Destinatario di questa certificazione è la figura professionale del Data Protection Officer, ovvero del professionista che presenta capacità, competenze e conoscenze tese a osservare, valutare e gestire il trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.

La Certificazione del Professionista del trattamento e della protezione dei dati personali, considerabile come attestazione delle competenze professionali acquisite e della formazione eseguita in accordo alla norma UNI 11697, prevede 4 profili professionali:

  • Responsabile della protezione dei dati Personali (Data Protection Officer) - profilo corrispondente al profilo professionale disciplinato nel Regolamento UE 2016/679, in particolare all’art. 39. È consentita l’assegnazione a tale profilo di compiti diversi e/o ulteriori inclusi in altri profili di livello manageriale nel rispetto del principio di assenza di conflitto di interessi
  • Manager Privacy - profilo pertinente a soggetti con un elevatissimo livello di conoscenze, abilità e competenze in uno specifico contesto organizzativo (sia esso un’area funzionale dell’organizzazione o sia esso il settore di appartenenza della stessa) per garantire l’adozione di idonee misure organizzative nel trattamento di dati personali
  • Specialista Privacy - profilo pertinente a soggetti che supportano il Responsabile per la protezione dei dati personali e/o il Manager privacy nel mettere a punto le idonee misure tecniche e organizzative ai fini del trattamento di dati personali
  • Valutatore Privacy - profilo pertinente a soggetti indipendenti con conoscenze e competenze nel settore informatico/tecnologico e di natura giuridica / organizzativa che conducono attività del trattamento e della protezione dei dati personali, che possono comunque avvalersi di specialisti in entrambi gli ambiti per effettuare attività di audit

Requisiti 

Al candidato che intende intraprendere il percorso di certificazione come Responsabile della protezione dei dati Personali (DPO) vengono richiesti requisiti di accesso differenti in base all’apprendimento Formale, Non Formale o Informale di cui ha beneficiato:

Formale:

  • Laurea che includa discipline almeno in parte afferenti alle conoscenze del professionista privacy, legali o tecnico informatiche
  • Laurea magistrale che includa discipline almeno in parte afferenti alle conoscenze del professionista privacy, legali o tecnico informatiche
  • Diploma di scuola media superiore o lauree non afferenti alle conoscenze del professionista privacy, legali o tecnico informatiche

Non Formale:

  • Corso di almeno 80 ore con attestazione finale avente per argomento la gestione della privacy e della sicurezza delle informazioni.

Per quanto riguarda la formazione specifica il numero di ore complessivo può essere raggiunto anche con più corsi di formazione, con la partecipazione a seminari o con l’effettuazione di docenza specifica.
Qualora dei professionisti abbiano già seguito precedenti percorsi di formazione, non coincidenti con le indicazioni della norma UNI 11697, sarà cura dell’OdC effettuare un’analitica comparazione tra la formazione a cui si è sottoposto il candidato ed il percorso illustrato in questa norma, assumendosi le responsabilità relative.

Informale:

Il candidato deve dimostrare esperienza professionale nel settore della privacy, attraverso un numero di anni proporzionato al tipo di istruzione posseduta, in particolare sono richiesti:

  • Minimo 6 anni di esperienza lavorativa legata alla privacy di cui almeno 4 anni in incarichi di livello manageriale
  • Se in possesso di laurea magistrale l’esperienza lavorativa si riduce a 4 anni di cui 3 in incarichi di livello manageriale.
  • Se in possesso di diploma di scuola media superiore o lauree non afferenti alle conoscenze del professionista privacy, legali o tecnico informatiche, minimo 8 anni di esperienza lavorativa di privacy di cui almeno 5 anni in incarichi di livello manageriale

Esame

L’esame di certificazione si compone di 3 prove: due prove scritte e una orale. 

