Contract
SCHEMA DI CERTIFICAZIONE DELLE FIGURE PROFESSIONALI CHE OPERANO NELL’AMBITO DEL TRATTAMENTO E DELLA PROTEZIONE DEI DATI PERSONALI IN ACCORDO ALLA NORMA UNI 11697:2017 E ALLA UNI/PDR 66:2019 | SCH73 Rev. 8 Pag. 1 di 15 |
SCHEMA DI CERTIFICAZIONE DELLE FIGURE PROFESSIONALI CHE OPERANO NELL’AMBITO DEL TRATTAMENTO E DELLA PROTEZIONE DEI DATI PERSONALI
IN ACCORDO ALLA NORMA UNI 11697:2017 E ALLA UNI/PDR 66:2019
8 | 18.06.2020 | Rev. generale | Presidente CSI/ Schema | Amministratore Delegato |
7 | 18.03.2020 | Rev. generale | Presidente CSI/ Schema | Amministratore Delegato |
Rev | Data | Motivazioni | Convalida | Approvazione |
INDICE
1. | SCOPO E CAMPO DI APPLICAZIONE | Pag. 3 |
2. | GENERALITA’ | Pag. 3 |
3. | PROFILO DELLA FIGURA PROFESSIONALE | Pag. 3 |
3.1 | IMPEGNI DI CEPAS | Pag. 3 |
3.2 | IMPEGNI DEL CANDIDATO | Pag. 3 |
4 | RIFERIMENTI | Pag. 4 |
5 | TERMINI E DEFINIZIONI | Pag. 4 |
6 | PROCESSO DI CERTIFICAZIONE | Pag. 5 |
6.1 | RICHIESTA DI CERTIFICAZIONE E VERIFICHE PRELIMINARI | Pag. 5 |
6.2 | CONTRATTO DI CERTIFICAZIONE | Pag. 6 |
7 | PROCESSO DI VALUTAZIONE | Pag. 6 |
8 | PROCESSO DI ESAME | Pag. 6 |
8.1 | REQUISITI DI AMMISSIONE ALL’ESAME DI CERTIFICAZIONE | Pag. 6 |
8.2 | FINALITÀ DELL’ESAME | Pag. 7 |
8.3 | MODALITÀ DI SVOLGIMENTO DELL’ESAME | Pag. 7 |
8.4 | ARGOMENTI D'ESAME E CRITERI DI VALUTAZIONE | Pag. 7 |
8.5 | REGOLE GENERALI | Pag. 9 |
8.6 | ESAMINATORI | Pag. 9 |
8.7 | PRESENZA DI OSSERVATORI | Pag. 9 |
8.8 | CRITERI PER IL SUPERAMENTO DELL’ESAME | Pag. 9 |
8.9 | CRITERI GENERALI DELL’ESAME PER L’ESTENSIONE AI DIVERSI PROFILI | Pag. 9 |
9 | RILASCIO DELLA CERTIFICAZIONE | Pag. 10 |
9.1 | ISCRIZIONE AL REGISTRO E COMUNICAZIONE | Pag. 10 |
9.2 | INTEGRITA’ DEI DATI E PRIVACY | Pag. 11 |
10 | MANTENIMENTO DELLA CERTIFICAZIONE (SORVEGLIANZA) | Pag. 11 |
11 | RINNOVO DELLA CERTIFICAZIONE | Pag. 11 |
12 | SOSPENSIONE, RITIRO E ANNULLAMENTO DELLA CERTIFICAZIONE | Pag. 12 |
12.1 | CONDIZIONI PER LA SOSPENSIONE DELLA CERTIFICAZIONE | Pag. 12 |
12.2 | CONDIZIONI PER LA REVOCA DELLA CERTIFICAZIONE | Pag. 12 |
12.3 | PROCEDURA DI SOSPENSIONE, RITIRO E ANNULLAMENTO | Pag. 12 |
12.4 | DIRITTI E OBBLIGHI DELLA PERSONA CERTIFICATA | Pag. 12 |
13 | RECLAMI E RICORSI | Pag. 12 |
14 | TRASFERIMENTO DEL CERTIFICATO | Pag. 13 |
15 | REGOLAMENTO GENERALE PER IL RILASCIO E MANTENIMENTO DELLA CERTIFICAZIONE DELLE FIGURE PROFESSIONALI | Pag. 13 |
16 | CODICE DEONTOLOGICO (CD01) | Pag. 13 |
17 | PRESCRIZIONI PER L’USO DEL MARCHIO CEPAS | Pag. 13 |
All. 1A | ARGOMENTI D’ESAME | Pag. 14 |
All. 1B | PROFILO DEI COMMISSARI D’ESAME | Pag. 14 |
All. 1C | FAC SIMILE PER LA PRESENTAZIONE DELLE ESPERIENZE LAVORATIVE | Pag. 15 |
1. SCOPO E CAMPO DI APPLICAZIONE
Questo documento ha lo scopo di regolare i rapporti intercorrenti tra CEPAS, che opera quale organismo di certificazione del personale e le persone fisiche che richiedono la certificazione delle proprie competenze nell’ambito della protezione dei dati personali, nello specifico per le quattro figure individuate dalla Norma UNI 11697, in conformità a quanto previsto nel presente schema nonché nella legislazione di riferimento - Regolamento (UE) 2016/679 e nella Prassi di Riferimento UNI/PdR 66:2019:
1. Responsabile della protezione dei dati personali (DPO)
2. Manager Privacy
3. Valutatore Privacy
4. Specialista Privacy
La certificazione si applica alla persona fisica che ne fa richiesta; non è quindi applicabile ad aziende/organizzazioni.
