltre a dimostrare il proprio status (essere maggiorenne; essere cittadino italiano o di altro stato della comunità europea con residenza stabile in Italia; se cittadino extracomunitario, soddisfare la vigente normativa inerente il permesso di soggiorno e lavoro ed abbia residenza stabile in Italia), soddisfare altri stringenti requisiti. In particolare dovrà: non aver subito condanne definitive riguardanti reati in violazione della normativa sulla privacy, delitti informatici e reati che incidano sulla moralità professionale; essere una persona riservata, propositiva, adattabile, conciliante e diplomatica; essere in possesso almeno del Diploma di Scuola Media Superiore in mancanza del quale, è necessario dimostrare la continuità dell’attività di Consulente della Privacy o Privacy Officer in forma retribuita per almeno 3 anni. 

 

Conoscenze e attività trasversali

Il candidato Privacy Officer dovrà possedere competenza e conoscenza nei sottoindicati ambiti:

• utilizzo di strumenti informatici di comune uso nella gestione dei dati;

• terminologia giuridica, informatica ed amministrativa;

• comunicazione personale e interpersonale, gestione dei reclami;

• risoluzione dei problemi;

• gestione di lavoro in team. 

 

Conoscenze professionali specifiche

Il candidato Privacy Officer dovrà, inoltre, possedere le seguenti conoscenze specifiche: 

• Normativa vigente e provvedimenti del Garante in materia di Videosorveglianza;

• Normativa vigente e provvedimenti del Garante in materia di utilizzo dei dati biometrici;

• Finalità, scopi e poteri dell'Autorità Garante per la protezione dei dati personali;

• Trattamenti di dati personali soggetti a notifica preventiva;

• Codice Amministrazione Digitale ex D.lgs 235/2010;

• Sicurezza e tutela delle banche dati informatiche (cenni sui principi di data security: reti e domini, mappa logica delle infrastrutture, vulnerabilità dei sistemi operativi, firewall, software e hardware, backup e ripristino delle macchine, continuità delle operazioni in caso di incidenti, antivirus,

tutela dei log di sistema);

• Analisi e Valutazione dei Rischi nella gestione di banche dati.

 

Esperienza lavorativa generale

Il candidato Privacy Officer dovrà dimostrare l’esercizio di una attività come consulente d’impresa in proprio o in studio associato, oppure come dipendente, collaboratore o professionista in ente pubblico o azienda privata. Il requisito minimo di durata dell’attività svolta è di tre anni (se in possesso di laurea) o di cinque anni (se in possesso di diploma).

 

Esperienza lavorativa specifica 

Nell’ambito della propria esperienza lavorativa generale il candidato Privacy Officer deve aver esercitato la professione, nella forma retribuita, di Consulente della Privacy per almeno due anni e in questo ambito aver progettato, mantenuto ed aggiornato almeno cinque sistemi organizzati di gestione dei dati personali comprendenti l’adozione di un complesso di idonee misure di sicurezza. 

In assenza di questi requisiti sono ammessi, previo superamento di una prova scritta, anche i DPO che dimostrino una esperienza professionale di almeno un anno in proprio o in collaborazione professionale (secondo una forma qualsiasi di contratto di prestazione d’opera) con Consulenti della Privacy o Privacy Officer esperti, o come lavoratori subordinati (secondo una delle qualsiasi forme previste per legge) con funzioni comprendenti mansioni direttamente collegate alla gestione della privacy aziendale (responsabile della sicurezza dei dati personali, addetto gestione della privacy aziendale, addetto alla gestione della sicurezza dei dati personali, addetto alla security aziendale, referente privacy, addetto privacy, addetto affari legali, addetto ufficio legale,etc.).

 

Il futuro del Privacy Officer come figura professionale certificata

L’adozione del Regolamento si è mostrato, sin da subito, uno strumento privilegiato idoneo ad evitare divergenze nella legislazione nazionale e a favorire la libera circolazione nel mercato interno. Infine, solo il Regolamento garantisce il medesimo livello di diritti a tutte le persone fisiche ed in tutti gli Stati membri nonché stessi obblighi, responsabilità e sanzioni per coloro che processano i dati.

Del resto il principio della libera circolazione di prodotti e servizi e il mercato globalizzato riguardano anche le competenze professionali. Sotto tale profilo, la coesistenza di sistemi scolastici e processi formativi anche molto diversi nei vari Stati UE ha fatto sorgere l'esigenza di un sistema europeo condiviso di riconoscimento delle competenze e delle professionalità dei lavoratori.

