Scarica
Transcript
Scarica
Schema requisiti per la certificazione del Data Protection Officer - Privacy Consultant – Auditor Privacy Cod. QI 60 01 01b Rev. 05 Pagina 1 di 2 Data Protection Officer Titoli di studio minimo Competenze, abilità e conoscenze Data Protection Officer e Privacy Consultant Privacy Consultant Auditor Privacy o Auditor Data Protection Diploma di istruzione secondaria superiore. Le competenze possono essere classificate, pur senza essere limitate, alle seguenti: • tecniche – allo scopo di realizzare sistemi di protezione dei dati conformi ai requisiti cogenti applicabili, ivi compresi la terminologia, i concetti ed i processi; • comportamentali – associate alle relazioni interpersonali all’interno dei confini stabiliti dal sistema di protezione dei dati; • contestuali – relative alla gestione dei dati all’interno dell’organizzazione e dell’ambiente esterno. Oltre alle competenze manageriali di carattere generale necessarie per la gestione della protezione dei dati, bisogna possedere: • competenze in riferimento a ciò che si è in grado di fare o di portare a termine nell’applicazione delle proprie conoscenze di trattamento dei dati personali e di libera circolazione di tali dati (ad es. protezione dei dati); • abilità in riferimento alla capacità di applicare le conoscenze per gestire i dati (ad es. nella gestione dei sistemi organizzativi ed alla capacità di applicare le conoscenze per portare a termine compiti e risolvere problemi); • conoscenze in riferimento alla conoscenza specifica che si ha della protezione dei dati. Tali conoscenze devono essere relative: a) al REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati), così come approvato il 12 marzo 2014 dalla plenaria del Parlamento Europeo (rif. provvedimenti per la riforma della protezione dati europea – prima lettura: Regolamento e Direttiva); b) relative al Decreto legislativo 30 giugno 2003, n. 196 e s.m.i. - CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI. nel periodo sino alla ratifica definitiva da parte del Parlamento Europeo del REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO e sino a quando risulterà applicabile da parte del Garante alla protezione dei dati personali; c) ai provvedimenti di più recente adozione deliberati dal Garante per la protezione dei dati personali per sua diretta iniziativa o in riferimento a istanze, ricorsi, reclami, segnalazioni, richieste di pareri, presentate da cittadini, aziende, associazioni, enti, ecc…; d) ai principi di Data Security: concetto ed ambito; integrità, riservatezza e disponibilità; il principio del need to know; approccio integrato alla sicurezza: sicurezza fisica, logica ed organizzativa; la Risk Analysis; sicurezza organizzativa: policy e procedure ; principali Standard e metodologie per la sicurezza dei dati: ISO/IEC 27001, COBIT, CORAS; le principali tecnologie per la sicurezza logica (antivirus, strumenti di Backup, sicurezza di rete, i sistemi operativi, le procedure e le applicazioni); la continuità delle operazione di trattamento a fronte di incidenti; il ripristino dei dati e delle funzioni; e) alle misure minime di sicurezza informatica - trattamenti con strumenti elettronici, sistema di autenticazione informatica, sistema di autorizzazione, misure in caso di trattamento di dati sensibili o giudiziari, trattamenti senza l’ausilio di strumenti elettronici; f) alla redazione della documentazione - Policy; Procedure; le lettere di incarico: responsabili, incaricati, consulenti, ecc…; Incaricati esterni; Informative e consenso. © KHC Know How Certification – Roma – Catania – www.khc.it - [email protected] Gli Auditor Privacy sono gli Specialised third party Auditors, che oltre a possedere le conoscenze, abilità e competenze indicate a fianco per il Data Protection Officer, devono avere anche competenze specialistiche per eseguire un audit (verifica ispettiva) sul Reg. (UE) 2016/679 e devono essere imparziali e liberi da qualsiasi conflitto di interessi concernente i loro doveri. L’Auditor Privacy è una Persona che esegue un audit in tema di trattamento e protezione dei dati personali. L’audit Privacy è un processo sistematico, indipendente e documentato per ottenere le evidenze dell’audit (registrazioni, dichiarazione di fatti o altre informazioni pertinenti e verificabili) e valutarle con obiettività, al fine di stabilire in quale misura i criteri dell’audit (politiche, procedure o requisiti utilizzati come riferimento: standard o codici di condotta) siano stati soddisfatti. Se l’audit Privacy è condotto da più Auditor, supportati, se necessario, da esperti tecnici (ad es. competenti nell’ambito dei sistemi informativi), all’interno del gruppo di Auditor è nominato un Lead Auditor. Schema requisiti per la certificazione del Data Protection Officer - Privacy Consultant – Auditor Privacy Cod. QI 60 01 01b Rev. 05 Pagina 2 di 2 Data Protection Officer Esperienza lavorativa totale1 Esperienze lavorative in campo specifico 1 Data Protection Officer Privacy Consultant e Privacy Consultant Ruoli tecnici, manageriali e professionali presso Enti, Aziende, studi professionali, ecc... 3 anni se in possesso di laurea di secondo livello. 