2. GENERALITÀ
CEPAS, per lo svolgimento dell’attività di certificazione, opera, a propria scelta, come organismo di valutazione dei candidati oppure si avvale, a tale scopo, di enti esterni da essa selezionati qualificati ed approvati. Gli eventuali organismi di valutazione sono provvisti di locali, attrezzature, strumentazione e personale per lo svolgimento delle attività tenute sotto controllo da parte di CEPAS. Gli OdV ed i centri d’esame possono essere verificati da CEPAS anche senza preavviso e/o in incognito. Tale modalità è contrattualmente definita tra l’OdV centro d’esame e CEPAS.
CEPAS può approvare un numero illimitato di organismi di valutazione e di centri esame.
3. PROFILO DELLA FIGURA PROFESSIONALE
Per la descrizione delle quattro figure professionali, il presente schema fa riferimento all’attività professionale dei soggetti operanti nell’ambito del trattamento e della protezione dei dati personali, ossia la professione intellettuale che viene esercitata a diversi livelli di complessità e in diversi contesti organizzativi, pubblici e privati ( xxx.xx UNI 11697:2017 par. 4.2 e punti 5.1; 5.2; 5.3; 5.4):
a) Profilo professionale del Responsabile della protezione dei dati (Data protection officer) 5.1.
b) Profilo professionale del manager privacy 5.2
c) Profilo professionale dello specialista privacy 5.3
d) Profilo professionale del valutatore privacy 5.4
Per ciascuno dei profili professionali sono individuati i compiti, le conoscenze e le abilità, analizzati da CEPAS (con il supporto di almeno un Commissario d’esame) nelle verifiche preliminari della documentazione attraverso il CV, l’attestazione della formazione (formale e non formale), le referenze professionali prodotte dal candidato e successivamente, ad esito positivo, nell’esame di certificazione (xxx.xx Appendice A UNI 11697, UNI EN 16234-1 e UNI/PdR 66:2019)
3.1 IMPEGNI DI CEPAS
CEPAS concede libero accesso ai propri servizi ai candidati richiedenti, senza alcuna discriminazione di carattere finanziario o altre condizioni indebite. CEPAS riconosce l’importanza dell’imparzialità nella certificazione: per questo motivo svolge le proprie attività con obiettività, evitando eventuali conflitti d’interesse. In particolare, CEPAS si vincola a non utilizzare, come esaminatori per la valutazione del candidato, coloro che abbiano effettuato formazione allo stesso, sulle tematiche oggetto del presente schema. Tale vincolo è esteso anche agli esaminatori degli eventuali organismi di valutazione qualificati. Tutte le funzioni coinvolte nel processo di certificazione sono vincolate al rispetto del Codice Etico del gruppo Bureau Veritas, disponibile sul sito xxx.xxxxx.xx.
La certificazione è rilasciata a seguito della positiva valutazione di ciascun candidato basata sui risultati di test scritti e orali.
3.2 IMPEGNI DEL CANDIDATO
Il candidato, inviando a CEPAS la richiesta di adesione allo schema di Certificazione, ne accetta, sottoscrivendole, tutte le fasi del processo di valutazione, certificazione e registrazione, descritte in seguito.
