Le nuove certificazioni per la protezione dei dati: come adeguarsi

Il GDPR (General Data Protection Regulation), dalla sua entrata in vigore nel maggio 2016, rappresenta l’impegno della politica dell’Unione europea per fornire un’applicazione coerente del quadro regolatorio nell’ambito della protezione dei dati per tutto ciò che coinvolge le nuove tecnologie.

All’interno delle organizzazioni, sono sempre più centrali le figure professioniali che si occupano proprio dell’attuazione del GDPR nei suoi elementi essenziali, come i DPO (Data Protection Officer) che intervengono a supporto del titolare o del responsabile del trattamento.

Il mercato professionale è in costante crescita e oggi sono quasi 500 i DPO certificati dagli organismi accreditati Accredia, per svolgere il ruolo di responsabili della protezione dei dati in organizzazioni sia pubbliche sia private.


Le norme per i professionisti della protezione dei dati


In questo ambito, parte oggi la qualifica dei professionisti della protezione dei dati secondo le nuove norme UNI CEI EN 17740:2024 “Requisiti per i profili professionali relativi al trattamento e protezione dei dati personali” e UNI/TS 11945:2024 “Valutazione di conformità ai requisiti definiti dalla UNI EN 17740 “Requisiti per i profili professionali relativi al trattamento e protezione dei dati personali”.

Queste norme ridefiniscono, e articolano in figure specializzate, la disciplina del DPO al quale fino a oggi in Italia si applicavano la UNI 11697:2017 e la UNI PdR 66:2019. In particolare, la EN 17740 è la trasposizione europea della UNI 11697, nata dal lavoro delle Commissioni Tecniche UNI/CT 510 “Sicurezza IT” e UNI/CT 526 “Attività professionali non regolamentate per l’ICT”, con cui gli esperti italiani hanno messo a disposizione le loro competenze, anche a beneficio di un contesto più ampio.

Il rilascio delle nuove certificazioni e la migrazione al nuovo quadro normativo di quelle esistenti sono quindi attività degli organismi che certificano le figure professionali, accreditati secondo la norma UNI CEI EN ISO/IEC 17024.

Per tracciare il percorso di accreditamento, Accredia ha pubblicato la Circolare Tecnica DC N° 26/2024 “Regole di transizione e avvio dell’accreditamento per le norme UNI CEI EN 17740 e UNI/TS 11945 in conformità alla ISO/IEC 17024”.

 


La competenza certificata dei profili professionali


Per conseguire la certificazione, i professionisti della protezione dei dati personali devono risultare conformi alla norma UNI CEI EN 17740:2024, che si basa sulla norma italiana UNI 11697:2017 e definisce i seguenti profili professionali:

  • Responsabile della protezione dei dati – Data Protection Officer
  • Manager della protezione dei dati – Data Protection Manager
  • Specialista nella protezione dei dati – Data Protection Specialist
  • Tecnico della protezione dei dati – Data Protection Engineer
  • Valutatore della protezione dei dati – Data Protection Auditor.

 


I vantaggi di certificare le competenze del DPO


L’obiettivo della certificazione accreditata è garantire il mercato, assicurando che gli operatori coinvolti nel trattamento dei dati personali possiedano, mantengano e migliorino nel tempo la competenza, e che svolgano la propria attività in maniera trasparente e indipendente.

Allo stesso tempo, i professionisti certificati possono dimostrare ai clienti e committenti la qualità del lavoro svolto, in linea con quanto stabilito dal GDPR.

Inoltre, le imprese sono facilitate nella selezione di un professionista la cui presenza è diventata in molti casi obbligatoria, e che gioca un ruolo fondamentale a supporto del titolare in un settore quanto mai strategico.

 


L’adeguamento degli accreditamenti e delle certificazioni


Il percorso per adeguarsi alle nuove norme tecniche UNI CEI EN 17740 e la UNI/TS 11945 riguarda sia gli organismi accreditati sia i certificati rilasciati ai professionisti della protezione dei dati. Nello specifico:

  • entro il 30 novembre 2024 gli organismi devono compilare e trasmettere ad Accredia il questionario di self assessment allegato alla Circolare Tecnica DC N° 26/2024
  • entro il 30 aprile 2025 tutti i certificati emessi dagli organismi accreditati in accordo alla UNI 11697 e alla UNI/PdR 66 devono migrare verso la UNI CEI EN 17740 e la UNI/TS 11945.

 


L’iter di accreditamento degli organismi


Come spiega la Circolare Tecnica DC N° 26/2024, le certificazioni dei professionisti della privacy secondo la UNI CEI EN 17740 e la UNI/TS 11945 devono essere rilasciate da organismi accreditati secondo i requisiti della norma UNI CEI EN ISO/IEC 17024:2012 e in base a requisiti aggiuntivi applicabili.

L’organismo interessato deve essere conforme a:

  • Regolamenti Generali Accredia RG-01 e RG-01-02.

A seconda degli accreditamenti posseduti, l’organismo affronterà un diverso numero di giornate di verifica secondo tre casistiche.

Organismo accreditato secondo la UNI CEI EN ISO/IEC 17024:2012

  • 1 giornata di esame documentale
  • 1 verifica in accompagnamento e 1 di rapportazione qualora le attività siano svolte disgiuntamente

Organismo accreditato per schemi diversi dalla UNI CEI EN ISO/IEC 17024:2012

  • 3 giornate di esame documentale da svolgersi, almeno in parte, in remoto
  • 3 giornate di verifica in sede più 1 di rapportazione
  • 1 verifica in accompagnamento e 1 di rapportazione qualora le attività siano svolte disgiuntamente

Organismo non accreditato in nessuno schema:

  • 1 giornata di esame documentale da svolgersi, almeno in parte, in remoto
  • 4 giornate di verifica in sede più 1 di rapportazione
  • 1 verifica in accompagnamento e 1 di rapportazione qualora le attività siano svolte disgiuntamente

Fatta eccezione per situazioni particolari descritte nella Circolare, per il mantenimento dell’accreditamento e durante l’intero ciclo, Accredia conduce almeno 2 verifiche di mantenimento in sede e 1 verifica in accompagnamento.