Questa presentazione descrive gli schemi di certificazione (aziendali) e la figura del DPO nell'ambito della legge 679/2016 (GDPR) nel contesto degli schemi e-CF e EQF. Relaziona anche in merito al lavoro UNI / UNINFO per la legge 4.2013 (Disposizioni in materia di professioni non organizzate)

1. Il DPO e gli schemi di certificazione dei trattamenti
AUTORE
Fabio Guasconi
EUROPRIVACY.INFO
@EUROPRIVACY
Gennaio 2017

2. Autore
Fabio GUASCONI
 Direttivo CLUSIT
 Direttivo UNINFO
 Presidente del CT 510 Sicurezza Informatica UNINFO
 CISA, CISM, PCI-QSA, ITIL, ISFS,
Lead Auditor 27001 & 9001
 Partner e co-founder BL4CKSWAN S.r.l.

3.  Certificazione dei profili professionali
 Schemi e-CF ed EQF
 Profili professionali per trattamento e protezione dei dati personali
 Considerazioni sulla figura del DPO
 Profilo del DPO
 Profilo del Manager Privacy
 Percorso di certificazione
 Meccanismi di certificazione richiamati nel Regolamento
 Requisiti del Regolamento
 Panoramica del mercato
 Possibili strade future
Agenda

4. 2004-2008
Il Quadro europeo delle qualifiche e dei titoli per l'apprendimento permanente (EQF) è uno
schema di riferimento per “tradurre” quadri di qualifiche e livelli di apprendimento dei diversi
Paesi europei.
2006-2008
Il framework per le e-Competence (e-CF) è nato come prima applicazione dell'EQF per i
professionisti operanti nell'ICT di ogni organizzazione.
 e-CF versione 1.0 (2008)
 e-CF versione 2.0 (2010)
 e-CF versione 3.0 (2014)
Schemi e-CF ed EQF

5. Schemi e-CF ed EQF
Definizione sintetica
Missione
Risultati attesi
• (RACI)
Compiti principali
e-Competence
• Livello
Abilità
Conoscenze
KPI

6. Schemi e-CF ed EQF
Lo schema EQF non è strutturato con un
catalogo di competenze, abilità e
conoscenze specifiche, ma ne definisce le
caratteristiche per livello, legandolo a uno
schema di riferimento di base.
EQF Level 8 Dottorato di Ricerca
Istruzione
universitaria
EQF Level 7 Laurea Magistrale
EQF Level 6 Laurea
EQF Level 5 Diploma di tecnico superiore
Istruzione
secondaria
EQF Level 4 Diploma professionale
EQF Level 3 Attestato di qualifica di operatore professionale
EQF Level 2
Certificato delle competenze di base acquisite in esito
all’assolvimento dell’obbligo di istruzione
Istruzione
primaria
EQF Level 1 Diploma di licenza conclusiva del primo ciclo di istruzione

7. Schemi e-CF ed EQF

8. Profili professionali per trattamento e protezione dei dati personali
e-CF Framework v. 3.0
Competenze informatiche / non informatiche
Elementi di creazione
del GdL
e-Competence (40)
Conoscenze (m)
Aree e-Competence (5)
Competenze
Livelli (5)
Dim. 1
Dim. 2
Dim. 3
Dim. 4 Abilità (n) ConoscenzeAbilità

9. Top
Management
Audit
Specialista
Privacy
Esempio di organizzazione basata sui profili della norma
DPO
Valutatore
Privacy
Profili professionali per trattamento e protezione dei dati personali
Manager
Privacy
Linee di
Business

10. Considerazioni sulla figura del DPO
 Figura professionale attualmente non regolamentata dalle leggi italiane.
 Non sarà designato secondo criteri vincolanti (PA, large scale of monitoring / special
categories data)
 Molti Titolari lo nomineranno per sgravarsi di responsabilità
 Potrà essere un soggetto terzo
 Non esiste un Ordine Professionale specifico a garanzia della qualità delle attività svolte
dal singolo professionista
 Sul mercato fioriscono attualmente corsi, master, percorsi e certificazioni in materia, che
sono però slegate da ogni schema riconosciuto di certificazione del personale
 Vi saranno nomine a DPO per soggetti molto diversi tra loro per collocazione aziendale
e competenze

11. Considerazioni sulla figura del DPO
Il DPO ("responsabile della protezione dei dati" nella versione italiana) è definito dagli art.
37, 38, 39 del Regolamento UE 2016/679.
Capo IV Titolare del
trattamento e
responsabile del
trattamento
Sezione 4
Responsabile della
protezione dei dati
Articolo 37
Designazione del
responsabile della
protezione dei dati
Articolo 38
Posizione del
responsabile della
protezione dei dati
Articolo 39
Compiti del
responsabile della
protezione dei dati

12. Considerazioni sulla figura del DPO
Il WP 29 ha pubblicato in dicembre 2016 delle "Guidelines on Data Protection Officers" che
entrano ulteriormente in dettaglio circa quanto esplicitato negli articoli precedenti, fornendo
anche esempi di applicazione.
Per quanto riguarda le competenze del DPO, i punti cardine sono:
1) The required level of expertise is not strictly defined but it must be commensurate with the
sensitivity, complexity and amount of data an organisation processes
2) DPOs should have expertise in national and European data protection laws and practices and an
in-depth understanding of the GDPR
3) Knowledge of the business sector and of the organisation of the controller is useful. The DPO
should also have sufficient understanding of the processing operations carried out, as well as the
information systems, and data security and data protection needs of the controller.