Per ottenere e mantenere la certificazione, il richiedente deve rispettare tutti i requisiti delle normative di riferimento, dei requisiti aggiuntivi definiti da CEPAS e dagli eventuali organismi di accreditamento, nonché le prescrizioni del presente documento e di quelli in esso richiamati. I candidati sono, altresì, tenuti a rispettare le norme di comportamento al fine di tutelare la sicurezza delle persone e delle cose.
4. RIFERIMENTI
Tutti i riferimenti a Xxxxx, Norme e documenti CEPAS non datati richiamati nel presente documento si intendono nella loro ultima edizione vigente.
• Norma UNI XXX XX XXX/XXX 00000 “Requisiti generali per gli organismi che eseguono la certificazione delle persone”;
• Norma UNI 11697:2017 “Attività profess¡onali non regolamentate – Profili profess¡onali relativi al trattamento e alla protezione dei dati personali- Requisiti di conoscenza, abilità e competenza;
• UNI 11621-1 "Attività professionali non regolamentate – Profili professionali per l'lCT - Parte 1: Metodologia per la costruzione di profili professionali basati sul sistema e-CF";
• Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (Regolamento Privacy UE | GDPR);
• D.lgs 101/2018 – Adeguamento al Regolamento UE 2016/679;
• Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche;
• Direttiva 95/46/CE - relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati – Art 29 “gruppo per la tutela delle persone con riguardo al trattamento dei dati personali”;
• Prassi di Riferimento UNI/PdR 66:2019;
5. TERMINI E DEFINIZIONI
- Candidato: richiedente che possiede i prerequisiti specificati ed è stato ammesso al processo di certificazione.
- Certificato: Documento emesso da un organismo secondo le disposizioni della UNI EN ISO/IEC 17024, indicante che la persona nominata ha soddisfatto i requisiti di certificazione.
- Competenza: capacità di applicare conoscenze e abilità al fine di conseguire i risultati prestabiliti.
- Decision Maker: Persona interna alla struttura dell’Organismo di Certificazione (OdC), ovvero con un incarico “ad personam”, che non è stato membro della commissione esaminatrice e che non ha alcun conflitto di interesse né con i candidati alla certificazione professionale, né con le strutture di formazione ove tali candidati sono stati preparati per sostenere l’esame. Il Decision Maker ha la responsabilità di assumere la decisione tecnica sulla certificabilità del candidato, sulla base delle evidenze definite dall’Organismo di Certificazione e dei criteri indicati dalla presente prassi di riferimento. A fronte della valutazione del Decision Maker, la direzione dell’OdC si assume la responsabilità dell’emissione dello specifico certificato di conformità.
- Esame: attività che fanno parte della valutazione, che permettono di misurare la competenza di un candidato mediante uno o più mezzi quali prove scritte, orali, pratiche od osservazione diretta, come definiti nello schema di certificazione.
- Esaminatore: persona che ha la competenza per condurre un esame e, ove tale esame richieda un giudizio professionale del candidato, valutarne i risultati.
- Grandparent: Esaminatore qualificato in base ad una procedura interna dell’Organismo di Certificazione che possiede e attesta con evidenze documentali tutti i requisiti previsti dallo schema
- Imparzialità: Presenza di obiettività.
NOTA 1: Obiettività significa che non esistono conflitti di interesse o che questi sono stati risolti in modo da non influenzare negativamente le attività dell’Organismo di Certificazione.
NOTA 2 : Altri termini utili per trasmettere il concetto d’imparzialità sono: obiettività, indipendenza, assenza di conflitto di interessi, assenza di preconcetti, assenza di pregiudizi, neutralità, onestà, apertura mentale, equità, distacco, equilibrio.
- Processo di certificazione: Attività mediante le quali un Organismo di Certificazione stabilisce che una persona soddisfa i requisiti di certificazione. Tale processo comprende la valutazione della domanda presentata dal
candidato, la successiva valutazione del candidato e le decisioni relative alla certificazione, il rinnovo della certificazione e all’utilizzo dei certificati e dei loghi/marchi.
- Requisiti di certificazione: Insieme di requisiti specificati, comprendenti i requisiti dello schema da soddisfare al fine di rilasciare o mantenere la certificazione.
- Richiedente: Persona che ha presentato una domanda per essere ammesso al processo di certificazione.
- Schema di certificazione: Competenze ed altri requisiti, relativi a specifiche professioni o a categorie di persone specializzate aventi qualifiche o specifiche abilità.