4 anni se diplomato o in possesso di laurea di primo livello. Almeno in due (2) degli anni richiesti di esperienza lavorativa totale, deve aver ricoperto ruoli di responsabilità in merito alla gestione dei dati personali (ovvero come Responsabile della protezione dei dati o funzione attivamente coinvolta, come dipendente o esterno). Almeno in due (2) degli anni richiesti di esperienza lavorativa totale, deve aver progettato/seguito almeno tre (3) sistemi di gestione della privacy/della protezione dei dati personali) e aver ricoperto ruoli di responsabilità in merito alla gestione dei dati personali (ovvero come Responsabile della protezione dei dati o funzione attivamente coinvolta, come dipendente o esterno). Almeno in due (2) degli anni richiesti di esperienza lavorativa totale, deve aver progettato almeno cinque (5) sistemi di gestione della privacy/della protezione dei dati personali. Auditor Privacy o Auditor Data Protection Il Professionista deve possedere le seguenti qualità professionali: 1. conoscenza specialistica delle tecniche di Audit sui requisiti della normativa e delle pratiche in materia di protezione dei dati; 2. conoscenza specialistica delle normative ISO 19011 e ISO/IEC 17065. L’acquisizione della competenza di Auditor può essere acquisita utilizzando una combinazione dei seguenti elementi: - almeno in due (2) degli anni richiesti di esperienza lavorativa totale, l’Auditor deve aver ricoperto una pertinente posizione tecnica, manageriale o professionale, che comporta la formulazione di giudizi, il prendere decisioni , la soluzione di problemi e la comunicazione verso dirigenti, professionisti, pari grado, clienti ed altre parti interessate, in merito alla protezione dei dati; - l’Auditor Privacy deve aver svolto n° 4 Audit (sotto la responsabilità di Lead Auditor competente), di cui almeno n°1 di terza parte; - il Privacy Lead Auditor, in aggiunta a quanto previsto per l’Auditor, deve aver svolto n° 2 Audit di terza parte (sotto la responsabilità di Lead Auditor competente). Nel caso di un Auditor/Lead Auditor certificato in altro schema (es. Qualità, Sicurezza delle Informazioni, ecc…) il requisito di conoscenza specialistica sopra indicato si intende assolto. Tale esperienza può essere stata maturata sia in veste di lavoratore dipendente (presso imprese industriali o di servizi o presso enti pubblici e privati, con mansioni connesse con la produzione di beni e servizi), sia in veste di libero professionista. © KHC Know How Certification – Roma – Catania – www.khc.it - [email protected] Schema requisiti per la certificazione del Data Protection Officer - Privacy Consultant – Auditor Privacy Cod. QI 60 01 01b Rev. 05 Pagina 3 di 2 Data Protection Officer Formazione specifica Iscrizione a Registro KHC Passaggio da altri Registri riconosciuti KHC “Grande esperienza” Norme Deontologiche e Regolamento e Manuale d'uso del marchio di Certificazione. Mantenimento della certificazione Data Protection Officer e Privacy Consultant Privacy Consultant Auditor Privacy o Auditor Data Protection Corso di formazione per Auditor Privacy/ Corso di formazione per Data Protection Officer e Privacy Consultant (minimo 32 ore) Auditor Data Protection (minimo 16 ore) qualificato da KHC o riconosciuto da KHC. qualificato da KHC o riconosciuto da KHC. Il candidato che dimostra: a) il possesso dei requisiti richiesti (titolo di studio, esperienza lavorativa totale, esperienza lavorativa specifica nel settore); b) la frequenza/il superamento della formazione specifica, oltre al superamento della PV (Procedura Valutativa: test e colloquio tecnico); c) previo pagamento delle quote previste, potrà accedere ai relativi registri KHC E’ possibile richiedere il passaggio da altri registri, riconosciuti da KHC, producendo la documentazione attestante il possesso dei requisiti sopra indicati (con l’evidenza della continuità dell’attività lavorativa, dalla data di certificazione o rinnovo effettuato con l’altro Ente) e sostenendo il colloquio tecnico previsto dalla PV. Nel caso di “grande esperienza” (esperienza lavorativa specifica almeno doppia rispetto ai requisiti sopra indicati), è possibile sostenere il colloquio tecnico previsto dalla PV, anche se non in possesso della formazione specifica. L'iscrizione al registro KHC comporta la sottoscrizione (tramite la Domanda di certificazione) ed il rispetto delle Norme Deontologiche e del Regolamento e Manuale d'uso del marchio di Certificazione (consultabili sul sito www.khc.it ). Annualmente il certificato sarà emesso con la data di scadenza annuale aggiornata, solo a seguito di: • sottoscrizione del Modulo Autodichiarazione Assenza di reclami (o evidenza della loro corretta gestione), (scaricabile dal sito www.khc.it in download documenti), per la figura professionale per cui si è stati certificati; • pagamento quota di mantenimento annuale (quote consultabili sul sito www.khc.it); • mantenimento delle competenze/aggiornamento professionale (8h / anno sui temi legislativi giurisprudenziali e di aggiornamento sulle tematiche di Protezione e Tutela dei Dati), da documentare con attestati o altro, in fase di rinnovo triennale della certificazione. Nota: per la registrazione dell'aggiornamento è possibile utilizzare il modulo Professional Development Log (scaricabile dal sito www.khc.it). Validità Durata triennale della certificazione a decorrere dalla data di emissione del certificato. Rinnovo • • pagamento quota prevista (quote consultabili sul sito www.khc.it); verifica aggiornamento professionale (minimo 24 h negli ultimi tre anni) e continuità dell’attività professionale. © KHC Know How Certification – Roma – Catania – www.khc.it - [email protected]