Scarica

Schema requisiti per la certificazione del Data Protection Officer - Privacy Consultant –
Auditor Privacy
Cod. QI 60 01 01b
Rev. 05
Pagina 1 di 2
Data Protection Officer
Titoli di studio
minimo
Competenze,
abilità e
conoscenze
Data Protection Officer
e Privacy Consultant
Privacy Consultant
Auditor Privacy o
Auditor Data Protection
Diploma di istruzione secondaria superiore.
Le competenze possono essere classificate, pur senza essere limitate, alle seguenti:
•
tecniche – allo scopo di realizzare sistemi di protezione dei dati conformi ai requisiti cogenti applicabili, ivi
compresi la terminologia, i concetti ed i processi;
•
comportamentali – associate alle relazioni interpersonali all’interno dei confini stabiliti dal sistema di protezione
dei dati;
•
contestuali – relative alla gestione dei dati all’interno dell’organizzazione e dell’ambiente esterno.
Oltre alle competenze manageriali di carattere generale necessarie per la gestione della protezione dei dati, bisogna
possedere:
•
competenze in riferimento a ciò che si è in grado di fare o di portare a termine nell’applicazione delle proprie
conoscenze di trattamento dei dati personali e di libera circolazione di tali dati (ad es. protezione dei dati);
•
abilità in riferimento alla capacità di applicare le conoscenze per gestire i dati (ad es. nella gestione dei sistemi
organizzativi ed alla capacità di applicare le conoscenze per portare a termine compiti e risolvere problemi);
•
conoscenze in riferimento alla conoscenza specifica che si ha della protezione dei dati.
Tali conoscenze devono essere relative:
a) al REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con
riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione
dei dati), così come approvato il 12 marzo 2014 dalla plenaria del Parlamento Europeo (rif. provvedimenti per la
riforma della protezione dati europea – prima lettura: Regolamento e Direttiva);
b) relative al Decreto legislativo 30 giugno 2003, n. 196 e s.m.i. - CODICE IN MATERIA DI PROTEZIONE DEI DATI
PERSONALI. nel periodo sino alla ratifica definitiva da parte del Parlamento Europeo del REGOLAMENTO DEL
PARLAMENTO EUROPEO E DEL CONSIGLIO e sino a quando risulterà applicabile da parte del Garante alla protezione
dei dati personali;
c) ai provvedimenti di più recente adozione deliberati dal Garante per la protezione dei dati personali per sua diretta
iniziativa o in riferimento a istanze, ricorsi, reclami, segnalazioni, richieste di pareri, presentate da cittadini, aziende,
associazioni, enti, ecc…;
d) ai principi di Data Security: concetto ed ambito; integrità, riservatezza e disponibilità; il principio del need to know;
approccio integrato alla sicurezza: sicurezza fisica, logica ed organizzativa; la Risk Analysis; sicurezza organizzativa:
policy e procedure ; principali Standard e metodologie per la sicurezza dei dati: ISO/IEC 27001, COBIT, CORAS; le
principali tecnologie per la sicurezza logica (antivirus, strumenti di Backup, sicurezza di rete, i sistemi operativi, le
procedure e le applicazioni); la continuità delle operazione di trattamento a fronte di incidenti; il ripristino dei dati e
delle funzioni;
e) alle misure minime di sicurezza informatica - trattamenti con strumenti elettronici, sistema di autenticazione
informatica, sistema di autorizzazione, misure in caso di trattamento di dati sensibili o giudiziari, trattamenti senza
l’ausilio di strumenti elettronici;
f) alla redazione della documentazione - Policy; Procedure; le lettere di incarico: responsabili, incaricati, consulenti,
ecc…; Incaricati esterni; Informative e consenso.
© KHC Know How Certification – Roma – Catania – www.khc.it - [email protected]
Gli
Auditor
Privacy
sono
gli
Specialised third party Auditors,
che oltre a possedere le conoscenze,
abilità e competenze indicate a
fianco per il Data Protection Officer,
devono avere anche competenze
specialistiche per eseguire un audit
(verifica ispettiva) sul Reg. (UE)
2016/679 e devono essere imparziali e
liberi da qualsiasi conflitto di interessi
concernente i loro doveri.
L’Auditor Privacy è una Persona che
esegue
un
audit
in
tema
di
trattamento e protezione dei dati
personali. L’audit Privacy è un
processo sistematico, indipendente e
documentato per ottenere le evidenze
dell’audit (registrazioni, dichiarazione
di fatti o altre informazioni pertinenti e
verificabili) e valutarle con obiettività,
al fine di stabilire in quale misura i
criteri dell’audit (politiche, procedure o
requisiti utilizzati come riferimento:
standard o codici di condotta) siano
stati soddisfatti. Se l’audit Privacy è
condotto da più Auditor, supportati, se
necessario, da esperti tecnici (ad es.
competenti nell’ambito dei sistemi
informativi), all’interno del gruppo di
Auditor è nominato un Lead Auditor.
Schema requisiti per la certificazione del Data Protection Officer - Privacy Consultant –
Auditor Privacy
Cod. QI 60 01 01b
Rev. 05
Pagina 2 di 2
Data Protection Officer
Esperienza
lavorativa
totale1
Esperienze
lavorative in
campo
specifico
1
Data Protection Officer
Privacy Consultant
e Privacy Consultant
Ruoli tecnici, manageriali e professionali presso Enti, Aziende, studi professionali, ecc...
3 anni se in possesso di laurea di secondo livello.
4 anni se diplomato o in possesso di laurea di primo livello.
Almeno in due (2) degli
anni richiesti di esperienza
lavorativa totale, deve
aver ricoperto ruoli di
responsabilità in merito
alla gestione dei dati
personali (ovvero come
Responsabile
della
protezione dei dati o
funzione
attivamente
coinvolta,
come
dipendente o esterno).
Almeno in due (2) degli anni
richiesti
di
esperienza
lavorativa totale, deve aver
progettato/seguito
almeno
tre (3) sistemi di gestione
della privacy/della protezione
dei dati personali) e aver
ricoperto
ruoli
di
responsabilità in merito alla
gestione dei dati personali
(ovvero come Responsabile
della protezione dei dati o
funzione
attivamente
coinvolta, come dipendente o
esterno).
Almeno in due (2) degli anni
richiesti
di
esperienza
lavorativa totale, deve aver
progettato almeno cinque
(5) sistemi di gestione della
privacy/della protezione dei
dati personali.
Auditor Privacy o
Auditor Data Protection
Il Professionista deve possedere le seguenti
qualità professionali:
1.
conoscenza specialistica delle tecniche
di Audit sui requisiti della normativa e delle
pratiche in materia di protezione dei dati;
2.
conoscenza
specialistica
delle
normative ISO 19011 e ISO/IEC 17065.
L’acquisizione della competenza di Auditor
può
essere
acquisita
utilizzando
una
combinazione dei seguenti elementi:
- almeno in due (2) degli anni richiesti di
esperienza lavorativa totale, l’Auditor deve aver
ricoperto una pertinente posizione tecnica,
manageriale o professionale, che comporta la
formulazione di giudizi, il prendere decisioni , la
soluzione di problemi e la comunicazione verso
dirigenti, professionisti, pari grado, clienti ed
altre parti interessate, in merito alla protezione
dei dati;
- l’Auditor Privacy deve aver svolto n° 4 Audit
(sotto la responsabilità di Lead Auditor
competente), di cui almeno n°1 di terza parte;
- il Privacy Lead Auditor, in aggiunta a quanto
previsto per l’Auditor, deve aver svolto n° 2
Audit di terza parte (sotto la responsabilità di
Lead Auditor competente).
