LE CERTIFICAZIONI PROFESSIONALI NEL GDPR

di | 22 January 2017

Dopo la complessa mappatura delle certificazioni dei Titolari previste dal GDPR passiamo ad analizzare la certificazione delle persone.

Dal punto di vista normativo questo argomento è molto semplice: NON SONO PREVISTE CERTIFICAZIONE DELLE PERSONE o per essere più precisi: NON SONO RICHIESTE.

Quindi il GDPR non prevede ne richiede figure professionali certificate, nemmeno per il ruolo più innovativo previsto dallo stesso, quello del DPO.

Perché allora tanta enfasi ed un proliferare di certificazioni nell’ambito di questa figura professionale o comunque di figure professionali in ambito privacy?

Uno stimolo normativo in realtà c’è.

Come ha ribadito il WP29 nelle recenti linee guida sul DPO, il Titolare dovrà dare evidenza delle scelte effettuate in merito alla figura del DPO, in particolare nel caso in cui abbia deciso che tale ruolo non sia obbligatorio all’interno della propria organizzazione.

Ma i Titolari che hanno valutato che tale ruolo è obbligatorio come faranno a dare evidenza di aver scelto la persona giusta? La persona cioè in possesso di tutti i requisiti previsti dalla normativa e meglio declinati dal WP29 per ricoprire tale ruolo?

Probabilmente salvo i Titolari più qualificati gli altri saranno in difficoltà a valutare al proprio interno o esterno chi possa ricoprire tale ruolo. Ancor maggiore il problema si presenterà per gli enti pubblici, soggetti questi che obbligatoriamente devono avere un DPO.

Ecco che qui le certificazioni possono avere un ruolo; LE CERTIFICAZIONI però, nel senso più ampio del termine.

Non solo quindi quelle relative alle figure professionali privacy, ma anche, ad esempio le certificazioni in ambito sicurezza e audit, per citarne qualcuna.

Meglio ancora un soggetto che abbia più certificazioni nei vari ambiti.

È pure evidente che un Titolare può designare come DPO senza alcun problema un soggetto senza alcuna certificazione, non essendo queste previste dal GDPR, ma che abbia le caratteristiche previste dalla normativa.

Le certificazioni devono quindi essere valutate per quello che sono; un elemento significativo che si deve assommare alle altre caratteristiche che qualificano una persona.

Ovvio inoltre che le certificazioni non sono di per sé esaustive; non possono infatti garantire una componente essenziale, troppo spesso dimenticata dei requisiti previsti per il DPO:

Knowledge of the business sector and of the organisation of the controller is useful. The DPO should also have sufficient understanding of the processing operations carried out, as well as the information systems, and data security and data protection needs of the controller.

Quindi se vuoi essere un DPO in una banca forse qualche anno di esperienza di banca la devi avere; idem per gli altri settori.

IL MERCATO ITALIANO

Nel mercato italiano da diversi anni sono disponibili certificazioni nell’ambito dei profili professionali privacy, basate di regola sulla UNI CEI EN ISO/IEC 17024, norma che certifica le competenze professionali.

Gli schemi di certificazioni in genere sono basati su:

  • valutazione dei prerequisiti dei candidati che comprendono:
    • titolo di studio
    • esperienze lavorative nel campo
    • frequenza ad un corso che solitamente prevede un esame
  • esame di certificazione effettuato da un ente di certificazione accreditato e quindi abilitato a rilasciare valide certificazioni.

L’elenco dei soggetti certificati è di regola disponibile sul sito dell’ente certificatore.

Questi schemi di certificazione, basati su schemi volontari non regolamentati da una norma, non sono tuttavia accreditabili da parte dell’Ente Italiano di Accreditamento.

Nella direzione di uno schema accreditabile va invece l’iniziativa di UNINFO/UNI che renderà disponibili, si presume a breve, in inchiesta pubblica finale, gli schemi di certificazioni per figure professionali privacy.

La differenza principale fra questi schemi di certificazione ed i precedenti riguarda proprio il fatto di poter essere accreditati e questo costituirà sicuramente un fattore qualificante.

I REGISTRI PROFESSIONALI

Un’ulteriore componente che può permettere la valutazione di figure professionali in ambito privacy è la presenza dei REGISTRI PROFESSIONALI, istituiti con la Legge 4/2013, che rende disponibili sul sito del MISE (Ministero dello sviluppo economico) l’elenco delle associazioni professionali delle professioni non organizzate in ordini o collegi.

Anche in questo caso sono presenti associazioni di professionisti che operano nell’ambito della privacy che rilasciano l’attestato di qualità dei servizi dei propri associati che richiedono l’iscrizione nei registri professionali e che vigilano sul mantenimento del livello di qualità.

Essendo tale iscrizione su base volontaria, l’elenco dei soggetti certificati e quello dei soggetti presenti nei registri professionali possono non coincidere.

CONCLUSIONE

Un Titolare ha la piena e totale autonomia di scelta, nel rispetto dei requisiti normativi, nella designazione di un DPO. Gli strumenti qui elencati vanno visti quindi per quello che sono; elementi che consentono, insieme ad altri, di valutare (e documentare) l’idoneità di un soggetto a rivestire un determinato ruolo nell’organigramma privacy del Titolare.

A breve ulteriori aspetti su questo stesso argomento.

APPROFONDIMENTI

La certificazione delle figure professionali

Disposizioni in materia di professioni non organizzate in ordini o collegi – Domande frequenti (FAQ)

 

Categoria: Codici di condotta e certificazione

Informazioni su Giancarlo Butti

Deals with ICT, organization and legislation since the early 80s covering different roles: security manager, project manager, auditor at banking groups, consultant in security and privacy to companies of different sectors and sizes. Performs regular activity of dissemination through articles (over 700), books (21 between books and white papers also used as university texts, 11 collective works within the ABI LAB, Oracle Community for Security and CLUSIT), technical manuals, courses, seminars, conferences… participates in working groups to ABI LAB on Business Continuity, Risk and GDPR, ISACA-AIEA on GDPR and 263, Oracle Community for Security, UNINFO, ASSOGESTIONI and the Committee of experts for the innovation of OMAT360. He is a member of the faculty of ABI Training. He is a partner and proboviro of ISACA-AIEA Member of CLUSIT and BCI. He is certified (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM, DPO, CBCI, AMBCI.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.