Al rush finale lo schema di certificazione per i professionisti della privacy

Privacy: l’Italia sarà il primo paese europeo a dotarsi di uno schema che definisca i professionisti della protezione dei dati personali.

Redazione 27/05/17
di Gloriamaria Paci e Luca Di Leo

 

Dopo oltre un anno di consultazioni e tavoli tecnici, il 25 marzo u.s. si è conclusa l’inchiesta pubblica che vedrà l’Italia quale primo paese a livello europeo a dotarsi di uno schema nazionale di norma tecnica UNI/UNINFO finalizzata a definire i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali.

Un passaggio conclusivo, quello dell’inchiesta pubblica, mirato a recepire suggerimenti o valutazioni da parte di soggetti non già coinvolti nello sviluppo della norma tecnica.

Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza abilità e competenza” (codice progetto E14D00036), questa la conclusione della proposta di schema a cui sono arrivati esperti legali ed esperti di ICT delle commissioni preposte del settore, che hanno collaborato per recepisce pienamente non solo le disposizioni in materia del Regolamento UE 2016/679, che sarà applicato dal 25 maggio 2018, ma anche tutte le più recenti indicazioni fornite dalle “Linee-guida sui responsabili della protezione dei dati (RPD) – WP243 adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016”.

Un tavolo tecnico molto acceso poiché legali e informatici hanno dovuto mettere insieme figure che racchiudessero conoscenze in campo legislativo ed informatico.

Sebbene il punto di partenza fosse un’impostazione generale solidamente strutturata e già riconosciuta a livello europeo e nazionale (EQF ed e-CF, UNI 11506 e 11621), non è stato facile definire un insieme “minimo” di profili professionali che, assieme ad una figura di Data Protection Officer allineata ai requisiti previsti dal nuovo Regolamento UE 2016/679, accorpasse competenze di tipo differenti.

Non resta quindi che attendere la pubblicazione e l’inserimento a catalogo dello schema (con la conseguente entrata in vigore e disponibilità) che avviene in seguito alla ratifica da parte del Presidente. Solo i documenti che abbiano seguito l’iter sopra descritto nel rispetto delle procedure previste sono “norme UNI”.

Ma come si è arrivati a questo importante traguardo?

Era il 2011 quando, consapevoli del vuoto normativo atto a regolamentare la qualificazione dei professionisti impegnati nel settore del trattamento dati personali, su proposta di ISO, CEN e UNI è stata costituita dall’UNI la commissione tecnica “Attività professionali non regolamentate”, con lo scopo di “definire terminologia, principi, caratteristiche e requisiti relativi alla qualificazione di attività professionali e/o professioni non regolamentate e non rientranti nelle competenze di altre commissioni tecniche ed Enti Federati”.

In assenza di una specifica norma UNI che definisca dettagliatamente le competenze riferibili all’ambito professionale tutelato, la certificazione dei requisiti professionali non è possibile: infatti, qualora la norma UNI su determinate competenze professionali non esista, non è possibile ritenere quelle competenze/persone/consulenze “certificabili” da nessuna associazione o ente, i quali potranno in questo caso limitarsi esclusivamente a rilasciare il marchio o attestato di qualità e di qualificazione professionale dei propri servizi, ai sensi dell’articolo 4 della Legge 4/2013.

Una situazione che nel corso degli anni ha portato alcune associazioni a presentare sul mercato corsi di formazione basati su un proprio schema proprietario di riferimento sulle competenze che permetterebbe, in base a quanto dichiarato dalle stesse associazioni, di certificare le competenze individuate grazie a un ente di certificazione, facendo impropriamente riferimento alla norma UNI/ISO 17024Conformity assessment – General requirements for bodies operating certification of persons”.

Senza alcun giudizio ma a scanso di errate interpretazioni, tale norma è applicabile in generale agli organismi che effettuano la certificazione di persone, ma non è una norma specifica per certificare le particolari competenze professionali relative alle attività di consulenza nell’ambito privacy.

Tale norma ISO quindi non è idonea per certificare le competenze professionali della privacy ma la UNI/ISO 17024 si limita, dunque, a certificare le persone, a livello europeo e per determinati percorsi, secondo requisiti generici, riconosciuti e condivisi.

Detto ciò, è chiaro che non è sufficiente essere conformi a una norma tecnica generica e richiamare impropriamente un riferimento normativo per una figura professionale e certificarne le competenze.

Per fare chiarezza è intervenuta anche l’Autorità Garante della concorrenza e del mercato, la quale ha ribadito che la norma UNI/ISO 17024 non disciplina le competenze delle figure proposte dalle associazioni dei professionisti privacy, bensì stabilisce solo i requisiti che devono possedere gli organismi – e non i professionisti – che operano in tutti i settori della certificazione delle persone.

 

Volume consigliato:

Redazione

Scrivi un commento

Accedi per poter inserire un commento