Destinatario di questa certificazione è la figura professionale del Data Protection Officer, ovvero del professionista che presenta capacità, competenze e conoscenze tese a osservare, valutare e gestire il trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.
La Certificazione del Professionista del trattamento e della protezione dei dati personali, considerabile come attestazione delle competenze professionali acquisite e della formazione eseguita in accordo alla norma UNI 11697 e alla Prassi UNI/PdR 66:2019, prevede 4 profili professionali:
- Responsabile della protezione dei dati Personali (Data Protection Officer) - figura corrispondente al profilo professionale disciplinato nel Regolamento UE 2016/679, in particolare all’art. 39. È consentita l’assegnazione a tale profilo di compiti diversi e/o ulteriori inclusi in altri profili di livello manageriale nel rispetto del principio di assenza di conflitto di interessi.
- Manager Privacy - profilo pertinente a soggetti con un elevatissimo livello di conoscenze, abilità e competenze in uno specifico contesto organizzativo (sia esso un’area funzionale dell’organizzazione o sia esso il settore di appartenenza della stessa) per garantire l’adozione di idonee misure organizzative nel trattamento di dati personali.
- Specialista Privacy - profilo pertinente a soggetti che supportano il Responsabile per la protezione dei dati personali e/o il Manager privacy nel mettere a punto le idonee misure tecniche e organizzative ai fini del trattamento di dati personali.
- Valutatore Privacy - profilo pertinente a soggetti indipendenti con conoscenze e competenze nel settore informatico/tecnologico e di natura giuridica / organizzativa che conducono attività del trattamento e della protezione dei dati personali, che possono comunque avvalersi di specialisti in entrambi gli ambiti per effettuare attività di audit.
Requisiti
Al candidato che intende intraprendere il percorso di certificazione come Responsabile della protezione dei dati Personali (DPO) vengono richiesti requisiti di accesso differenti in base all’apprendimento Formale, Non Formale o Informale di cui ha beneficiato:
Formale:
- Laurea che includa discipline almeno in parte afferenti alle conoscenze del professionista privacy, legali o tecnico informatiche
- Laurea magistrale che includa discipline almeno in parte afferenti alle conoscenze del professionista privacy, legali o tecnico informatiche
- Diploma di scuola media superiore o lauree non afferenti alle conoscenze del professionista privacy, legali o tecnico informatiche
Non Formale:
- Corso di almeno 80 ore con attestazione finale avente per argomento la gestione della privacy e della sicurezza delle informazioni.
Per quanto riguarda la formazione specifica il numero di ore complessivo può essere raggiunto anche con più corsi di formazione, con la partecipazione a seminari o con l’effettuazione di docenza specifica.
Qualora dei professionisti abbiano già seguito precedenti percorsi di formazione, non coincidenti con le indicazioni della norma UNI 11697, sarà cura dell’OdC effettuare un’analitica comparazione tra la formazione a cui si è sottoposto il candidato ed il percorso illustrato in questa norma, assumendosi le responsabilità relative.
Informale:
Il candidato deve dimostrare esperienza professionale nel settore della privacy, attraverso un numero di anni proporzionato al tipo di istruzione posseduta, in particolare sono richiesti:
- Minimo 6 anni di esperienza lavorativa legata alla privacy di cui almeno 4 anni in incarichi di livello manageriale
- Se in possesso di laurea magistrale l’esperienza lavorativa si riduce a 4 anni di cui 3 in incarichi di livello manageriale.
- Se in possesso di diploma di scuola media superiore o lauree non afferenti alle conoscenze del professionista privacy, legali o tecnico informatiche, minimo 8 anni di esperienza lavorativa di privacy di cui almeno 5 anni in incarichi di livello manageriale A supporto delle evidenze dell’esperienza lavorativa, il candidato dovrà fornire a Kiwa Cermet Italia 3 elaborati, attraverso cui presenterà 3 esperienze lavorative vissute, e da lui ritenute più significative a fronte della figura professionale DPO.
Esame
L’esame di certificazione si compone di 3 prove: due prove scritte e una orale.
- Prima prova scritta: vengono sottoposte al candidato 40 domande a risposta multipla, con 4 alternative. Le domande coprono gli elementi fondamentali di abilità e conoscenza previsti dalla norma UNI 11697. Il candidato ha a disposizione 80 minuti di tempo per svolgere la prova
- Seconda prova scritta: vengono sottoposti 3 casi di studio volti a verificare l’attitudine, le abilità, le competenze e le conoscenze del candidato a gestire situazioni reali operative connesse al profilo oggetto di certificazione. Ogni caso studio presenterà una situazione reale operativa per il quale saranno previsti più quesiti, a cui il candidato dovrà rispondere trattando il caso. Il tempo massimo a disposizione per lo svolgimento della prova è di 30 minuti.
- Prova orale: al candidato vengono sottoposte una serie di domande, al fine di approfondire eventuali incertezze riscontrate nelle prove scritte e per approfondire il livello delle conoscenze acquisite dal candidato in tutte le aree previste dalla norma. Il tempo massimo a disposizione per lo svolgimento della prova è di 60 minuti.
La prova orale sarà suddivisa in:
1. Approfondimento delle risposte errate delle due prove scritte. Nel caso il candidato dimostri significative carenze di conoscenza o competenza durante questa fase, il candidato non potrà proseguire la prova orale e l’esame verrà ritenuto non superato.
2. Discussione/Simulazioni di situazioni reali operative (Es: casi di studio, esercitazioni, role-play, simulazioni…), per valutare oltre alle abilità e alle competenze, anche le capacità personali (per esempio, capacità relazionali, comportamenti personali attesi).
3. Analisi e discussione dell’elaborato: prima dello svolgimento della sessione d’esame alla commissione esaminatrice vengono forniti 3 elaborati, che i singoli candidati partecipanti alla sessione d’esame hanno presentato in fase di iscrizione, frutto dell’esperienza professionale. La commissione d’esame sceglierà 1 tra i 3 elaborati presentati che sarà oggetto di analisi e discussione durante la prova orale.
4. Domande nell’ambito delle aree di conoscenze giuridica e tecnica.
Nel corso della prova orale la commissione esaminatrice dovrà approfondire anche la conoscenza da parte del candidato dei concetti di “Privacy by Design”, “Privacy by Default”, tecniche di anonimizzazione, pseudonimizzazione, DPIA, trattamento dei dati personali e relativi fattori di rischio.
Durata della Certificazione - Mantenimento e rinnovo
La Certificazione ha una durata di quattro anni dalla data di delibera del certificato ed è soggetta a mantenimenti annuali; al termine del quadriennio è previsto il rinnovo del certificato.
Il professionista dovrà annualmente produrre e trasmettere a Kiwa Italia le seguenti evidenze:
- evidenza dell’esercizio retribuito della professione, almeno un incarico/attività/contratto attraverso il quale si dimostri di aver operato nell’ambito dei compiti richiamati dalla norma UNI;
- evidenza di aggiornamento professionale, tramite titoli (attestati/contratti/registri partecipazione e similari) di partecipazione ad attività di formazione, convegni, docenze, relazioni, gruppi di lavoro normativo o tecnico durante l’anno, finalizzate al mantenimento delle competenze specifiche per la certificazione posseduta, per almeno 16 ore all’anno;
- un’autodichiarazione ai sensi degli articoli 46 e 76 del DPR 445/2000 contenente:
- le attività svolte durante l'anno, di cui al punto 1 rispetto ai punti 4 e 5 della norma UNI 11697, specifiche nel campo della protezione dati
- l’elenco completo dei corsi di aggiornamento, partecipazione a convegni, seminari, relazioni e docenze inerenti gli argomenti relativi al settore della privacy come declinato nelle tabelle riepilogative per profilo
- la presenza di reclami relativi all’attività certificata
- la presenza di contenziosi legali in corso relativi all’attività certificata
- evidenza della registrazione e del trattamento dei reclami ricevuti
- evidenza del pagamento della quota annuale così come indicato nel tariffario di schema
Nel caso in cui siano presenti reclami o contenziosi legali spetta all’OdC valutarne la relativa gestione.
L’attività di sorveglianza può avere come esito il mantenimento, la sospensione o la revoca della certificazione a fronte della valutazione dell’OdC in merito alla completezza e alla congruità della documentazione presentata, nonché alla gestione di eventuali reclami e/o contenziosi legali.
Al quarto anno il professionista che intenda rinnovare la certificazione è tenuto, prima della scadenza del certificato, ad inoltrare formale richiesta scritta a Kiwa Cermet Italia.
Le evidenze documentali da produrre in questa fase sono analoghe a quelle richieste in fase di mantenimento e sorveglianza annuale; il professionista dovrà in aggiunta sostenere una verifica sul mantenimento delle competenze tramite un esame scritto per la valutazione delle conoscenze.
Se nel periodo di validità della certificazione, le mutate condizioni del contesto lavorativo, professionale o normativo impongono una revisione del profilo professionale, il Customer Care comunicherà le variazioni e le eventuali disposizioni per il mantenimento della certificazione.
11 Dicembre - modalità in remoto