Dopo oltre un anno di lavori è giunto alla fase finale di inchiesta pubblica il progetto di norma tecnica UNI/UNINFO “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza abilità e competenza” che definisce i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali. Le certificazioni rilasciate da enti di terza parte indipendenti e imparziali accreditati dalla Norma internazionale UNI CEI EN ISO/IEC 17024, rappresentano uno strumento di misurazione oggettivo che permette al professionista di dimostrare con concretezza sul mercato del lavoro il possesso delle competenze necessarie per rivestire il ruolo di Privacy Officer.

La norma, frutto di una collaborazione alla quale hanno preso parte prestigiosi avvocati di rilievo nazionale ed altri giuristi e tecnici del settore specifico, recepisce pienamente non solo le disposizioni in materia del Regolamento UE 2016/679 ma anche tutte le più recenti pronunce fornite dal Gruppo di lavoro (WP 29) andando ad unire le conoscenze delle differenti componenti di maggior rilievo delle norme di legge applicabili e quelle dei sistemi informativi nonché delle tecniche di protezione e sicurezza ad essi relativi.

La norma, già riconosciuta a livello europeo e nazionale (EQF ed e-CF, UNI 11506 e 11621) è stata definita un insieme “minimo” di profili professionali che, assieme ad una figura di DPO allineata alla lettera ai dettami del nuovo Regolamento UE 2016/679, include una figura di taglio manageriale, una figura di tipo operativo e una figura di valutatore esterno.

Questi profili, nel loro insieme ed eventualmente anche aggregati tra loro nelle realtà più semplici, sono stati pensati per poter fornire tutto il supporto a titolari e responsabili nella gestione dei trattamenti di dati personali.

In Italia, Federprivacy, ha promosso la certificazione della figura professionale di “Privacy Officer”, presentando il proprio schema di certificazione, sviluppato in accordo ai requisiti della norma UNI CEI EN ISO/IEC 17024, al Garante per la protezione dei dati personali, il quale si è pronunciato positivamente con nota ufficiale del 13 ottobre 2011.

Dal 2012, nel nostro Paese, le certificazioni dei professionisti sono aumentate notevolmente. Sono molti coloro che hanno intrapreso il percorso per ottenere il certificato di “Privacy Officer o Consulente della Privacy”, rilasciato dall'ente TÜV Italia102 al termine di un processo di valutazione e superamento dell'esame conclusivo costituito da prove scritte ed orali, durante il quale il candidato deve dimostrare ad una commissione d'esperti di possedere una idonea formazione ed esperienza professionale.

L'iter di certificazione si articola nei seguenti passaggi:

• presentazione della candidatura, attraverso il modulo di “richiesta certificazione” e di tutti i documenti richiesti;

• verifica del possesso dei requisiti di formazione (conoscenza) e di esperienza professionale specifica (abilità) richiesti dallo schema;

• svolgimento di un esame di certificazione, composto da prove scritte ed un colloquio individuale sulle materie professionali;

• rilascio della certificazione da parte del comitato di delibera.

Il rilascio della certificazione consente l'iscrizione del professionista nel registro dei professionisti certificati per la figura professionale richiesta. Tale informazione, se autorizzata da parte del candidato in fase di richiesta di certificazione, permette la pubblicazione dei dati del candidato sul sito www.tuv.it e, nel caso di schemi accreditati, sul sito www.accredia.it.

I registri pubblicati sul sito www.tuv.it vengono aggiornati con cadenza mensile e contestualmente comunicati ad Accredia per l'aggiornamento del loro sito. Analoga modalità di comunicazione viene attuata per i provvedimenti di rinuncia, sospensione e revoca della certificazione.

La certificazione ha validità triennale con tacito rinnovo ed è vincolata al rispetto delle condizioni richieste dallo schema per il suo mantenimento. Nel triennio di validità sono previsti due mantenimenti annuali.

La certificazione delle competenze offre, dunque, numerosi vantaggi. Per il Professionista è un'attestazione di professionalità che arricchisce il curriculum, aprendo la strada a nuove opportunità lavorative, per le Organizzazioni è garanzia della professionalità dei propri dipendenti o fornitori di servizi.

In conclusione, un attestato che certifichi le competenze  come Privacy Officer, rilasciato da un ente di certificazione del personale accreditato ISO/IEC 17024, è il modo più concreto e attendibile per poter dimostrare le proprie abilità, anche all'estero, ove l'unica barriera da dover rimuovere potrebbe essere rappresentata dalla conoscenza di una seconda lingua.