  • Prima prova scritta: vengono sottoposte al candidato 40 domande a risposta multipla, con 4 alternative. Le domande coprono gli elementi fondamentali di abilità e conoscenza previsti dalla norma UNI 11697. Il candidato ha a disposizione 80 minuti di tempo per svolgere la prova
  • Seconda prova scritta: vengono sottoposti 3 casi di studio volti a verificare l’attitudine, le abilità, le competenze e le conoscenze del medesimo su questioni pratiche connesse al profilo professionale oggetto di certificazione. Il caso di studio prevede 4 possibili risposte, di cui una sola corretta. Il candidato ha a disposizione 30 minuti di tempo per svolgere la prova
  • Prova orale: al candidato vengono sottoposte una serie di domande, al fine di approfondire eventuali incertezze riscontrate nelle prove scritte e per approfondire il livello delle conoscenze acquisite dal candidato in tutte le aree previste dalla norma.
    Durante l’esame orale sono inoltre previste simulazioni di situazioni reali operative (casi di studio, esercitazioni, role-play, simulazioni…), per valutare oltre alle abilità e alle competenze, anche le capacità personali (per esempio, capacità relazionali, comportamenti personali attesi) ed analisi e valutazione dei lavori effettuati.
    Questo metodo comprende anche un confronto, in presenza del candidato, per approfondire la valutazione delle abilità, delle conoscenze e delle capacità relazionali.
    La prova orale ha una durata minima di 40 minuti (compreso la simulazione di situazioni reali operative, della durata di circa 10 minuti, e l’analisi e la valutazione di lavori effettuati)

Durata della Certificazione - Mantenimento e rinnovo

La Certificazione ha una durata di quattro anni dalla data di delibera del certificato ed è soggetta a mantenimenti annuali; al termine del quadriennio è previsto il rinnovo del certificato.
Il professionista dovrà annualmente produrre e trasmettere a Kiwa Italia le seguenti evidenze: 

  • evidenza dell’esercizio retribuito della professione, almeno un incarico/attività/contratto attraverso il quale si dimostri di aver operato nell’ambito dei compiti richiamati dalla norma UNI
  • evidenza di aggiornamento professionale, tramite titoli (attestati/contratti/registri partecipazione e similari) di partecipazione ad attività di formazione, convegni, docenze, relazioni, gruppi di lavoro normativo o tecnico durante l’anno, finalizzate al mantenimento delle competenze specifiche per la certificazione posseduta, per almeno 16 ore all’anno
  • un’autodichiarazione ai sensi degli articoli 46 e 76 del DPR 445/2000 contenente: le attività svolte durante l'anno, di cui al punto 1 rispetto ai punti 4 e 5 della norma UNI 11697, specifiche nel campo della protezione dati 
  • l’elenco completo dei corsi di aggiornamento, partecipazione a convegni, seminari, relazioni e docenze inerenti gli argomenti relativi al settore della privacy come declinato nelle tabelle riepilogative per profilo
  • la presenza di reclami relativi all’attività certificata
  • la presenza di contenziosi legali in corso relativi all’attività certificata
  • evidenza della registrazione e del trattamento dei reclami ricevuti
  • evidenza del pagamento della quota annuale così come indicato nel tariffario di schema

Nel caso in cui siano presenti reclami o contenzioni legali spetta all’OdC valutarne la relativa gestione.
L’attività di sorveglianza può avere come esito il mantenimento, la sospensione o la revoca della certificazione a fronte della valutazione dell’OdC in merito alla completezza e alla congruità della documentazione presentata, nonché alla gestione di eventuali reclami e/o contenziosi legali.
Al quarto anno, ai fini del rinnovo della certificazione, il professionista è tenuto a produrre le medesime evidenze richieste in fase di mantenimento e sorveglianza annuale e deve sostenere una verifica sul mantenimento delle competenze tramite un esame scritto per la valutazione delle conoscenze.
Se nel periodo di validità della certificazione, le mutate condizioni del contesto lavorativo, professionale o normativo impongono una revisione del profilo professionale, il Customer Care comunicherà le variazioni e le eventuali disposizioni per il mantenimento della certificazione.