La norma norma UNI 11697 stabilisce i requisiti professionali del privacy manager. In questo articolo vediamo quali sono le specifiche conoscenze, abilità e competenze di questa figura professionale, ma anche compiti e requisiti di accesso.
Nell'articolo
Il privacy manager secondo la norma UNI 11697:2017
La norma UNI 11697 che definisce i profili professionali relativi al trattamento e alla protezione dei dati personali. Stabilisce quindi i requisiti relativi all’attività professionale di soggetti operanti nell’ambito del trattamento e della protezione dei dati personali; ossia la professione intellettuale che viene esercitata a diversi livelli di complessità e in diversi contesti organizzativi, pubblici e privati.
Il manager della privacy è uno dei quattro profili professionali individuati dalla norma 11697 nell’ambito della protezione dei dati. Gli altri tre sono:
- Responsabile della protezione dei dati personali
- Specialista privacy
- Valutatore privacy
Naturalmente per ogni profilo sono state individuate specifiche conoscenze, abilità e competenze ma anche compiti e requisiti di accesso.
Il privacy manager: chi è
Il profilo del Manager Privacy è pertinente a soggetti con un elevatissimo livello di conoscenze, abilità e competenze in uno specifico contesto organizzativo. Sia esso un’area funzionale dell’organizzazione, sia il settore di appartenenza della stessa, al fine di garantire l’adozione di idonee misure organizzative nel trattamento di dati personali.
Privacy manager: cosa fa
La figura del manager privacy è concepita dalla norma UNI come quel professionista che coordina le attività di trattamento dei dati personali.
In particolare coordina trasversalmente i soggetti coinvolti nel trattamento dei dati personali, al fine di garantire il rispetto delle norme di legge applicabili e il raggiungimento, nonché il mantenimento, del livello di protezione adeguato in base allo specifico trattamento di dati personali effettuato, coordinando sempre trasversalmente i soggetti in essi coinvolti.
E’ evidente che una simile figura presenta grosse affinità sia con il responsabile del trattamento dei dati personali sia con il DPO e proprio per questi motivi le conoscenze richieste sono pressochè analoghe a quelle del DPO, in pratica interscambiabili.
I compiti del manager della privacy
Tra i compiti principali del Manager Privacy si annoverano:
- Assistere il titolare nel dare seguito alle richieste di esercizio dei diritti degli interessati.
- Assistere il titolare nel disporre la cancellazione o la restituzione dei dati personali alla conclusione del trattamento.
- Informare periodicamente il titolare sullo stato del trattamento e della protezione dei dati personali.
- Gestire il budget per la protezione dei dati personali.
- Controllare con continuità il livello complessivo di protezione dei dati personali.
- Organizzare e attribuire le responsabilità relative al trattamento e alla protezione dei dati personali.
- Approvare le politiche e le procedure per il trattamento e la protezione dei dati personali.
- Assistere il titolare nell’approvazione delle misure da adottare per gestire i rischi relativi alla protezione dei dati personali.
- Partecipare alle attività di valutazione del rischio relativo alla sicurezza delle informazioni.
- Adoperarsi per garantire il rispetto dei requisiti in materia di trattamento e protezione dei dati personali anche nelle attività progettuali.
- Comunicare, se appropriato, le violazioni di dati personali agli interessati.
- Gestire i registri delle attività di trattamento.
- Definire e valutare gli SLA e i PLA che devono essere garantiti da terzi eventualmente coinvolti nel trattamento dati personali.
- Integrare le attività per la conformità al trattamento dei dati personali con le attività relative ad altri tipi di conformità ove possibile.
Quali sono le abilità richieste al privacy manager
Le abilità (skill) richieste per la figura professionale del manager privacy ed intese come le capacità cognitive procedurali (saper fare) per eseguire un determinato compito o risolvere problemi circoscritti, sono le seguenti:
- Contribuire alla strategia per il trattamento e per la protezione dei dati personali
- Gestire l’applicazione dei codici di condotta e delle certificazioni applicabili in materia di trattamento e protezione dei dati personali
- Capacità di comunicare e di analisi
- Autogestione e controllo dello stress
- Capacità di auto sviluppo, controllo, convincimento, coordinamento e gestione dei collaboratori, decisionali
- Flessibilità
- Capacità di gestione dei conflitti e di gestione del gruppo
- Iniziativa
- Idoneità alla negoziazione
- Capacità organizzative
- Orientamento ai risultati
- Pensiero prospettico
- Pianificazione e programmazione
- Atteggiamento costruttivo nella soluzione dei problemi
- Tenacia
Privacy Manager GDPR
Il GDPR non prevede in particolare la figura del Manager della Privacy. Tuttavia per la figura del manager Privacy la Norma UNI prevede la conoscenza del DPIA (Data Protection Impact Assessment).
L’art. 35 del Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) parla di valutazione d’impatto sulla protezione dei dati che deve essere effettuata dal titolare del trattamento quando un tipo di trattamento, allorchè prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le liberta delle persone fisiche.
I requisiti di accesso alla professione di manager privacy
La norma UNI richiede i seguenti requisiti di accesso alla professione di Manager privacy:
1. Titolo di studio
Laurea che includa discipline almeno in parte afferenti alle conoscenze del professionista privacy, legali o tecnico/informatiche.
2. Formazione specifica
Corso di almeno 60 ore con attestazione finale avente per argomento la gestione della privacy e della sicurezza delle informazioni. E’ ammissibile la riduzione delle ore di formazione richieste fino ad un
massimo del 10% (30% per il valutatore privacy) in caso di possesso di certificazioni professionali riconosciute come attinenti alle conoscenze richieste al professionista privacy in questione.
3. Esperienza lavorativa
Minimo di 6 anni di esperienza lavorativa legata alla privacy di cui almeno 3 anni in incarichi di livello manageriale che possono includere anche attività rilevante svolta nell’ambito di consulenza o di
prestazione d’opera condotta durante l’esecuzione di ingaggi professionali.
Se in possesso di laurea magistrale l’esperienza lavorativa si riduce a 4 anni di cui 2 in incarichi di livello manageriale. Se in possesso di diploma di scuola media superiore, minimo 8 anni di esperienza lavorativa nel settore privacy, di cui almeno 4 anni in incarichi di livello manageriale.
Per saperne di più consulta il volume dell’autore
Aggiornati con i corsi di formazione dell’Istituto INFORMA
Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell’ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore