La norma in oggetto è stata ratificata ed è entrata a far parte del corpo normativo nazionale il 30 Novembre 2017 e disciplina i diversi profili professionali relativi al trattamento e alla protezione dei dati personali. Nello specifico sono stati normati 4 profili:
1. Responsabile della Protezione dei dati: Profilo corrispondente a quanto previsto dall’art. 39 del GDPR 679/16;
2. Manager Privacy: Profilo congruo a soggetti di elevatissimo livello di competenze funzionale alla garanzia dell’adozione delle misure idonee di sicurezza per il trattamento dei dati;
3. Specialista Privacy: Profilo indicato per i soggetti che supportano il D.P.O. o il Manager Privacy nel mettere a punto le idonee misure di sicurezza;
4. Valutatore Privacy: Profilo pertinente a soggetti indipendenti con conoscenze e competenze in diversi settori che impattano con la protezione dei dati e che possono avvalersi di specialisti per la conduzione di Audit.
Per ogni profilo professionale sono stati definiti i risultati attesi (Deliverables), i compiti principali, le Abilità (Skill), le conoscenze (Knowledge) e l’area di applicazione dei KPI “Key Performance Indicators”.
Di seguito riassumeremo le caratteristiche della figura che è di principale rilievo per il nuovo Regolamento UE 679/16, il Responsabile della protezione dei dati.
Innanzitutto i requisiti per poter accedere al profilo di Responsabile della protezione dei dati sono:
1. Laurea inerente ad aree di interesse (conoscenze legali o tecnico/informatiche);
2. Corso di formazione di almeno 80 ore con attestazione finale;
3. Minimo 6 anni di esperienza lavorativa legata alla privacy di cui almeno 4 anni in incarichi di livello manageriale.
Se si possiede laurea magistrale l’esperienza lavorativa si riduce a 4 anni, se in possesso di diploma di scuola media superiore minimo 8 anni di esperienza lavorativa nel campo privacy.
La norma inoltre prevede che il D.P.O., conformemente ai compiti previsti dal GDPR 679/16, rediga, tra gli altri:
1. relazioni periodiche sull’osservanza delle norme in merito alla protezione dei dati personali;
2. documentazione a supporto della richiesta di consultazione preventiva all’Autorità di controllo;
3. documentazione di interfaccia con gli interessati;
4. indicatori sulla protezione dei dati personali;
5. programma di formazione, aggiornamento e consapevolezza;
6. pareri su valutazioni d’impatto;
7. politica per la protezione dei dati personali;
8. procedure operative per trattamento e protezione dei dati personali;
9. valutazione del rischio relativo alla sicurezza delle informazioni;
10. codici di condotta;
11. programma di audit per la protezione e il trattamento dei dati personali
Innumerevoli sono le abilità che dovrebbe avere il D.P.O., ne elenchiamo alcune solo per rendere idea del valore di codesto professionista:
· capacità di comunicare;
· capacità di analisi;
· autogestione e controllo dello stress;
· idoneità alla negoziazione;
· coaching;
· sviluppar piani di risk management per identificare le necessarie azione preventive.
Infine la norma fa analisi dettagliata e parcellizzata anche delle conoscenze del Responsabile della protezione dei dati personali le quali spaziano dalla conoscenza alla normativa sulla protezione dei dati personali, all’informatica, alle competenze legali inerenti al corollario normativo che gravita intono alla protezione dei dati personali.
Di seguito se ne elencano alcune:
· I principi di privacy e protezione dei dati by design e by default;
· I diritti degli interessati previsti da leggi e regolamenti vigenti;
· Norme di legge italiane ed europee in materia di trattamento e di protezione dei dati personali;
· Norme di legge in materia di trasferimento di dati personali all’estero e circolazione dei dati personali extra UE/SEE;
· Le metodologie di valutazione d’impatto sulla protezione dei dati e PIA;
· Le possibili minacce alla protezione dei dati personali;
· Tecniche e strumenti di comunicazione;
· Le tecniche crittografiche;
· Sistemi e tecniche di monitoraggio e reporting;
· I processi dell’organizzazione ivi inclusi le strutture decisionali, di budget e di gestione;
· La computer forencis (analisi criminologica dei sistemi informativi);
· Le best practice e gli standard nella analisi del rischio;
· Le norme legali applicabili ai contratti;
· Le nuove tecnologie emergenti;
· Le tecniche di attacco informatico e le contromisure per evitarli.
Concludiamo ricordando che la nomina del Responsabile della protezione dei dati personali è obbligatoria per tutte le pubbliche amministrazioni e per alcune aziende private.