Qualita Magazine
Nel contesto attuale, uno dei temi più trattati dai media nazionali ed internazionali riguarda la protezione delle informazioni e dei dati personali, nonché le preoccupazioni relative alla Cybersecurity. Ci troviamo, infatti, in un’epoca di significativa trasformazione dei requisiti legali relativi alla Data Protection, alla Sicurezza delle Informazioni, alla Sicurezza dei siti critici (ospedali, utilities, trasporti etc.) ed, in particolare, la gestione dei rischi e` ora più` che mai un’incognita fondamentale per ogni Organizzazione.
Nell’attendere che si completi la fase attuativa della nuova regolamentazione relativa alla Protezione dei Dati, il danno di reputazione che le Organizzazioni possono subire e` significativo, così come sono notevoli le sanzioni amministrative e pecuniarie che le medesime devono affrontare a causa della non conformità` delle stesse in riferimento alla protezione dei dati. Acquistano sempre più importanza i meccanismi legali di trasferimento dei dati personali all’esterno dell’Europa e la necessita` di avere dipendenti o professionisti qualificati e competenti che assicurino che il trattamento dei dati, e tutte le attività` correlate, siano conformi ai requisiti cogenti sulla Protezione dei Dati (Data Protection).
Il Regolamento UE prevede una serie di figure professionali che dovranno operare nell’ambito della salvaguardia della protezione dei dati personali delle Organizzazioni pubbliche e private e che, pertanto, assumeranno un ruolo molto importante e delicato all’interno delle medesime.
I professionisti che operano nell’ambito della protezione dei dati personali, infatti, svolgono un’ampia gamma di attività aventi frequentemente una natura trasversale rispetto agli altri processi aziendali, al ciclo di vita – dalla progettazione fino alla dismissione – e alle tematiche trattate, tecnologiche e non. Inoltre, operano per il conseguimento degli obiettivi individuati avvalendosi di specifiche conoscenze, abilità e competenze variabili a seconda dell’ambito operativo, essendo le professionalità operanti nell’ambito della protezione dei dati personali altamente eterogenee ed in costante evoluzione.
Per poter operare in questo ambito, ogni professionista deve sviluppare un proprio profilo in modo da adattarsi alle necessità riscontrate e al livello comunicativo a cui sono legate, queste chiaramente possono essere differenti a seconda che si tratti di vertice dell’Organizzazione o di livelli più strettamente operativi.
La figura portante del Regolamento è il Data Protection Officer (art. 37 e Linee guida Garanti Europei WP 29), ma le Organizzazioni avranno necessità di altre figure, in parte già disciplinate da regolamenti nazionali o da normative come quella UNI 11697, relativa ai profili professionali correlati al trattamento e alla protezione dei dati personali.
Il Responsabile della Protezione dei Dati ha i seguenti compiti:
• informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
• verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
• fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
• fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
• fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.
In considerazione dell’importanza della tematica e del ruolo rilevante delle figure professionali previste dal sopracitato Regolamento, AICQ SICEV – con la collaborazione di importanti partner che operano nel ruolo di OdV (Organismo di Valutazione) – ha definito ed attivato lo Schema di Certificazione per le figure professionali operanti nell’ambito del GDPR – General Data Protection Regulation, sulla base di indicazioni e Linee Guida del Garante della Privacy, della norma UNI 11697, della Circolare Tecnica di ACCREDIA n°03/2018 del 13/02/18 ed, inoltre, dello Schema Proprietario ISDP©10003 (di InVeo S.r.l.), coerentemente a quanto previsto dalla legge 4/2013.
Nello specifico, lo Schema di Certificazione per le figure professionali operanti nell’ambito del GDPR – General Data Protection Regulation riguarda le seguenti figure:
• Data Protection Officer – colui che fornisce al titolare/responsabile del trattamento il supporto indispensabile ad assicurare l’osservanza del Regolamento UE 2016/679.
• Manager Privacy – colui che coordina trasversalmente i soggetti coinvolti nel trattamento dei dati personali, al fine di garantire il rispetto delle norme di legge applicabili e il raggiungimento nonché il mantenimento del livello di protezione adeguato in base allo specifico trattamento di dati personali effettuato, coordinando trasversalmente i soggetti in essi coinvolti.
• Specialista Privacy – colui che svolge le attività operative che si rendono progressivamente necessarie durante tutto il ciclo di vita di un trattamento di dati personali collaborando con una figura manageriale (quale, per esempio, il manager privacy competente).
• Valutatore Privacy – colui che svolge attività di audit sul trattamento di dati personali, valutando il rispetto di leggi e regolamenti applicabili ed approva le misure necessarie ad eliminare eventuali non-conformità rilevate, mantenendo una posizione indipendente da chi svolge attività manageriali ed operative.
• Auditor/Lead Auditor ISDP©10003 – profilo preposto all’esecuzione di audit interni ed esterni di una Organizzazione basati su specifiche competenze (del GDPR e dello Schema ISDP©10003 di InVeo S.r.l.) nella programmazione e pianificazione di audit sul GDPR, verifica della efficace attuazione dei requisiti del GDPR, verifica della conformità al GDPR, anche sulla base di Best Practice e/o consuetudini di settore.
