Data Protection Officer, finalmente uno schema per la certificazione unificato … e non solo
Dopo oltre un anno di lavori è arrivato alla fase finale di inchiesta pubblica il progetto di norma tecnica UNI/UNINFO “Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza abilità e competenza” che definisce i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali.
Uno degli obiettivi dichiarati fin dal principio è stato quello di portare regole comuni condivise, onde evitare un “far west” a scapito di professionalità e competenze su un mercato già popolato da iniziative proprietarie, nessuna delle quali qualificante delle prestazioni professionali sulla base della legge n°4 del 2013. Alcuni dei promotori di tali iniziative hanno anche deciso di partecipare ai tavoli per l’elaborazione della norma tecnica, perdendo tuttavia l’occasione per avvicinare la nuova norma ai loro schemi e cercando invece in tutti i modi di fare ostruzionismo verso l’uscita della stessa che invece è ora finalmente in vista.
La norma tecnica, frutto di una collaborazione dichiarata dal principio tra esperti legali ed esperti di ICT provenienti da due commissioni UNI e una commissione UNINFO, recepisce pienamente non solo le disposizioni in materia del Regolamento UE 2016/679 ma anche tutte le più recenti indicazioni fornite dal WP 29 andando a mettere insieme le conoscenze delle diverse componenti di maggior rilievo delle norme di legge applicabili e quelle dei sistemi informativi nonché delle tecniche di protezione e sicurezza ad essi relative, ormai imprescindibili nella nostra società.
Partendo da un’impostazione generale solidamente strutturata e già riconosciuta a livello europeo e nazionale (EQF ed e-CF), arricchita, ampliata e ulteriormente avvicinata ai contesti non ICT, è stato definito un insieme “minimo” di profili professionali che, assieme ad una figura di DPO allineata alla lettera ai dettami del nuovo Regolamento UE 2016/679, include una figura di taglio manageriale, una figura di tipo operativo e una figura di valutatore esterno. Questi profili, nel loro insieme ed eventualmente anche aggregati tra loro nelle realtà più semplici, sono stati pensati per poter fornire tutto il supporto a titolari e responsabili nella gestione dei trattamenti di dati personali.
Considerando la prevista entrata in vigore del nuovo Regolamento UE 2016/679 e delle diverse novità fondamentali al suo interno a maggio 2018 ce ne sarà certamente bisogno. Un’innovazione significativa sarà, ad esempio quella legata al passaggio dall’adozione di misure di sicurezza “statiche” come quelle presenti nell’Allegato B del d.lgs. 196/2003 a quelle definite come risultato di attività di valutazione degli impatti e del rischio, che, assieme all’avanzamento tecnologico registrato negli ultimi quindici anni, richiedono una serie di competenze specifiche.
Una volta conclusa l’inchiesta pubblica (accessibile e commentabile da tutti inserendo il codice progetto E14D00036 nella pagina dedicata del sito www.uni.com e il cui scopo è comunque quello di recepire feedback di valore da parte di soggetti non già coinvolti nello sviluppo della norma tecnica), l’Italia sarà il primo paese a dotarsi di uno schema nazionale di questo tipo a livello europeo e potrà riproporlo per esame ed adozione a livello europeo, proponendosi una volta di più come locomotiva piuttosto che come fanalino di coda.
AUTORI
Ugo Gecchelin Ordine Ingegneri della Provincia di Brescia - Delegato CNI per UNINFO
Fabio Guasconi Presidente CT 510 “Sicurezza” UNI/UNINFO - Partner Bl4ckswan
Roberto Scano Presidente CT 526 “APNR” UNI/UNINFO
Fabrizio Bulgarelli Responsabile IS Audit & IT Advisory presso BDO Italia