Il GDPR (General Data Protection Regulation), dalla sua entrata in vigore nel maggio 2016, rappresenta l’impegno della politica dell’Unione europea per fornire un’applicazione coerente del quadro regolatorio nell’ambito della protezione dei dati per tutto ciò che coinvolge le nuove tecnologie.
All’interno delle organizzazioni, sono sempre più centrali le figure professioni che si occupano proprio dell’attuazione del GDPR nei suoi elementi essenziali, come i DPO (Data Protection Officer) che intervengono a supporto del titolare o del responsabile del trattamento.
Il mercato professionale è in costante crescita, al punto che, secondo l’Associazione Data Protection Officer (ASSO DPO), a settembre 2023 il totale del DPO notificati presso il Garante per la Privacy Italiano ha superato le 68mila unità.
Un quadro internazionale per i professionisti della privacy
In questo ambito, parte oggi la qualifica dei professionisti della privacy secondo le nuove norme UNI CEI EN 17740:2024 “Requisiti per i profili professionali relativi al trattamento e protezione dei dati personali” e UNI/TS 11945:2024 “Valutazione di conformità ai requisiti definiti dalla UNI EN 17740 “Requisiti per i profili professionali relativi al trattamento e protezione dei dati personali”. Le norme tecniche sostituiscono la UNI 11697:2017 e la UNI PdR 66:2019, fino a oggi applicate in Italia, e offrono, tra i vantaggi, un approccio internazionale per il fatto di essere nate in ambito ISO.
Il rilascio delle nuove certificazioni e la migrazione a questo quadro normativo di quelle esistenti viene svolto dagli organismi accreditati secondo la norma UNI CEI EN ISO/IEC 17024 che certificano le figure professionali.
Per tracciare il percorso di accreditamento, Accredia ha pubblicato la Circolare Tecnica DC N° 26/2024 “Regole di transizione e avvio dell’accreditamento per le norme UNI CEI EN 17740 e UNI/TS 11945 in conformità alla ISO/IEC 17024”.
La competenza certificata dei profili professionali
Per conseguire la certificazione, i professionisti del trattamento e della protezione dei dati personali devono risultare conformi alla norma UNI CEI EN 17740:2024, che si basa sulla norma italiana UNI 11697:2017 e definisce i seguenti profili professionali:
- Responsabile della protezione dei dati – Data Protection Officer
- Manager della protezione dei dati – Data Protection Manager
- Specialista nella protezione dei dati – Data Protection Specialist
- Tecnico della protezione dei dati – Data Protection Engineer
- Valutatore della protezione dei dati – Data Protection Auditor.
I vantaggi di certificare le competenze per la privacy
L’obiettivo della certificazione accreditata è garantire il mercato, assicurando che gli operatori coinvolti nel trattamento dei dati personali possiedano, mantengano e migliorino nel tempo la competenza, e che svolgano la propria attività in maniera trasparente e indipendente.
Allo stesso tempo, i professionisti certificati possono dimostrare ai clienti e committenti la qualità del lavoro svolto, in linea con quanto stabilito dal GDPR.
Inoltre, le imprese sono facilitate nella selezione di un professionista la cui presenza è diventata in molti casi obbligatoria, e che gioca un ruolo fondamentale a supporto del titolare in un settore quanto mai strategico.
L’adeguamento degli accreditamenti e delle certificazioni
Il percorso per adeguarsi alle nuove norme tecniche UNI CEI EN 17740 e la UNI/TS 11945 riguarda sia gli organismi accreditati sia i certificati rilasciati ai professionisti della protezione dei dati. Nello specifico:
- entro il 30 novembre 2024 gli organismi devono compilare e trasmettere ad Accredia il questionario di self assessment allegato alla Circolare Tecnica DC N° 26/2024
- entro il 30 aprile 2025 tutti i certificati emessi dagli organismi accreditati in accordo alla UNI 11697 e alla UNI/PdR 66 devono migrare verso la UNI CEI EN 17740 e la UNI/TS 11945.
L’iter di accreditamento degli organismi
Come spiega la Circolare Tecnica DC N° 26/2024, le certificazioni dei professionisti della privacy secondo la UNI CEI EN 17740 e la UNI/TS 11945 devono essere rilasciate da organismi accreditati secondo i requisiti della norma UNI CEI EN ISO/IEC 17024:2012 e in base a requisiti aggiuntivi applicabili.
L’organismo interessato deve essere conforme a:
- Regolamenti Generali Accredia RG-01 e RG-01-02.
A seconda degli accreditamenti posseduti, l’organismo affronterà un diverso numero di giornate di verifica secondo tre casistiche.
Organismo accreditato secondo la UNI CEI EN ISO/IEC 17024:2012
- 1 giornata di esame documentale
- 1 verifica in accompagnamento e 1 di rapportazione qualora le attività siano svolte disgiuntamente
Organismo accreditato per schemi diversi dalla UNI CEI EN ISO/IEC 17024:2012
- 3 giornate di esame documentale da svolgersi, almeno in parte, in remoto
- 3 giornate di verifica in sede più 1 di rapportazione
- 1 verifica in accompagnamento e 1 di rapportazione qualora le attività siano svolte disgiuntamente
Organismo non accreditato in nessuno schema:
- 1 giornata di esame documentale da svolgersi, almeno in parte, in remoto
- 4 giornate di verifica in sede più 1 di rapportazione
- 1 verifica in accompagnamento e 1 di rapportazione qualora le attività siano svolte disgiuntamente
Fatta eccezione per situazioni particolari descritte nella Circolare, per il mantenimento dell’accreditamento e durante l’intero ciclo, Accredia conduce almeno 2 verifiche di mantenimento in sede e 1 verifica in accompagnamento.