13. Profilo del DPO
 E' stato allineato esattamente con quanto richiesto dal Regolamento in termini di task e deliverables
 E' possibile aggiungervi alcuni o anche tutti compiti assegnati al profilo del Manager Privacy
MISSIONE
Fornisce al titolare/responsabile del trattamento il supporto indispensabile ad assicurare l’osservanza del
Regolamento UE 2016/679.
COMPETENZE
E-CF 3.0 Livello
A.4. Pianificazione di Prodotto o di Servizio 3
D.1. Sviluppo della Strategia per la Sicurezza Informatica 4
D.8. Gestione del Contratto 3
D.9. Sviluppo del Personale 3
E.3. Gestione del Rischio 4
E.4. Gestione delle Relazioni 4
E.8. Gestione della Sicurezza dell’Informazione 3
E.9. Governance dei sistemi informativi 4

14. Profilo del Manager Privacy
 E' coerente rispetto alle figure di più alta responsabilità che già oggi si occupano di protezione dei
dati personali
MISSIONE
Coordina trasversalmente i soggetti coinvolti nel trattamento dei dati personali, al fine di garantire il rispetto delle
norme di legge applicabili e il raggiungimento nonché il mantenimento del livello di protezione adeguato in base
allo specifico trattamento di dati personali effettuato, coordinando trasversalmente i soggetti in essi coinvolti.
COMPETENZE
E-CF 3.0 Livello
A.4. Pianificazione di Prodotto o di Servizio 3
C.1. Assistenza all’Utente 3
A.5. Progettazione di Architetture 4
D.1. Sviluppo della Strategia per la Sicurezza Informatica 4
D.8. Gestione del Contratto 3
D.9. Sviluppo del Personale 3
D.10. Gestione dell’Informazione e della Conoscenza 5
E.3. Gestione del Rischio 4
E.8. Gestione della Sicurezza dell’Informazione 3
E.9. Governance dei Sistemi Informativi 4

15. Percorso di certificazione
Mantenimento e rinnovo
Valutazione delle competenze e certificazione delle competenze
Apprendimento informale (esperienza lavorativa)
Apprendimento non formale (formazione professionale)
Apprendimento formale (istruzione)
Requisitiminimidiaccesso

16. Requisiti del regolamento
A cosa serve la certificazione?
 Art. 24 Responsabilità del titolare del trattamento, 3) L'adesione ai codici di condotta di
cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come
elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.
 Art. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione
predefinita, 3) Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere
utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente
articolo.
 Art. 28 Responsabile del trattamento, 5) L'adesione da parte del responsabile del
trattamento a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di
certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare le
garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.
 Art. 32 Sicurezza del trattamento, 3) L'adesione a un codice di condotta approvato di cui
all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata
come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
 ... ed è anche inclusa tra i criteri da valutare per determinare le sanzioni ...

17. Panoramica del mercato

18. Label CNIL
~ 30 certificazioni
est. 2011, Francia
Prodotti e servizi
ePrivacyseal
~ 20 certificazioni
est. 2011, Germania
Prodotti e servizi
Privacy Mark
~ 20.000 certificazioni
est. 1998, Giappone
PMS
EuroPriSe
~ 60 certificazioni
est. 2008, Germania
PMS
Panoramica del mercato
Leader di mercato come veri "privacy seals"

19. Panoramica del mercato
Forti difficoltà relative a:
 Difficoltà di comprensione di cosa si sta certificando
 Mancanza di trasparenza degli schemi
 Astrattezza delle garanzie fornite
 Mancanza di riconoscimento del valore aggiunto lato utente finale
 Eterogeneità dell'offerta e non impiego di elementi comuni
 Frammentazione del mercato e degli stessi enti di normazione (v. CEN)
 Paura di usare schemi che domani non saranno più validi
... in sintesi il mercato non è maturo

20. Possibili strade future
Articolo 43 comma 1 punto a) Articolo 43 comma 1 punto b)
ISO/IEC 17065
Accreditamento
Accredia
Accreditamento
Garante
Schema definito o
ripreso dal Garante
Requisiti aggiuntivi
Garante
Secondo Articolo 43 "uno o entrambi"

21. Possibili strade future
L'aspetto più interessante è che queste strade non sono esclusive tra loro ...
potrebbero crearsi scenari misti o che si sovrappongono nel tempo coesistendo e rendendo
ancora più complessa l'adozione da parte del mercato.
1) Proliferazione di
schemi proprietari /
nazionali
• ISDPC 10003:2015
di Pharmasoft
2) Imposizione di
uno schema
centralizzato
europeo
• Comitato
• Commissione
3) Adozione di uno
schema
internazionale
• ISO/IEC 27552

22. fabio.guasconi@bl4ckswan.com