Data protection officer: i contenuti della norma tecnica di riferimento
Su Agenda Digitale, un articolo a firma di Paola Guerra Anfossi illustra i contenuti della norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, con particolare riferimento al ruolo del Data protection officer (DPO), in italiano Responsabile protezione dati, introdotto dal nuovo Regolamento privacy comunitario.
La norma tecnica, che ha carattere volontario e pertanto non obbligatorio, fornisce indicazioni sulle competenze formative minime di cui dovrebbe disporre un professionista per poter essere certificato come DPO. Come chiarito anche dal Garante italiano per la protezione dei dati personali, il Regolamento privacy stabilisce che eventuali certificazioni di questo genere non sono di per sé abilitanti all’esercizio della professione di DPO. Tale argomento viene ripreso anche dalla Guerra Anfossi, che definisce comunque la norma tecnica italiana un “passo in più” rispetto a quanto stabilito in sede di regolamentazione comunitaria
“Nell’appendice B - scrive l’esperta - in relazione alla figura del DPO, (la norma tecnica) richiede in modo specifico al professionista: una laurea, un corso di almeno 80 ore su “Gestione della Privacy e Sicurezza delle Informazioni” con attestazione finale e minimo 6 anni di esperienza lavorativa legata alla privacy di cui almeno 4 anni in incarichi manageriali (gli anni possono diminuire o aumentare in funzione del titolo di studio – laurea magistrale o diploma).
La finalità della norma UNI è quella di assicurare che “determinate figure professionali possiedano, mantengano e migliorino nel tempo la necessaria competenza”.
Si potrebbe dire che in Italia è stato fatto un passo in più: partendo dal GDPR, è stata redatta una norma tecnica volontaria con la quale vengono definiti i requisiti relativi ai professionisti che opereranno nell’ambito del trattamento e della protezione dei dati personali, tra cui, in conformità agli articoli 37, 38 e 39 del Regolamento, anche i requisiti del DPO.
Quindi, mentre il Regolamento Europeo ha delineato in generale, ma in maniera obbligatoria, requisiti, competenze, conoscenze e qualità del DPO, la normativa UNI 11697:2017 con carattere volontario, li ha ulteriormente dettagliati a favore di quei professionisti che vorranno scegliere la certificazione quale ulteriore garanzia della propria professionalità...