Nel caso di un Auditor/Lead Auditor certificato
in altro schema (es. Qualità, Sicurezza delle
Informazioni, ecc…) il requisito di conoscenza
specialistica sopra indicato si intende assolto.
Tale esperienza può essere stata maturata sia in veste di lavoratore dipendente (presso imprese industriali o di servizi o presso enti pubblici e privati, con
mansioni connesse con la produzione di beni e servizi), sia in veste di libero professionista.
© KHC Know How Certification – Roma – Catania – www.khc.it - [email protected]
Schema requisiti per la certificazione del Data Protection Officer - Privacy Consultant –
Auditor Privacy
Cod. QI 60 01 01b
Rev. 05
Pagina 3 di 2
Data Protection Officer
Formazione
specifica
Iscrizione a
Registro KHC
Passaggio da
altri Registri
riconosciuti
KHC
“Grande
esperienza”
Norme
Deontologiche e
Regolamento e
Manuale d'uso del
marchio di
Certificazione.
Mantenimento
della
certificazione
Data Protection Officer
e Privacy Consultant
Privacy Consultant
Auditor Privacy o
Auditor Data Protection
Corso di formazione per Auditor Privacy/
Corso di formazione per Data Protection Officer e Privacy Consultant (minimo 32 ore)
Auditor Data Protection (minimo 16 ore)
qualificato da KHC o riconosciuto da KHC.
qualificato da KHC o riconosciuto da KHC.
Il candidato che dimostra:
a)
il possesso dei requisiti richiesti (titolo di studio, esperienza lavorativa totale, esperienza lavorativa specifica nel settore);
b)
la frequenza/il superamento della formazione specifica, oltre al superamento della PV (Procedura Valutativa: test e
colloquio tecnico);
c)
previo pagamento delle quote previste,
potrà accedere ai relativi registri KHC
E’ possibile richiedere il passaggio da altri registri, riconosciuti da KHC, producendo la documentazione attestante il possesso dei
requisiti sopra indicati (con l’evidenza della continuità dell’attività lavorativa, dalla data di certificazione o rinnovo effettuato con
l’altro Ente) e sostenendo il colloquio tecnico previsto dalla PV.
Nel caso di “grande esperienza” (esperienza lavorativa specifica almeno doppia rispetto ai requisiti sopra indicati), è possibile
sostenere il colloquio tecnico previsto dalla PV, anche se non in possesso della formazione specifica.
L'iscrizione al registro KHC comporta la sottoscrizione (tramite la Domanda di certificazione) ed il rispetto delle Norme
Deontologiche e del Regolamento e Manuale d'uso del marchio di Certificazione (consultabili sul sito www.khc.it ).
Annualmente il certificato sarà emesso con la data di scadenza annuale aggiornata, solo a seguito di:
•
sottoscrizione del Modulo Autodichiarazione Assenza di reclami (o evidenza della loro corretta gestione), (scaricabile dal sito www.khc.it in
download documenti), per la figura professionale per cui si è stati certificati;
•
pagamento quota di mantenimento annuale (quote consultabili sul sito www.khc.it);
•
mantenimento delle competenze/aggiornamento professionale (8h / anno sui temi legislativi giurisprudenziali e di aggiornamento sulle
tematiche di Protezione e Tutela dei Dati), da documentare con attestati o altro, in fase di rinnovo triennale della certificazione.
Nota: per la registrazione dell'aggiornamento è possibile utilizzare il modulo Professional Development Log (scaricabile dal sito www.khc.it).
Validità
Durata triennale della certificazione a decorrere dalla data di emissione del certificato.
Rinnovo
•
•
pagamento quota prevista (quote consultabili sul sito www.khc.it);
verifica aggiornamento professionale (minimo 24 h negli ultimi tre anni) e continuità dell’attività professionale.
© KHC Know How Certification – Roma – Catania – www.khc.it - [email protected]