- Strutture: centro di esame, o Organismo di Valutazione, qualificato dall’OdC nel quale si svolgono esami di certificazione sotto il controllo e secondo specifiche procedure dell’OdC).
- Valutazione: processo che permette di valutare se una persona possiede i requisiti dello schema di certificazione.
6. PROCESSO DI CERTIFICAZIONE
Il processo di certificazione come definito dalla UNI CEI EN ISO/IEC 17024 comprende l’insieme delle attività che l’Organismo di Certificazione mette in atto per verificare se il candidato soddisfa i requisiti di competenza, abilità e conoscenza richiesti.
6.1 RICHIESTA DI CERTIFICAZIONE e VERIFICHE PRELIMINARI
Possono accedere all’esame i candidati che siano in possesso di tutti i requisiti, previsti per ciascuna delle quattro figure professionali – xxx.xx UNI 11697:2017 Appendice B, prospetto B1 - e che abbiano dichiarato di non avere in corso altre richieste di certificazione per il medesimo profilo.
Il Candidato per effettuare la richiesta di ammissione all’esame di certificazione CEPAS deve evidenziare, attraverso la presentazione di idonea documentazione, di essere in possesso dei seguenti requisiti minimi:
Livello | Titolo di studio | Formazione Specifica (nota 1) | Esperienza lavorativa | Equipollenza |
Responsabile protezione dati | Laurea che includa discipline afferenti a conoscenze in ambito privacy, legali o tecnico/informatiche* | Xxxxx xx xxxxxx 00 ore su gestione privacy e sicurezza delle informazioni** | 6 anni in ambito privacy di cui 4 con incarichi manageriali*** | Se in possesso di laurea Magistrale, l’esperienza lavorativa si riduce a 4 anni di cui 3 in incarichi di livello manageriale. Se in possesso di diploma di scuola media superiore, minimo 8 anni di esperienza lavorativa in ambito privacy di cui almeno 5 anni in incarichi di livello manageriale. |
Manager privacy | Xxxxxx che includa discipline afferenti a conoscenze in ambito privacy, legali o tecnico/informatiche* | Xxxxx xx xxxxxx 00 ore su gestione privacy e sicurezza delle informazioni** | 6 anni in ambito privacy di cui 3 con incarichi manageriali*** | Se in possesso di laurea Magistrale, l’esperienza lavorativa si riduce a 4 anni di cui 2 in incarichi di livello manageriale. Se in possesso di diploma di scuola media superiore, minimo 8 anni di esperienza lavorativa in ambito privacy di cui almeno 4 anni in incarichi di livello manageriale. |
Specialista privacy | Diploma di scuola media superiore | Xxxxx xx xxxxxx 00 ore su gestione privacy e sicurezza delle informazioni** | 4 anni in ambito privacy | Se in possesso di laurea l’esperienza lavorativa minima in ambito privacy si riduce a 2 anni |
Valutatore privacy | Diploma di scuola media superiore | Xxxxx xx xxxxxx 00 ore su gestione privacy e sicurezza delle informazioni** | 6 anni in ambito privacy di cui 3 con incarichi di audit | Se in possesso di laurea l’esperienza lavorativa minima si riduce a 4 anni di cui 2 in incarichi di audit. Se in possesso di laurea Magistrale minimo 3 anni di esperienza lavorativa di cui 2 incarichi di audit |
* Un laureato con laurea non afferente alle conoscenze del professionista privacy, legali, o tecnico/informatiche è da considerarsi equiparato a un diplomato di scuola media superiore
** E’ ammissibile la riduzione delle ore di formazione richieste fino a un massimo del 10% (30% per il Valutatore Privacy) in caso di possesso di certificazioni professionali riconosciute come attinenti alle conoscenze richieste al professionista privacy in questione.
*** Gli incarichi di livello manageriale possono includere anche attività rilevante svolta nell’ambito di attività di consulenza o di prestazione d’opera condotta nell’ambito dell’esecuzione di ingaggi professionali.
Nota 1: Per quanto riguarda la formazione specifica (corso e durata), vale quanto indicato nell’Appendice B della norma e il numero di ore complessivo può essere raggiunto anche con più corsi di formazione, in aula o in modalità e-learning, e/o con la partecipazione a seminari o con l’effettuazione di docenza specifica. Non sono ammesse modalità alternative (come il “training on the job” o l’autoformazione).