 

Testo del Provvedimento (Contenuto Riservato)

 

Se hai già aderito:

Entra

altrimenti per accedere ai servizi:    

Sostieni la Fondazione

 

Ultime Notizie

Uso del Territorio: Urbanistica, Ambiente e Paesaggio - Sunday 11 November 2018 07:41:30

Espropriazioni per pubblica utilità: le Sezioni Unite sulla competenza in unico grado della Corte di Appello

“in materia di espropriazione per pubblica utilità, la controversia relativa alla determinazione e corresponsione dell'indennizzo, glo...

segnalazione dell’ordinanza della Corte di Cassazione S.U. del 8.11.2018, n. 28572

Contratti, Servizi Pubblici e Concorrenza - Sunday 11 November 2018 05:04:36

Anac: pubblicate le Linee guida n. 12 sull’affidamento dei servizi legali

Il Consiglio dell’Autorità Nazionale Anticorruzione ha approvato, con la Delibera n. 907 del 24 ottobre 2018, le Linee guida n. 12 che...

segnalazione delle Linee guida n. 12 dell’Anac del 6.12.2018

Contratti, Servizi Pubblici e Concorrenza - Tuesday 06 November 2018 08:10:51

Procedura di gara: la pubblicazione sul sito internet della stazione appaltante dei provvedimenti di ammissione ed il termine per impugnare

Nel giudizio in esame l’Amministrazione sostiene che il ricorso introduttivo debba essere considerato tardivo perché proposto oltre il...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. V del 31.10.2018, n. 6187

Contratti, Servizi Pubblici e Concorrenza - Tuesday 06 November 2018 08:06:13

Codice delle leggi antimafia: la giurisprudenza sulla confisca dei beni alla criminalità organizzata

La ratio della disciplina dettata dal d.lgs. 6 settembre 2011, n. 159 – recante il Codice delle leggi antimafia – in ordine alla confis...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. III del 31.10.2018, n. 6193

Procedimento Amministrativo e Riforme Istituzionali - Tuesday 06 November 2018 08:00:43

Il giudizio sul silenzio della P.A.

Nel giudizio sul silenzio della Pubblica Amministrazione, laddove vi è mero accertamento dell’inadempimento dell’obbligo di prov...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. IV del 31.10.2018, n. 6201

Procedimento Amministrativo e Riforme Istituzionali - Tuesday 06 November 2018 07:55:17

Patente di guida: gli effetti della dichiarazione di illegittimità costituzionale dell’art.120 del Codice della Strada

Nel giudizio in esame si controverte della legittimità del provvedimento di revoca della patente adottata per una violazione dell’art....

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. V del 31.10.2018, n. 6191

Uso del Territorio: Urbanistica, Ambiente e Paesaggio - Tuesday 06 November 2018 07:51:50

Autorizzazione paesaggistica: i limiti che la Soprintendenza incontra in tema di annullamento

“secondo la giurisprudenza amministrativa consolidata (cfr. Cons. Stato, Ad. Plen. 14 dicembre 2001, n. 9; Cons. Stato, sez. VI, n. 300 del 2...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. VI del 30.10.2018, n. 6177

Uso del Territorio: Urbanistica, Ambiente e Paesaggio - Monday 05 November 2018 17:25:06

Opere abusive: la possibilità di applicare la sanzione pecuniaria in luogo della demolizione è questione che deve essere valutata a valle del provvedimento di demolizione

“l'ordine di demolizione costituisce atto dovuto, come confermato dall’Adunanza Plenaria di questo Consiglio (Cons. St., Ad. Plen., 17...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. VI del 30.10.2018, n. 6176

Contratti, Servizi Pubblici e Concorrenza - Monday 05 November 2018 17:18:17

Codice dei Contratti pubblici: La titolarità ad asseverare il piano economico-finanziario (art. 183 comma 9)

L’art. 183, comma 9, d. lgs. 18 aprile 2016 n. 50 afferma che le offerte devono contenere, tra l’altro, “un piano economico-finan...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. V del 29.10.2018, n. 6141

Procedimento Amministrativo e Riforme Istituzionali - Monday 05 November 2018 17:12:17

L’esatto adempimento dell’obbligo dell’amministrazione di conformarsi al giudicato

La verifica sull’esatto adempimento dell’obbligo dell’amministrazione di conformarsi al giudicato deve essere condotta nell&rsquo...

segnalazione del Prof. Avv. Enrico Michetti della sentenza del Consiglio di Stato Sez. V del 30.10.2018, n. 6175

Top