�ݺ�ߣ

D. (Mimmo) Squillace
I profli professionali privacy alla luce della
nuova norma UNI 11697

I profili professionali privacy alla luce della nuova norma UNI 11697 – Mimmo Squillace
I profil professlonail prlvacy aiia iuce
deiia nuova norma UNI 11697
D. (Mimmo) Squillace
presidenza@uninfo.it
mimmo_squillace@it.ibm.com

Mlmmo Squliiace
Technical Relations Executive – IBM Italia
Presldente UNINFO

Agenda
●
Norme tecnlche
– Cosa sono, chl ie svliuppa,
benefcl
●
UNI ed UNINFO
●
APNR/ICT
– UNI EN 16234
– UNI 11697
●
Certlfcaalone UNI 11697?

Una Norma Tecnlca descrlve
io “stato deii’arte” dl: un bene,
un servlalo, un processo o,
anche, un profio professlonaie

La Norma Tecnica
è un documento!
Sviluppato presso un Ente
di Normazione in maniera
trasparente e
democratica, approvato
in maniera consensuale
ed adottato su base
volontaria.

Le Norme Tecniche
sono sviluppate da:
Internatlonai Standard Settlng Organlaatlons
“Aii-others”
ISO
Teiecommunlcatlon
ITU
Eiectrotechnlcai
IEC
European Standard Settlng Organlaatlons
CEN ETSICENELEC
Natlonai Standard Bodles
JTC/1
IETF&IEEE
W3C
Fora
Consorzi

Promuovono i’lnteroperabliltà
Mlgilorano Slcureaaa prodottl
Consentono Economle dl Scaia
1 Norma EN:
●
equlvaie a 33 Norme Naalonail
●
consente i’accesso ad un mercato
dl 650 mlilonl dl persone

Agenda
●
Norme tecnlche
– Cosa sono, chl il svliuppa,
benefcl
●
UNI ed UNINFO
●
APNR/ICT
– UNI EN 16234
– UNI 11697
●
Certlfcaalone UNI 11697?

I Natlonai Standards Body
ltailanl sono:
CEI ed UNI

UNICHIM
Chimica
CIG
Gas
CTI
Termotecnica
UNSIDER
Ferro e Metalli
UNIPLAST
Materle Piastlche
CUNA
Automobili
Sistema UNI
UNINFO => IT
UNINFO
Informatica

I settori di attività
di UNINFO

Informatlca Medlca
Ingegnerla dei SW
Slcureaaa lnformatlca
eBSF
“Traffco”
“MPEG”
Automaalone Ind.
Tecnoiogle Addltlve
APNR-ICT
Biockchaln
Industrla 4.0

Attività Professionali Non Regolamentate
– ICT
Commissione
UNINFO APNR-ICT
Commissione
UNINFO APNR-ICT
CEN/PC 428
e-Competence and
ICT professionalism
CEN/PC 428
e-Competence and
ICT professionalism
GdL PPSIGdL PPSI GdL WEBGdL WEB
ISO/IEC JTC 1
SC 7/WG 20
ISO/IEC JTC 1
SC 7/WG 20
Liaison
GdL
Informaalone
geografca
GdL
Informaalone
geografca
GdL PrlvacyGdL Prlvacy
ISO/IEC JTC 1
SC 27/WG 1
ISO/IEC JTC 1
SC 27/WG 1
UNI-ServlalUNI-Servlal UNI-Slc.CltUNI-Slc.Clt
Liaison
Liaison

3 Dlmenslonl comunl
D1: 5 aree
D2: 40 e-competences
D3: 5 ilveiil dl competenaa
Eventuail profil
personailaaatl possono
sfruttare ia quarta
dlmenslone prevlsta
dai modeiio
http://www.ecompetences.eu/
e-CF 3.0 (2014) - EN 16234-1 (2016)

