Con l’entrata in vigore del GDPR nel 2018, nuove professioni hanno iniziato a emergere per soddisfare le esigenze delle organizzazioni nel rispetto del GDPR e delle normative sulla protezione dei dati, tra cui quella del Valutatore Privacy. In questo articolo approfondiremo questo ruolo e il contesto generato dall’entrata in vigore del GDPR.
Regolamento Generale sulla Protezione dei Dati (GDPR)
Con l’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR) nel maggio 2018, l’Unione Europea ha introdotto importanti riforme nella gestione e protezione dei dati personali. Una delle principali innovazioni del GDPR è stata l’introduzione del Data Protection Officer (DPO) o Responsabile della protezione dei dati, una figura chiave incaricata di garantire la conformità del trattamento dei dati personali all’interno delle organizzazioni.
Tuttavia, la realtà pratica ha dimostrato che la gestione e la protezione dei dati personali richiedono una gamma più ampia di competenze e conoscenze, oltre a una consulenza e valutazione costante per garantire una protezione adeguata. Di conseguenza, nel contesto della crescente importanza della privacy e della sicurezza dei dati, nuove professioni hanno iniziato a emergere per soddisfare le esigenze delle organizzazioni nel rispetto del GDPR e delle normative sulla protezione dei dati.
Norma UNI 11697:2017
Alcune di queste figure sono state state standardizzate con la norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”. Tale norma detta una serie di requisiti e un percorso formativo volti ad ottenere una certificazione delle competenze e conoscenze acquisite. Oltre alla certificazione prevista per il Responsabile della protezione dei dati, la norma UNI 11697 prevede le figure del Manager Privacy, il Valutatore della Privacy e dello Specialista Privacy.
Il Valutatore Privacy è un professionista incaricato di garantire la conformità del trattamento dei dati personali alle leggi e ai regolamenti applicabili. La sua missione principale è esaminare periodicamente il trattamento dei dati personali, valutando il rispetto delle normative e approvando misure per eliminare eventuali non-conformità. Un aspetto cruciale del suo ruolo è che, in teoria, dovrebbe mantenere una posizione indipendente da chi svolge attività manageriali e operative simile a quella del DPO (anche se al contrario del DPO questa indipendenza non ha alcuna base normativa).
Secondo la norma UNI 11697, i compiti principali del valutatore sono:
- Programmazione, pianificazione e svolgimento delle attività di audit: Il Valutatore Privacy programma e pianifica gli audit per verificare la conformità delle pratiche di trattamento dei dati.
- Eseguire (attraverso gli audit) periodicamente una revisione completa della documentazione relativa al trattamento e alla protezione dei dati personali attraverso l’analisi della documentazione presente e attraverso interviste al personale in tutti i livelli dell’organizzazione coinvolti nel processo.
- Identificazione degli scostamenti rispetto alla normativa privacy: Dopo aver condotto l’audit, il Valutatore Privacy descrive gli scostamenti rilevati rispetto alle leggi e ai regolamenti applicabili. Questa valutazione aiuta a identificare aree in cui l’organizzazione può non essere in regola e a prendere misure correttive.
L’emergere continuo di nuove tecnologie e di conseguenza di nuove forme di minacce ai dati personali impone da tempo di ripensare le figure legate alla privacy e di non limitarle all’interno di un ambito solo giuridico. Per questo motivo la norma UNI 11697 ha cercato di aggiungere al bagaglio del valutatore anche una serie di insegnamenti che non si limitano all’analisi della normativa vigente ma che si espandono anche all’ambito tecnico.
Il Valutatore Privacy di conseguenza deve possedere conoscenze approfondite riguardo a diverse tematiche, tra cui:
- Normative sul trasferimento di dati personali all’estero e circolazione extra UE: Deve essere a conoscenza delle normative riguardanti il trasferimento sicuro dei dati personali al di fuori dell’Unione Europea e dello Spazio Economico Europeo.
- Gestione di dati biometrici: Deve comprendere le leggi e le migliori pratiche per la raccolta e il trattamento di dati biometrici.
- Videosorveglianza: Deve essere familiare con le normative sulla videosorveglianza e le implicazioni per la privacy.
- Valutazione di impatto sulla protezione dei dati (PIA): Deve conoscere le metodologie per eseguire una valutazione di impatto sulla protezione dei dati al fine di identificare e mitigare rischi potenziali.
- Tecniche crittografiche, anonimizzazione, pseudonimizzazione: Deve comprendere le diverse tecniche per proteggere i dati personali attraverso la crittografia, l’anonimizzazione e la pseudonimizzazione.
- Tecnologie: Deve essere a conoscenza delle tecnologie emergenti come l’Internet of Things (IoT), la tecnologia RFID, la geolocalizzazione, le tecnologie di identificazione e biometriche.
- Norme tecniche ISO/IEC relative alla gestione e alla sicurezza dei dati personali: Deve essere a conoscenza delle norme e degli standard internazionali relative alla sicurezza e alla gestione dei dati personali.
- Best practice e standard per l’auditing e l’accreditamento: Deve essere informato sulle migliori pratiche e gli standard relativi all’auditing e all’accreditamento in materia di trattamento e protezione dei dati personali.
Il Valutatore Privacy svolge un ruolo fondamentale nel supportare il DPO nell’assicurare che l’organizzazione tratti i dati personali in conformità alle leggi e ai regolamenti applicabili. Le sue conoscenze approfondite sulle normative e le tecnologie, insieme alle competenze personali necessarie per analizzare e comunicare i risultati, rendono questo professionista un elemento essenziale nella protezione dei dati personali e della privacy all’interno delle organizzazioni. Scopri il corso organizzato da A-Sapiens Edupuntozero, clicca qui.