E' stata pubblicata il 30 novembre 2017, ed è scaricabile dallo store di UNI , la norma UNI 11697:2017, dell'emblematico titolo “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza
Si tratta di un testo particolarmente atteso dai professionisti di settore, in quanto introduce definisce i profili professionali relativi al trattamento e alla protezione dei dati personali, coerentemente con le definizioni fornite dall’EQF e utilizzando gli strumenti messi a disposizione dalla UNI 11621-1 “Attività professionali non regolamentate – Profili professionali per l'ICT – Parte 1: Metodologia per la costruzione di profili professionali basati sul sistema e-CF".
L'Italia all'avanguardia
Il documento, al quale hanno lavorato anche Fabio Guasconi, presidente CT 510 “Sicurezza” UNI/UNINFO, Partner Bl4ckswan, Roberto Scano, presidente CT 526 “APNR” UNI/UNINFO, Ugo Gecchelin, delegato CNI per UNINFO, Daniele Tumietto, commercialista, e Fabrizio Bulgarelli, Partner – Head RAS and IT Services presso RSM, si apre con una serie di chiarimenti normativi.
“Dopo oltre un anno di lavori – spiegano gli esperti dell'editor team della commissione UNI/CT 526 – sono stati definiti con chiarezza i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali”.
Del resto la necessità di una normativa univoca nel settore era necessaria, anche in considerazione del fatto che alcuni professionisti stavano investendo tempo e denaro per certificare le proprie competenze, così come le aziende devono potersi affidare dati anche sensibili a persone in possesso di reali competenze. Per questo, si legge nel documento: “Uno degli obiettivi dichiarati fin dal principio è stato quello di portare regole comuni condivise, onde evitare un “far west” a scapito di professionalità e competenze su un mercato già popolato da iniziative proprietarie, nessuna delle quali qualificante delle prestazioni professionali sulla base della legge n°4 del 2013.
La norma tecnica, frutto di una collaborazione dichiarata dal principio tra esperti legali ed esperti di ICT provenienti da due commissioni UNI e una commissione UNINFO, recepisce pienamente non solo le disposizioni in materia del Regolamento UE 2016/679 ma anche tutte le più recenti indicazioni fornite dal WP 29 andando a mettere insieme le conoscenze delle diverse componenti di maggior rilievo delle norme di legge applicabili e quelle dei sistemi informativi nonché delle tecniche di protezione e sicurezza ad essi relative, ormai imprescindibili nella nostra società”.
Quali sono le nuove figure
Entrando nei dettagli del contenuto “partendo da un’impostazione generale solidamente strutturata e già riconosciuta a livello europeo e nazionale (EQF ed e-CF), arricchita, ampliata e ulteriormente avvicinata ai contesti non ICT, è stato definito un insieme “minimo” di profili professionali che, assieme ad una figura di DPO allineata alla lettera ai dettami del nuovo Regolamento UE 2016/679, include una figura di taglio manageriale, una figura di tipo operativo e una figura di valutatore esterno. Questi profili, nel loro insieme ed eventualmente anche aggregati tra loro nelle realtà più semplici, sono stati pensati per poter fornire tutto il supporto a titolari e responsabili nella gestione dei trattamenti di dati personali.
Considerando la prevista entrata in vigore del nuovo Regolamento UE 2016/679 e delle diverse novità fondamentali al suo interno a maggio 2018 ce ne sarà certamente bisogno. Un’innovazione significativa sarà, ad esempio quella legata al passaggio dall’adozione di misure di sicurezza “statiche” come quelle presenti nell’Allegato B del d.lgs. 196/2003 a quelle definite come risultato di attività di valutazione degli impatti e del rischio, che, assieme all’avanzamento tecnologico registrato negli ultimi quindici anni, richiedono una serie di competenze specifiche”.