Profil dl competenaa ICT

Le norme tecnlche dl APNR-ICT

• UNI EN 16234-1 –e-Competence Framework (e-CF) -
Framework comune europeo per l professlonlstl ICT ln
tuttl l settorl lndustrlail - Parte 1: Framework (modeiio
dl rlferlmento)
• UNI 11506:2017 – Attlvltà professlonail non
regoiamentate - Flgure professlonail operantl nei
settore ICT - Requlsltl per ia vaiutaalone e
certlfcaalone deiie conoscenae, abliltà e competenae
per l profil professlonail ICT basatl sui modeiio e-CF
Le norme UNI in ambito APNR – ICT

• UNI 11621:2016 «Attlvltà professlonail non
regoiamentate - Profil professlonail per i’ICT»
– Parte 1 Metodoiogla per ia costrualone dl profil
professlonail basatl su slstema e-CF
– Parte 2 Profil professlonail dl "seconda generaalone"
– Parte 3 Profil professlonail reiatlvl aiie professlonailtà
operantl nei Web
– Parte 4 Profil professlonail reiatlvl aiia slcureaaa deiie
lnformaalonl

• UNI 11697 - Attlvltà professlonail non regoiamentate -
Profil professlonail reiatlvl ai trattamento e aiia
protealone del datl personail - Requlsltl dl conoscenaa,
abliltà e competenaa

La UNI 11697...
Commissione
UNINFO APNR-ICT
Commissione
UNINFO APNR-ICT
CEN/PC 428
e-Competence and
ICT professionalism
CEN/PC 428
e-Competence and
ICT professionalism
GdL PPSIGdL PPSI GdL WEBGdL WEB
ISO/IEC JTC 1
SC 7/WG 20
ISO/IEC JTC 1
SC 7/WG 20
Liaison
GdL
Informaalone
geografca
GdL
Informaalone
geografca
GdL PrlvacyGdL Prlvacy
ISO/IEC JTC 1
SC 27/WG 1
ISO/IEC JTC 1
SC 27/WG 1
UNI-ServlalUNI-Servlal UNI-Slc.CltUNI-Slc.Clt
Liaison
Liaison

... pubbilcata li 30 novembre 2017 sul Profil professlonail reiatlvl ai
trattamento e aiia protealone del datl personail e basata su e-CF 3.0
DPO (compietamente aiilneato ai Regoiamento)
Manager privacy
Soggettl con un eievatlsslmo ilveiio dl conoscenae, abliltà e competenae ln uno
speclfco contesto organlaaatlvo (sla esso un’area funalonaie deii’organlaaaalone
sla li settore dl appartenenaa deiia stessa) per garantlre i’adoalone dl ldonee
mlsure organlaaatlve nei trattamento dl datl personail.
Specialista privacy
Soggettl che supportano li Responsablie per ia protealone del datl personail e/o li
Manager prlvacy nei mettere a punto ie ldonee mlsure tecnlche e organlaaatlve al
fnl dei trattamento dl datl personail.
Valutatore privacy
Soggettl lndlpendentl con conoscenae e competenae nei settore
lnformatlco/tecnoioglco e dl natura glurldlca / organlaaatlva che conducono attlvltà
dei trattamento e deiia protealone del datl personail che possono comunque
avvaiersl dl speclailstl ln entrambl gil ambltl per effettuare attlvltà dl audlt.
UNI 11697...

Top
Management
Audit
Linee di
Business
Specialista
Privacy
Manager
Privacy
Esempio di organizzazione basata sui profli della norma
DPO
Valutatore
Privacy
27
UNI 11697...

Proflo del DPO
 E' stato allineato esatamente con quanto richiesto dal Regolamento in termini di
task e deliverables
 E' possibile aggiungervi alcuni o anche tut compit assegnat al proflo del
Manager Privacy
MISSIONE
Fornisce al ttolareeresponsabile del tratamento il supporto indispensabile ad
assicurare l’osservanza del Regolamento UE 2016e679.
COMPETENZE E-CF 3.0 Livello
A.4. Pianificazione di Prodotto o di Servizio 3
D.1. Sviluppo della Strategia per la Sicurezza Informatica 4
D.8. Gestione del Contratto 3
D.9. Sviluppo del Personale 3
E.3. Gestione del Rischio 4
E.4. Gestione delle Relazioni 4
E.8. Gestione della Sicurezza dell’Informazione 3
E.9. Governance dei sistemi informativi 4

