Sicurezza dei dati e norma UNI 11697: ecco quali sono le figure professionali che se ne occuperanno

La norma UNI 11697: un valido strumento per il GDPR

Con il regolamento generale sulla protezione dei dati personali (GDPR, General Data Protection Regulation- Regolamento UE 2016/679), l’Europa intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell'Unione Europea e dei residenti nell'Unione Europea, sia all'interno che all'esterno dei confini dell'UE. 

Il regolamento, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 dovrà essere applicato a partire dal 25 maggio 2018.

Questo significa che tutte le norme attualmente in vigore, se risultano incompatibili con il GDPR saranno automaticamente abrogate, quindi tutti gli Stati dovrebbero provvedere ad armonizzare la loro legislazione con i contenuti del GDPR.

Su questo fronte il ritardo dell’Italia nell’affrontare il problema non ha agevolato le aziende, preoccupate anche dalle sanzioni, che possono essere estremamente pesanti, in quanto possono arrivare fino 20 milioni di euro o, se superiore, il 4% del fatturato mondiale annuale del gruppo.

Una parte di aziende è già pronta per questa importante scadenza, ma moltissime si stanno ancora attrezzando ed altre cominciano solo ora ad affrontare il problema, pertanto è prevedibile una forte richiesta di specialisti in materia.

La norma UNI 11697:2017, entrata in vigore il 30 novembre 2017 individua in modo chiaro ed univoco le figure professionali adeguate.

La norma definisce i profili professionali relativi al trattamento e alla protezione dei dati personali coerentemente con le definizioni fornite dall’EQF e utilizzando gli strumenti messi a disposizione dalla UNI 11621-1 “Attività professionali non regolamentate - Profili professionali per l'ICT - Parte 1: Metodologia per la costruzione di profili professionali basati sul sistema e-CF".

La norma è stata sviluppata dal CT 526 di Uninfo da un gruppo di lavoro multidisciplinare, composto da ingegneri, avvocati ed altri professionisti, in modo da valutare in modo compiuto tutte le sfaccettature del problema.

La norma definisce 4 profili professionali:

- responsabile della protezione dei dati (DPO=Data protection officer)

Si tratta di una figura introdotta ufficialmente dal Regolamento UE 2016, che fornisce al titolare o responsabile del trattamento il supporto indispensabile per la protezione dei dati.

Viene designato obbligatoriamente dal titolare e dal responsabile del trattamento 

- quando il trattamento è effettuato da un ente pubblico

- quando i trattamenti richiedono il monitoraggio regolare e sistematico degli interessati su larga scala

- quando il trattamento riguarda dati sensibili su larga scala

- manager privacy: coordina i soggetti coinvolti nel trattamento di dati personali

- specialista privacy: è l’esperto operativo per la protezione dei dati personali, supporta il responsabile per la protezione dei dati e/o il manager privacy nel mettere a punto le idonee misure tecniche e organizzative

- valutatore privacy: soggetto indipendente con conoscenze e competenze nel settore informatico/tecnologico e di natura giuridica/organizzativa che controlla la conformità del trattamento dei dati personali alle reggi e regolamenti in vigore.

Per altri profili connessi alla protezione dei dati, ma tipicamente ICT, quali ad esempio l'amministratore di sistema, si fa riferimento alla norma UNI 11621-2.

Era naturale che la norma UNI 11697 nascesse all’interno del CT 526, che aveva prodotto le norme sulla quale è fondata, dalla UNI 11506, dalla quale è nata la norma Europea CEN 16234-1, alla famiglia 11621.

Con la norma UNI 11697 l’Italia si pone ancora una volta all’avanguardia in campo Europeo, e da essa questa potrebbe nascere una norma Europea (CEN), come lo è stato per la CEN 16234-1