I requisiti professionali dei soggetti operanti nell'ambito privacy

Cosa è UNI

UNI - Ente Nazionale Italiano di Unificazione - è un’associazione privata senza scopo di lucro riconosciuta dallo Stato e dall’Unione Europea (Elenco degli organismi nazionali di normazione ai sensi dell'articolo 27 del regolamento (UE) n. 1025/2012), che da quasi 100 anni elabora e pubblica norme tecniche volontarie – le norme UNI – in tutti i settori industriali, commerciali e del terziario.
Le norme, quindi, sono documenti che definiscono le caratteristiche (dimensionali, prestazionali, ambientali, di sicurezza, di organizzazione ecc.) di un prodotto, processo o servizio, secondo lo stato dell'arte e sono il risultato del lavoro di decine di migliaia di esperti in Italia e nel mondo. In estrema sintesi, sono documenti che specificano cioè “come fare bene le cose” garantendo sicurezza, rispetto per l’ambiente e prestazioni certe.
L’Ente Italiano di Normazione (UNI) ha licenziato la norma UNI 11697:2017 “Attività professionali non regolamentate - Profili professionali relativi al trattamento e alla protezione dei dati personali - Requisiti di conoscenza, abilità e competenza”, finalizzata alla definizione dei requisiti relativi all’attività professionale dei soggetti operanti nell’ambito del trattamento e della protezione dei dati personali, da questi esercitata a diversi livelli organizzativi (pubblico o privato).
Dal sito dell’UNI si legge che “La norma definisce i profili professionali relativi al trattamento e alla protezione dei dati personali coerentemente con le definizioni fornite dall’EQF e utilizzando gli strumenti messi a disposizione dalla UNI 11621-1 Attività professionali non regolamentate - Profili professionali per l'ICT - Parte 1: Metodologia per la costruzione di profili professionali basati sul sistema e-CF".
 

1) Le figure professionali delineate dalla norma UNI

Le figure professionali delineate dalla norma UNI sono le seguenti:

1. Data Protection Officer (DPO), figura di supporto al titolare o responsabile del trattamento nell’applicazione e per l’osservanza del Regolamento (UE) 2016/679 (“Regolamento”), in conformità all’ art. 37 (Designazione del Responsabile della protezione dei dati) ha il compito principale di garantire, in maniera indipendente, l'applicazione interna delle disposizioni del Regolamento da parte del Titolare del trattamento. Il DPO è inoltre tenuto a tenere un registro di tutte le operazioni di trattamento che coinvolgono dati personali effettuato da parte dell'istituzione. Il registro, che deve contenere le informazioni circa lo scopo e le condizioni delle operazioni di trattamento, dovrebbe essere accessibile a tutti gli interessati.
L’art. 38 (Posizione del Responsabile della protezione dei dati) stabilisce che il D.P.O. deve essere coinvolto dal Titolare e dal Responsabile del trattamento “in tutte le questioni riguardanti la protezione dei dati personali.” Questa piena apertura nei confronti del DPO trova giustificazione nella necessità di rendere edotta tale figura sulle finalità e sulle tipologie di trattamento, oltre che sulle misure di sicurezza implementate a loro garanzia. Una totale conoscenza delle prassi aziendali mette il DPO in condizione di valutarne la compliance al Regolamento ed al tempo stesso garantisce una maggiore tutela del Titolare e del Responsabile.
L’art. 39 (Compiti del Responsabile della protezione dei dati) stabilisce che i compiti del Data Protection Officer sono:
a) informare e consigliare il Titolare o il Responsabile e gli incaricati del trattamento circa i loro obblighi ai sensi del Regolamento e delle altre disposizioni, europee e statali, in materia di protezione dei dati;
b) fornire consulenza ove richiesto per quanto riguarda la valutazione d’impatto sulla protezione dei dati (P.I.A.: Privacy Impact Assessment) e monitorare i relativi adempimenti. I pareri espressi dal D.P.O. andranno documentati così come se il Titolare decidesse di discostarsene è tenuto a darne motivazione, oltre che a lasciarne traccia;
c) cooperare con l’Autorità di vigilanza;
d) agire come punto di contatto per l’Autorità di vigilanza su tutte le questioni relative al trattamento dei dati personali;
e) controllare il rispetto del Regolamento, delle altre disposizioni relative alla protezione dei dati, e delle regole interne del Titolare o del Responsabile in materia di protezione dei dati personali, inclusi l’assegnazione delle Responsabilità, la formazione del personale coinvolto nelle operazioni di trattamento, e i relativi audit.

2. Manager Privacy, figura che assiste il titolare nelle attività di coordinamento di tutti i soggetti che – nell’organizzazione – sono coinvolti nel trattamento di dati personali (responsabili, incaricati, amministratori di sistema, ecc.), garantendo il rispetto delle norme in materia di privacy e il mantenimento di un adeguato livello di protezione dei dati personali;

3. Specialista Privacy, figura di supporto appositamente formato (si parla di una formazione della durata minima di 24 ore); egli collabora con il Manager Privacy e cura la corretta attuazione del trattamento dei dati personali all’interno dell’organizzazione, svolgendo le attività operative che, di volta in volta, si rendono necessarie durante tutto il ciclo di vita di un trattamento di dati personali. Tale figura è richiesta soprattutto all’interno di grandi organizzazioni aziendali (che incide su più uffici e/o stabilimenti con una diversa collocazione territoriale) ove si rende necessario creare più “presidi” privacy;

4. Valutatore Privacy, figura dotata di una apposita formazione (della durata minima di 40 ore) che si caratterizza per la sua terzietà sia nei confronti del Manager che dello Specialista Privacy; egli esercita una attività di monitoraggio (audit) andando ad esaminare periodicamente il trattamento dei dati personali e valutando il rispetto delle normative di settore emanate a livello nazionale, comunitario e internazionale. Egli, inoltre, approva le misure necessarie per l’eliminazione di eventuali non conformità alla disciplina prescritta.