Qualora i professionisti abbiano già seguito precedenti percorsi di formazione, non coincidenti con le indicazioni della norma UNI 11697, CEPAS effettuerà una comparazione analitica tra il percorso già seguito dal candidato alla certificazione e il percorso illustrato nella norma medesima, assumendosi le responsabilità relative.
L’Organismo di Certificazione, tramite la propria struttura tecnica, con il supporto di almeno un commissario d’esame, dovrà effettuare l’analisi dei curricula dei richiedenti l’accesso all’esame di certificazione per verificare la congruità delle informazioni riportate a fronte dei requisiti indicati nella domanda d’esame (informazioni inerenti il percorso professionale, di formazione, ecc.); inoltre devono essere verificati i documenti comprovanti le attività e i titoli indicati sul curriculum e richiesti, come allegati, dalla domanda di certificazione, di cui al successivo punto 6.3.
All’esito positivo di questa verifica, l’OdC comunica al richiedente il suo status di candidato all’esame e la data della prima sessione disponibile
6.2 CONTRATTO DI CERTIFICAZIONE
Il richiedente compilando in tutte le sue parti la richiesta di certificazione “MD08”, apportando la propria firma sul modulo d’iscrizione, ed inviandolo a CEPAS (o all’OdV) accetta le condizioni economiche e le condizioni generali del contratto e quelle previste dal presente schema, allegando quanto in esso richiesto.
Il contratto di certificazione ha durata quadriennale e comprende le attività necessarie per il mantenimento della certificazione - dettagliate al paragrafo 10 del presente schema.
Se, per qualsiasi motivo, la richiesta di certificazione non venga accolta, CEPAS ne comunica al richiedente le ragioni motivate.
7. PROCESSO DI VALUTAZIONE
La valutazione di idoneità del Candidato, ai fini del rilascio della certificazione CEPAS, avviene attraverso la sequenza, temporale e vincolante, di ciascuna delle seguenti fasi:
• valutazione della documentazione prodotta dal Candidato, per accertare il possesso dei requisiti richiesti dallo Schema di certificazione. Tra questa documentazione rientrano i tre elaborati che illustrano i lavori più significativi svolti, secondo il modello dell’Appendice A della UNI/PdR 66:2019 (rif. allegato 1/C del presente documento);
• esame di certificazione, eseguito dalla Commissione di Esame, come definito nel paragrafo 8 del presente documento;
• analisi e delibera della proposta di certificazione, eseguita nella fase di Certification Process review, comprensiva dei requisiti di ammissibilità all’esame;
• rilascio del certificato e iscrizione al Registro CEPAS.
Qualora l’esito di una qualsiasi delle suddette fasi sia negativo, viene interrotto il processo di valutazione e informato il Candidato. Per proseguire nell’iter di certificazione sarà necessario risolvere prima le carenze riscontrate, entro i tempi indicati da CEPAS.
8. PROCESSO DI ESAME
8.1 REQUISITI DI AMMISSIONE ALL’ESAME DI CERTIFICAZIONE
Sono ammessi a sostenere l’esame di certificazione tutti coloro che, avendo presentato richiesta attraverso il modulo “MD08” e documentato il possesso dei requisiti minimi richiesti, sono stati dichiarati idonei.
Il candidato in possesso dei requisiti che richieda la certificazione per più profili nella medesima sessione deve sostenere l’esame completo per il più “alto” dei profili richiesti e la classificazione dal più alto al più basso è:
a) Responsabile della protezione dei dati
b) Manager Privacy
c) Valutatore Privacy
d) Specialist Privacy
8.2 FINALITÀ DELL’ESAME
Le finalità dell'esame sono le valutazioni delle conoscenze e delle abilità pratiche del candidato.I Commissari sono
responsabili della valutazione delle prove d’esame del Candidato e, per questo, ne rispondono a CEPAS e all’OdV per tutte le attività di valutazione.
8.3 MODALITÀ DI SVOLGIMENTO DELL’ESAME
Le sessioni di esame sono pianificate e gestite, quando non sia CEPAS a farlo direttamente, dagli OdV approvati da CEPAS in accordo alla procedura “PG70”.
Il Candidato, per accedere alla prova d’esame, è tenuto a fornire tutta la documentazione attestante il posesso dei requisiti ( “MD08” e allegati richiamati) e pagare la quota prevista per l’esame.