Proflo del Manager Privacy
 E' coerente rispeto alle fgure di più alta responsabilità che già oggi si occupano di
protezione dei dat personali
MISSIONE
Coordina trasversalmente i sogget coinvolt nel tratamento dei dat personali, al fne
di garantre il rispeto delle norme di legge applicabili e il raggiungimento nonché il
mantenimento del livello di protezione adeguato in base allo specifco tratamento di
dat personali efetuato, coordinando trasversalmente i sogget in essi coinvolt.
COMPETENZE E-CF 3.0 Livello
A.4. Pianificazione di Prodotto o di Servizio 3
C.1. Assistenza all’Utente 3
A.5. Progettazione di Architetture 4
D.1. Sviluppo della Strategia per la Sicurezza Informatica 4
D.8. Gestione del Contratto 3
D.9. Sviluppo del Personale 3
D.10. Gestione dell’Informazione e della Conoscenza 5
E.9. Governance dei Sistemi Informativi 4

Proflo dello Specialista Privacy
 Rappresenta il grosso del personale competente in materia di protezione dei dat
personali
MISSIONE
Svolge le atvità operatve che si rendono progressivamente necessarie durante tuto
il ciclo di vita di un tratamento di dat personali collaborando con una fgura
manageriale (quale, per esempio, il manager privacy competente).
COMPETENZE
E-CF 3.0 Livello
A.6. Progettazione di Applicazioni 1
B.5. Produzione della documentazione 1
C.1. Assistenza all’Utente 2
C.2. Supporto alle modifiche/evoluzioni del sistema 3
D.9 Sviluppo del personale 2

Proflo del Valutatore Privacy
 Rappresenta la terza parte esterna per eccellenza
 Deve rimanere indipendente dalle altre fgure
MISSIONE
Esamina periodicamente il tratamento di dat personali, valutando il rispeto di leggi
e regolament applicabili e approva le misure necessarie a eliminare eventuali non-
conformità rilevate, mantenendo una posizione indipendente da chi svolge atvità
manageriali e operatve.
COMPETENZE
E-CF 3.0 Livello
A.6. Progettazione di Applicazioni 1
B.5. Produzione della documentazione 2
E.5. Miglioramento del Processo 4

Percorso dl certlfcaalone ...
Mantenimento e rinnovoMantenimento e rinnovo
Valutazione delle competenze e certfcazione delle competenzeValutazione delle competenze e certfcazione delle competenze
Apprendimento informale (esperienza lavoratva)Apprendimento informale (esperienza lavoratva)
Apprendimento non formale (formazione professionale)Apprendimento non formale (formazione professionale)
Apprendimento formale (istruzione)Apprendimento formale (istruzione)
Requisitminimidiaccesso

Certlfcaalone deiie persone nei GDPR?

Artcoli 42 & 43 GDPR – Certfcazione
 Rilasciata da organismi di certfcazione o dall'autorità di
controllo competente sulla base di criteri approvat dall’autorità
di controllo competente o dal Comitato
 Utlizzabile volontariamente da ttolari e responsabili
 Con validità massima di 3 anni
 Inerente alle atvità di tratamento*
 Il Comitato raccoglie in un registro tut i meccanismi di
certfcazione e i sigilli e i marchi di protezione dei dat e li rende
pubblici con qualsiasi mezzo appropriato
 Gli organismi di certfcazione devono essere accreditat
dall'autorità di controllo competente o dall’ente di
accreditamento nazionale conformemente alla norma ISOeIEC
17065:2012 e ai requisit aggiuntvi stabilit dall'autorità di
controllo competente

