GDPR e certificazioni, più formazione e informazione

Certificazione, profili professionali e il ruolo strategico del DPO nel nuovo regolamento europeo sulla protezione dei dati personali. La norma UNI 11697 e le possibili scelte per gli organismi di certificazione

[spacer color=”8BC234″ icon=”fa-info” style=”1″]

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.

Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola

Clicca qui per scaricarlo gratuitamente

[spacer color=”8BC234″ icon=”fa-info” style=”1″]

Il desiderio, o la necessità, nell’ambito dell’Unione europea, di uniformare e armonizzare i principi con i quali gli stati membri devono proteggere i dati delle persone fisiche, del proprio o di un altro paese della Comunità, ha portato alla pubblicazione del nuovo regolamento europeo relativo alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”. In questo scenario, tutti gli attori della potenziale filiera determinata dagli obblighi scritti nel GDPR, si sono attivati per comprendere cosa devono o cosa possono fare per avviare un processo di adeguamento come quello richiesto dalla normativa europea.

La filiera normata da questo regolamento possiamo riassumerla come segue:

  • l’interessato e cioè la persona fisica i cui dati sono oggetto delle disposizioni del regolamento;
  • l’organizzazione che a vario titolo ha acquisito e conserva le informazioni della persona fisica (nelle persone del Titolare e del Responsabile del Trattamento);
  • l’autorità di controllo (che effettua le ispezioni e stabilisce le eventuali sanzioni);
  • L’ente terzo che non dipende dal Titolare o dal Responsabile o dall’interessato stesso.

CERTIFICARE LA COMPETENZA – La percezione sul mercato di chi ha maggior bisogno di aiuto e ha gli obblighi è l’organizzazione. C’è molto da fare in termini di formazione ma prima ancora di (in)formazione. Questo scenario porta le organizzazioni a chiedersi: «A chi mi rivolgo e di chi posso fidarmi per sapere se ho operato nella giusta direzione»? La risposta ottimale a queste domande è di fare riferimento a un ente “terzo” in grado di certificare persone competenti e organizzazioni adeguate alle richieste del GDPR.

Leggi anche:  La sfida della cybersecurity e il gap di professionisti

CHI SI PUÒ CERTIFICARE? – Sia le persone fisiche che le organizzazioni. Gli articoli 37-38-39 introducono e definiscono il data protection officer (DPO), nuova figura strategica che sarà in molti casi obbligatoria. Gli articoli 42 e 43 trattano la certificazione e gli organismi di certificazione (OdC), intendendo quegli enti specializzati in certificazioni di prodotto (ISO17065) in grado di valutare l’organizzazione a fronte di “criteri approvati dalle autorità di controllo”; ma questi criteri non sono ancora stati comunicati. Per quanto riguarda le persone, nel GDPR non si parla di “certificazione del DPO” e per quanto riguarda le organizzazioni si dice chiaramente che “si incoraggia l’istituzione di meccanismi di certificazione”, ma non si parla di obbligo o di requisito che solleva da ulteriori verifiche.

PROFILI PROFESSIONALI – Il 30 novembre 2017 è stata pubblicata la norma UNI 11697 che ha indicato le figure professionali possibili in ambito della protezione dei dati personali. A fronte della norma UNI, è ora possibile per gli OdC fare due scelte: accreditarsi presso Accredia ed emettere certificati in conformità alla UNI 11697 oppure adeguare il proprio percorso di certificazione ai requisiti della nuova norma, ma senza accreditarsi e operando comunque correttamente sul mercato. A proposito del DPO, il Garante ha chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Per ciò che riguarda le organizzazioni: il 18/07/2017 Accredia, con il Garante, hanno chiarito che i soggetti legittimati al rilascio della certificazione sono l’Autorità di controllo competente (il Garante) oppure gli organismi di certificazione. Attualmente, in Italia esiste solo uno schema di certificazione (di prodotto) accreditato da Accredia in tempi precedenti l’emanazione del GDPR ed è possibile per gli OdC fare riferimento a questo organismo di certificazione per proporre sul mercato un prodotto “accreditato” e quindi proponibile sul mercato alle aziende che lo dovessero richiedere.

Leggi anche:  Fortinet, gli scenari presenti e futuri della cybersecurity

Per saperne di più, l’appuntamento è a Omat Forum, il workshop dedicato alle nuove frontiere della gestione delle informazioni digitali: scopri la prossima tappa di Milano e altre città su www.omatforum.it.

Gianluca De Vincentiis è consulente responsabile dello Schema di Certificazione SSI, ISO/IEC 27001:2013. Promotore e referente dell’iter di accreditamento presso Accredia per l’OdC secondo la ISO 27006:2011

[spacer color=”8BC234″ icon=”fa-info” style=”1″]

Data Manager mette a disposizione un White Paper a download gratuito sul GDPR.

Un documento completo per affrontare in maniera esaustiva tutto ciò che c’è da sapere per essere in regola

Clicca qui per scaricarlo gratuitamente

[spacer color=”8BC234″ icon=”fa-info” style=”1″]