Mano a mano che ci si avvicina alla data del 25 Maggio, cresce l’offerta di corsi di qualificazione, proposte per la certificazione delle competenze delle persone e, non ultime, proposte di certificazione dei sistemi di gestione della protezione dei dati.
In questo mare in tempesta, c’è però un faro autorevole che può guidarci. A chi fosse sfuggito, segnalo infatti la comunicazione congiunta di ACCREDIA e GARANTE del Luglio 2017 per la protezione dei dati personali. In essa i due enti sottolineano con enfasi che “al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi conformi agli artt. 42 e 43 del regolamento 2016/679”, poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione.
Dopo questa comunicazione comune tra ACCREDIA e GARANTE, la UNI ha emesso a Novembre 2017 una propria norma (ancora non condivisa con altri enti di normazione europei) sulla definizione dei profili professionali relativi al trattamento dei dati personali: la UNI 11697. In essa sono descritti 4 profili professionali:
– il Responsabile della protezione dei dati personali che coincide con la figura del DPO del Reg. 2016/679
– il Manager privacy
– lo Specialista Privacy
– il Valutatore Privacy
Infine, ACCREDIA (senza evidente coinvolgimento o approvazione del Garante) ha emanato a Febbraio 2018 la circolare tecnica n. 03/2018 in cui definisce le regole per accreditare gli Organismi di Certificazione che volessero rilasciare certificazione dei profili professionali declinati nella UNI 11697.
Appare quindi chiaro che Accredia ed UNI stanno creando le basi per un sistema Italiano di certificazione delle competenze delle persone, in particolare del DPO, ma appare anche chiaro il richiamo del Garante ad attendere che siano definiti i “requisiti aggiuntivi” riconosciuti dal Garante stesso, per evitare di ritrovarsi in mano un attestato non conforme agli artt. 42 e 43 del regolamento.