Gli articoli 42 e 43 sono applicabili anche alle certifcazioni delle persone?
Ii "common understandlng" attuaie propende verso una rlsposta negatlva ma
non eslste una rlsposta uffclaie. Nei frattempo li Garante ha rliasclato li
seguente comunlcato congluntamente con Accredla li 18/07/2017:
Regolamento Ue e certifcazione in materia di dati personali
ACCREDIA e il Garante per la protezione dei dati personali ritengono
necessario sottolineare - al fne di indirizzare correttamente le attività svolte
dai soggetti a vario titolo interessati in questo ambito - che al momento le
certifcazioni di persone, nonché quelle emesse in materia di privacy o data
protection eventualmente rilasciate in Italia, sebbene possano costituire una
garanzia e atto di diligenza verso le parti interessate dell'adozione volontaria
di un sistema di analisi e controllo dei principi e delle norme di riferimento, a
legislazione vigente non possono defnirsi "conformi agli artt. 42 e 43 del
regolamento 2016/679", poiché devono ancora essere determinati i
"requisiti aggiuntivi" ai fni dell'accreditamento degli organismi di
certifcazione e i criteri specifci di certifcazione.
Regolamento Ue e certifcazione in materia di dati personali
ACCREDIA e il Garante per la protezione dei dati personali ritengono
necessario sottolineare - al fne di indirizzare correttamente le attività svolte
dai soggetti a vario titolo interessati in questo ambito - che al momento le
certifcazioni di persone, nonché quelle emesse in materia di privacy o data
protection eventualmente rilasciate in Italia, sebbene possano costituire una
garanzia e atto di diligenza verso le parti interessate dell'adozione volontaria
di un sistema di analisi e controllo dei principi e delle norme di riferimento, a
legislazione vigente non possono defnirsi "conformi agli artt. 42 e 43 del
regolamento 2016/679", poiché devono ancora essere determinati i
"requisiti aggiuntivi" ai fni dell'accreditamento degli organismi di
certifcazione e i criteri specifci di certifcazione.

Tltoio dl
studlo
Formaalone speclfca Esperlenaa iavoratlva
DPO/
Responsablie
protealone
datl
Laurea 80 ore
6 annl
(4 managerlail)
Manager
prlvacy
Laurea 60 ore
6 annl
(3 managerlail)
Speclailsta
prlvacy
Dlpioma
24 ore

4 annl
Vaiutatore
prlvacy
Dlpioma 40 ore
6 annl
(3 audlt)
Requlsltl mlnlml dl accesso defnltl neiia
UNI 11697

Schema dl certlfcaalone Accredla
RPD/DPO
Prova scrita da 0 domande a risposta multpla e 3 casi studio
Esame orale da almeno 0 minut
Manager privacy
Specialista privacy
Valutatore privacy
Ii 12 febbralo 2018, Accredla ha pubbilcato ie Dlsposlalonl ln materla dl
certlfcaalone e accredltamento per ia conformltà aiia norma UNI
11697:2017, che unlformano rlspetto a tuttl gil entl dl certlfcaalone:
 l requlsltl dl competenaa degil esamlnatorl e del candldatl
 l meccanlsml dl consegulmento muitlpio, translalone e rlnnovo
 ie seguentl modailtà dl svoiglmento deii’esame oitre aii’esame dei CV

Ai momento ia rlsposta potrebbe essere "TUTTI" per avere una gulda
unlvoca aii’appilcaalone del requlsltl dei Regoiamento e non queiia
defnlta dai consuiente dl turno.
A tendere ia rlsposta potrebbe essere:
 PMI, soprattutto "P"
 fornltorl dl servlal che vogilono dlstlnguersl sui mercato
 fornltorl dl prodottl che producono che vogilono dlstlnguersl sui
mercato
 soggettl che sono statl oggetto dl vloiaalone
Rlcordlamo comunque che ia certlfcaalone resta su base voiontarla e
non sl sa come sarà vaiutata daii’autorltà dl controiio.
A chl serve davvero una certlfcaalone

Grazie dell'attenzione
Follow us on:
www.uninfo.it
https://www.facebook.com/UNINFO.it
https://twitter.com/uninfo_it
http://www.slideshare.net/uninfoit
Segreteria UNINFO
uninfo@uninfo.it
This work is licensed under the
Creative Commons Attribution- NonCommercial-ShareAlike3.0 Unported License.
To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/3.0/

�ݺ�ߣ

La UNI 11676 ed il GDPR

More Related Content

La UNI 11676 ed il GDPR