Protezione dati personali: la norma UNI 11697

174
protezione dati personali
adv

La recente norma Uni 11697 definisce i profili professionali relativi al trattamento e alla protezione dei dati. In alcuni punti presenta incoerenze. Vediamo quali.

L’UNI, Ente italiano di normazione, ha pubblicato di recente la norma 11697 che definisce i profili professionali relativi al trattamento e alla protezione dei dati personali coerentemente con le definizioni fornite dall’EQF e utilizzando gli strumenti messi a disposizione dalla UNI 11621-1 “Metodologia per la costruzione di profili professionali basati sul sistema e-CF”.

Questa norma era attesa da molte aziende, che alla data del 25 maggio 2018 saranno obbligate a designare un responsabile della protezione dei dati personali. Questa figura, affatto sconosciuta in Italia, è già nota all’estero ed ecco perché è stato possibile, in fase di elaborazione della norma, fare riferimento anche ad esperienze già maturate all’estero. I profili professionali che vengono presi in considerazione in questa norma sono due primari e due di supporto.

I due profili primari fanno riferimento al responsabile del trattamento, accuratamente descritto nell’articolo 28 del regolamento generale sulla protezione dei dati 679/2016 e al profilo del responsabile della protezione dei dati, altrettanto accuratamente descritto nella sezione 4 dello stesso regolamento, dall’articolo 37 all’articolo 39. I due profili di supporto sono stati chiamati dalla norma con il nome di specialista privacy e di valutatore privacy.

Anche se il responsabile il trattamento è un profilo professionale già noto, perché già presente nel decreto legislativo 196/2003, l’impostazione completamente differente che è stata data dal regolamento, rispetto al decreto legislativo, ha fatto sì che fosse indispensabile creare, in questa norma, una specifica descrizione delle responsabilità e dei compiti di questo soggetto.

La norma è stata sviluppata secondo l’ormai ben noto schema europeo chiamato EQF-European Qualification framework, che rappresenta la linea guida per sviluppare norme applicabili ad attività professionali non regolamentate e non ordinistiche.

Su questa base potranno anche muoversi gli istituti di certificazione, che fino adesso si sono mossi utilizzando degli schemi proprietari e invece hanno oggi a disposizione uno schema che gode appunto delle garanzie offerte da una norma UNI, conforme alla regola d’arte.

Lo specialista privacy è un soggetto che ha ricevuto una specifica formazione professionale, della durata di almeno 24 ore, che può prestare prezioso aiuto al responsabile del trattamento ed al responsabile della protezione dei dati per effettuare operazioni e verifiche sul territorio.

Si pensi ad esempio ad una grande azienda, che può aver designato un responsabile della protezione dei dati, ma che ha bisogno di riferimenti nei vari stabilimenti ed uffici sparsi sul territorio.

Lo stesso può dirsi per il valutatore privacy, soggetto che deve aver partecipato ad un corso di un minimo di 40 ore, che può prestare una ancora più approfondita ed incisiva assistenza ai responsabili primari.

La norma dà ampio risalto alle conoscenze informatiche di tutti i soggetti coinvolti, come d’altronde è naturale, per il fatto che questa norma è stata sviluppata congiuntamente da UNINFO ed UNI.

La struttura generale della norma è del tutto familiare per coloro che hanno già avuto occasione di utilizzare norme UNINFO, mentre può destare qualche perplessità in chi, fino ad oggi, ha avuto a che fare solo con norme sviluppate dai comitati tecnici UNI.