Data Protection Officer, finalmente uno schema per la certificazione unificato … e non solo

di | 5 February 2017

Dopo oltre un anno di lavori è arrivato alla fase finale di inchiesta pubblica il progetto di norma tecnica UNI/UNINFO “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza abilità e competenza” che definisce i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali.

Uno degli obiettivi dichiarati fin dal principio è stato quello di portare regole comuni condivise, onde evitare un “far west” a scapito di professionalità e competenze su un mercato già popolato da iniziative proprietarie, nessuna delle quali qualificante delle prestazioni professionali sulla base della legge n°4 del 2013. Alcuni dei promotori di tali iniziative hanno anche deciso di partecipare ai tavoli per l’elaborazione della norma tecnica, perdendo tuttavia l’occasione per avvicinare la nuova norma ai loro schemi e cercando invece in tutti i modi di fare ostruzionismo verso l’uscita della stessa che invece è ora finalmente in vista.

La norma tecnica, frutto di una collaborazione dichiarata dal principio tra esperti legali ed esperti di ICT provenienti da due commissioni UNI e una commissione UNINFO, recepisce pienamente non solo le disposizioni in materia del Regolamento UE 2016/679 ma anche tutte le più recenti indicazioni fornite dal WP 29 andando a mettere insieme le conoscenze delle diverse componenti di maggior rilievo delle norme di legge applicabili e quelle dei sistemi informativi nonché delle tecniche di protezione e sicurezza ad essi relative, ormai imprescindibili nella nostra società.

Partendo da un’impostazione generale solidamente strutturata e già riconosciuta a livello europeo e nazionale (EQF ed e-CF), arricchita, ampliata e ulteriormente avvicinata ai contesti non ICT, è stato definito un insieme “minimo” di profili professionali che, assieme ad una figura di DPO allineata alla lettera ai dettami del nuovo Regolamento UE 2016/679, include una figura di taglio manageriale, una figura di tipo operativo e una figura di valutatore esterno. Questi profili, nel loro insieme ed eventualmente anche aggregati tra loro nelle realtà più semplici, sono stati pensati per poter fornire tutto il supporto a titolari e responsabili nella gestione dei trattamenti di dati personali.

Considerando la prevista entrata in vigore del nuovo Regolamento UE 2016/679 e delle diverse novità fondamentali al suo interno a maggio 2018 ce ne sarà certamente bisogno. Un’innovazione significativa sarà, ad esempio quella legata al passaggio dall’adozione di misure di sicurezza “statiche” come quelle presenti nell’Allegato B del d.lgs. 196/2003 a quelle definite come risultato di attività di valutazione degli impatti e del rischio, che, assieme all’avanzamento tecnologico registrato negli ultimi quindici anni, richiedono una serie di competenze specifiche.

Una volta conclusa l’inchiesta pubblica (accessibile e commentabile da tutti inserendo il codice progetto E14D00036 nella pagina http://www.uni.com/index.php?option=com_wrapper&view=wrapper&Itemid=900 e il cui scopo è comunque quello di recepire wp29feedback di valore da parte di soggetti non già coinvolti nello sviluppo della norma tecnica), l’Italia sarà il primo paese a dotarsi di uno schema nazionale di questo tipo a livello europeo e potrà riproporlo per esame ed adozione a livello europeo, proponendosi una volta di più come locomotiva piuttosto che come fanalino di coda.

Categoria: Data Protection Officer Tag: , , ,

Informazioni su fguasconi

Graduated in computer science, he’s been working for 10+ years within information security consulting, focusing on risk assessment, security and compliance management using international standards. Certified CISA, CISM, ITIL and ISFS, he is a qualified ISO 9001 and ISO/IEC 27001 auditor, having edited the Italian translations of the latter standard. Coauthor of the CLUSIT handbooks on PCI-DSS and on professional certifications, is an active QSA and a regular presence into events and publications on information security. Chairs the Italian ISO/IEC SC27 of UNINFO and sits in its board of directors, as for CLUSIT. He is a co-founder and president of the consulting firm BL4CKSWAN S.r.l.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.