La completezza della documentazione e la sua idoneità è valutata prima dell’esame dal Referente di Schema CEPAS o dal referente tecnico dell’OdV ( ove previsto)
L’esame si svolge in lingua italiana nelle località, nelle date e secondo il programma comunicati da CEPAS o dall’OdV ai candidati.
Prima dell’inizio delle prove d’esame, i candidati sono tenuti a:
- esibire un documento di identità valido;
- firmare il foglio presenze;
- presentare la ricevuta dell’avvenuto pagamento della quota prevista per la partecipazione all’esame.
L’esame scritto e la prova orale possono svolgersi nella stessa giornata o in tempi diversi, come da programma d’esame comunicato con anticipo al candidato.
Durante lo svolgimento dell’esame i due esaminatori devono essere contemporaneamente presenti; almeno uno dei due deve essere fisicamente in presenza del candidato, mentre l’altro potrà essere presente in contemporanea, ma “da remoto”, con l’uso di tecnologie IT. Non sono ammessi collegamenti solo telefonici. La valutazione dei candidati è eseguita congiuntamente da almeno due esaminatori che rilasciano un solo giudizio risultante dalla media delle proprie valutazioni.
8.4 ARGOMENTI D'ESAME E CRITERI DI VALUTAZIONE
Gli argomenti d’esame rientrano tra quelli indicati nell’Allegato 1/A, che fa riferimento ai punti della Norma UNI 11697. Di seguito i metodi di valutazione utilizzati per i vari profili.
Fasi dell’esame di certificazione
Prova scritta per la valutazione delle conoscenze
L’esame scritto consiste in una serie di domande chiuse a risposta multipla.
Le domande devono coprire gli elementi di conoscenza, previsti dalla norma UNI 11697, per lo specifico profilo.
Prova scritta su casi di studio
Al candidato vengono sottoposti casi di studio finalizzati a verificare l'attitudine, le abilità, le competenze e le conoscenze su questioni pratiche connesse al profilo professionale oggetto di certificazione.
Il caso di studio deve porre al candidato una situazione reale operativa a cui il candidato deve rispondere nel modo più corretto con la trattazione del caso.
Per il superamento di ogni prova tipo "caso di studio", composta da più quesiti, il valore del punteggio complessivo attribuito è quello della media dei punteggi dei diversi casi di studio, con il vincolo di aver ottenuto almeno 5/10 per la peggiore delle risposte. Il superamento della prova, si ha con l’ottenimento di un voto medio di 70/100.
Risposte errate
Le risposte errate fornite dai candidati alle domande delle prove scritte non comporteranno alcuna penalizzazione, ma tali risposte dovranno essere oggetto di approfondimento nell’esame orale, con un tempo di almeno 3 minuti per ogni domanda da approfondire.
Esame orale
L’esame orale inizia con l’approfondimento delle risposte errate della prova scritta, ove presenti, e comprende:
- simulazioni di situazioni reali operative per valutare, oltre alle abilità e alle competenze tecniche, anche quelle personali (per esempio, competenze relazionali o comportamentali). Per simulazione si intende una riproduzione, anche parziale, di una situazione nella quale il candidato deve immedesimarsi, valutando tutti gli aspetti pertinenti
al caso, al fine di esprimere un giudizio professionale su quello che dovrebbe essere il comportamento o la valutazione tecnica ritenuti più adeguati nella situazione rappresentata. Gli aspetti tecnici sono quelli relativi al contesto del trattamento; gli aspetti ambientali sono quelli relativi alle pressioni di varia natura che possono influenzare le decisioni o il comportamento della figura professionale della quale il candidato chiede la certificazione.
NOTA: La “simulazione” sopra richiamata è da intendersi come l’applicazione operativa in sede di esame della fase di “role play” richiesta dalla norma UNI 11697 al punto 6;
- analisi e valutazione di uno dei tre elaborati presentati in fase di domanda di certificazione dal candidato e frutto della propria esperienza lavorativa. Alla commissione deve essere presentato un elaborato redatto come da allegato 1/C, relativo a una situazione lavorativa, considerata significativa dal candidato a fronte della specifica figura professionale richiesta;
- domande su tematiche complementari a quelle del test a risposta multipla, che siano rappresentative delle diverse aree di conoscenza (relazionali, giuridiche e tecniche) e di come questa è declinata nelle specifiche competenze.
