Abbiamo notizia che nei prossimi mesi CEN-CENELEC pubblicherà la nuova norma EN 17740:2023, che come potete vedere nel dettaglio che segue è stata approvata il 4 settembre 2023.
Si tratta di un framework europeo sulle competenze dei soggetti professionali coinvolti nella protezione dei dati personali; il titolo infatti recita: “Requirements for professional profiles related to personal data processing and protection”.
Come sappiamo, l’organismo di normazione italiano UNI è stato tra i primi a realizzare una norma di definizione dei profili professionali delle competenze relative alla protezione dei dati personali, producendo – nel 2017 – la norma UNI 11697:2017 (con la quale siamo peraltro certificati).
Nella norma italiana 11697 del 2017 sono identificati i seguenti quattro profili:
- Specialista Privacy;
- Valutatore Privacy;
- Manager Privacy;
- Data Protection Officer.
Nella prossima EN 17740, alla base della quale abbiamo certamente anche il valido lavoro svolto da UNI sulla 11697, sono invece definiti 5 profili professionali (di livello europeo), uno dei quali equivalente (DPO), uno paragonabile e gli altri non direttamente sovrapponibili:
Data protection auditor
è un profilo di un professionista indipendente, dotato di elevato livello di conoscenze e abilità nel settore informatico, legale e organizzativo, in grado di predisporre trattamenti dei dati personali e svolgere attività di controllo, facendo anche riferimento ai contributi che possono essere offerti dagli altri profili specialistici che seguono.
Data protection engineer
si tratta di un nuovo profilo, con elevato grado di competenze tecnologiche (engineer), relativo a coloro che devono progettare e sviluppare sistemi, in grado di trattare dati personali; essi debbono avere specifiche conoscenze tecnologiche, con elevato livello di responsabilità, per tutto ciò che riguarda la protezione dei dati; come esempio, questi professionisti possono operare in affiancamento a specialisti di software, di sistemi informativi e di discipline tecniche connesse, nonché con altri profili comunque collegati al trattamento di dati personali, che operino nel contesto aziendale.
Data protection specialist
è un profilo equivalente a quello di professionisti che sono in grado di dare supporto al data protection officer oppure al data protection manager, nello sviluppare misure appropriate, di livello tecnico ed organizzativo, relative alla protezione dei trattamento di dati personali.
Data protection manager
è uno dei profili professionali più importanti, corrispondente a persone con elevato livello di conoscenza, abilità e competenze, ed operanti in uno specifico contesto organizzativo. Questo professionista garantisce l’adozione di appropriate misure organizzative che permettano di trattare in sicurezza i dati personali.
Data protection officer
si tratta del profilo corrispondente a quello previsto dal regolamento europeo 679/2016, all’articolo 39. La norma indica che è possibile assegnare a questo profilo anche incarichi differenti e anche incarichi appartenenti ad altri profili professionali e manageriali, a condizione che questi non determinino un conflitto di interessi. Il profilo rispecchia quanto indicato nel GDPR; quindi è l’unico profilo assolutamente sovrapponibile al precedente previsto alla UNI 11697:2017, in quanto è definito dal GDPR e non dalle due norme, che lo hanno solo ripreso.