Per l’approfondimento di ciascuna domanda la commissione esaminatrice deve avere a disposizione mediamente 3 minuti con il vincolo di non superare i 60 minuti (il tempo aggiuntivo di esame destinato all’approfondimento delle domande errate nelle sessioni scritte deve essere di 3 minuti per il numero di domande errate). Ove, in tale fase, dovessero emergere significative carenze teoriche o di competenza, l’esame deve essere considerato non superato.
Durante l’esame orale si deve prevedere l’approfondimento, per tutti i candidati, della conoscenza dei concetti di “Privacy by Design” e “Privacy by Default”, delle tecniche di anonimizzazione, pseudonimizzazione, DPIA, il concetto di trattamento dei dati personali e i relativi fattori di rischio.
L’approfondimento delle tematiche obbligatorie può essere alleviato, ove tali argomenti siano già stati oggetto di domande specifiche nella altre fasi di esame e il Candidato abbia dato risposte soddisfacenti.
Metodi di valutazione dei profili professionali
Responsabile della protezione dei dati personali
• Una prova scritta composta da almeno 40 domande a risposta multipla con 4 risposte di cui 1 sola corretta, della durata massima di 80 minuti. Per ogni risposta corretta viene attribuito 1 punto e per ogni risposta errata zero punti
• Esame scritto su almeno 3 casi di studio della durata massima di 30 minuti
• Esame orale dalla durata minima di 40 minuti (compresa la simulazione di situazioni reali operative, della durata di circa 10 minuti, e l’analisi e la valutazione di lavori effettuati)
Manager Privacy
• Una prova scritta composta da almeno 35 domande a risposta multipla con 4 risposte di cui 1 sola corretta, della durata massima di 70 minuti. Per ogni risposta corretta viene attribuito 1 punto e 0 per quella errata
• Esame scritto su almeno 3 casi di studio della durata massima di 30 minuti
• Esame orale dalla durata minima di 40 minuti (compresa la simulazione di situazioni reali operative, della durata di circa 10 minuti, e l’analisi e la valutazione di lavori effettuati)
Valutatore Privacy
• Una prova scritta composta da almeno 35 domande a risposta multipla con 4 risposte di cui 1 sola corretta, della durata massima di 70 minuti. Per ogni risposta corretta viene attribuito 1 punto e 0 per quella errata
• Esame scritto su almeno 2 casi di studio della durata massima di 20 minuti
• Esame orale dalla durata minima di 30 minuti (compresa la simulazione di situazioni reali operative, della durata di circa 10 minuti, e l’analisi e la valutazione di lavori effettuati)
Nell’esame orale, il candidato deve dimostrare di avere competenza specifica per la predisposizione di piani di audit specifici per la fattispecie oggetto di valutazione, quindi di avere conoscenza e competenza anche nell’ambito del campionamento necessario a garantire la conformità ai requisiti del GDPR
Specialista privacy
• Una prova scritta composta da almeno 35 domande a risposta multipla almeno 35 domande a risposta multipla con 4 risposte di cui 1 sola corretta, della durata massima di 70 minuti. Per ogni risposta corretta viene attribuito 1 punto e 0 per quella errata
• Esame scritto su almeno 2 casi di studio della durata massima di 20 minuti
• Esame orale dalla durata minima di 30 minuti (compresa la simulazione di situazioni reali operative, della durata di circa 10 minuti, e l’analisi e la valutazione di lavori effettuati)
8.5 REGOLE GENERALI
Durante lo svolgimento delle prove scritte d’esame i candidati possono consultare i seguenti documenti forniti dall’OdC o dall’Organismo di Valutazione:
- Norma UNI 11697:2017;
- Regolamento (UE) 679/2016 e s.m.i.;
- D.Lgs. 196/2003 per come integrato dal D.Lgs. 101/2018;
- Raccolta non commentata dei provvedimenti del Garante Privacy
Non possono usare telefoni cellulari, né scambiare informazioni con altri candidati. Il mancato rispetto di tali prescrizioni è causa di interruzione dell’esame stesso.
8.6 ESAMINATORI
L’esame è condotto da esaminatori qualificati, secondo i criteri espressi nell’Allegato 1/B, da CEPAS o da un suo OdV approvato. Essi sono tenuti:
• a mantenere la riservatezza sulle prove di esame
• ad attenersi a criteri di oggettività nella valutazione
• a comunicare eventuali legami e rapporti e interessi in conflitto che potrebbero compromettere la loro imparzialità e la riservatezza nello svolgimento delle loro funzioni
• al rispetto del presente schema.
La Commissione d’esame è costituita da 2 esaminatori in modo da coprire tutte le competenze richieste per la valutazione dei quattro diversi profili professionali.
Qualora l’esame sia svolto da un OdV, la Commissione d’esame può essere supervisionata, anche senza preavviso, dal personale CEPAS debitamente autorizzato.
8.7 PRESENZA DI OSSERVATORI
Alle sessioni di esame CEPAS può prevedere la presenza di osservatori propri, degli enti di accreditamento e/o di eventuali autorità competenti.
8.8 CRITERI PER IL SUPERAMENTO DELL’ESAME
Per superare l’esame, il candidato deve ottenere almeno un punteggio del 70% nelle singole prove, rispetto al punteggio massimo previsto per ogni prova.
I candidati che non superano la prova scritta dell’esame, possono ripeterlo effettuando il pagamento della sola tariffa corrispondente allo svolgimento della prova.
Qualora il candidato non abbia concluso l’esame con esito positivo, le eventuali singole prove superate rimangono valide per 12 mesi e l’esame può essere nuovamente sostenuto non prima di tre mesi dalla data della prova di esame non superata. Nei mesi intercorrenti tra l’esame non superato e la sua ripetizione, il candidato non può presentare domanda di certificazione ad altro Organismo di Certificazione, pena l’invalidazione dello stesso processo di certificazione.
8.9 CRITERI GENERALI DELL’ESAME PER L’ESTENSIONE AI DIVERSI PROFILI
È possibile sostenere l’esame di certificazione per più profili in una medesima sessione o in più sessioni.
Il candidato che - in possesso dei requisiti di accesso previsti dalla norma UNI 11697 - richieda la certificazione nella medesima sessione per più profili, sostiene l’esame completo per il profilo classificato come più complesso e sostiene prove di esame ridotte, per ciascuno dei profili aggiuntivi, come di seguito descritto:
• 10 domande a risposta multipla per ogni profilo aggiuntivo;
• un esame scritto su 1 “caso di studio” per ogni profilo aggiuntivo;
• minimo 15 minuti di esame orale per ogni profilo aggiuntivo.
Il candidato, già certificato per almeno un profilo, che richieda, in una sessione di esame successiva, la certificazione di profili aggiuntivi, diversi dal Responsabile della protezione dei dati personali (DPO), sostiene prove di esame ridotte, per ciascuno dei profili aggiuntivi, come di seguito descritto:
• 20 domande a risposta multipla per ogni profilo aggiuntivo;
• un esame scritto su 1 “caso di studio” per ogni profilo aggiuntivo;
• esame orale della durata minima di 20 minuti per ogni profilo aggiuntivo.
Il candidato, già certificato per almeno un profilo, che richieda, in una sessione di esame successiva, la certificazione per il profilo di Responsabile della protezione dei dati personali (DPO), sostiene le seguenti prove di esame:
• 30 domande a risposta multipla;
• un esame scritto su 2 “casi di studio”;
• esame orale della durata minima di 30 minuti.
NOTA: La classificazione dei profili per complessità, è la seguente:
- Responsabile della protezione dei dati personali (DPO);
- Manager Privacy;
- Valutatore Privacy;
- Specialista Privacy.
Tale classificazione, che non intende creare una gerarchia degli stessi, è basata sui compiti, attività nonché abilità e conoscenze previste dalla norma UNI 11697, ed è funzionale a dare un’indicazione operativa all’OdC in merito al livello di completezza delle competenze in ambito GDPR.
9. RILASCIO DELLA CERTIFICAZIONE
Il Decision Maker ha la responsabilità di assumere la decisione tecnica sulla certificabilità del candidato, sulla base delle evidenze definite dall’Organismo di Certificazione e dei criteri indicati dalla presente prassi di riferimento. A fronte della valutazione del Decision Maker, la direzione dell’OdC si assume la responsabilità dell’emissione dello specifico certificato di conformità.
Al Candidato che ha superato positivamente l’esame, in possesso di tutti i requisiti richiesti e in regola con gli aspetti amministrativi, CEPAS rilascia la certificazione.
La decisione, presa sulla base dei criteri definiti nel presente schema, spetta al Decision Maker che deve possedere almeno le seguenti competenze: conoscenza dei processi di delibera dell’OdC, conoscenza generale della norma UNI 11697.
A fronte della valutazione del Decision Maker, la direzione dell’OdC si assume la responsabilità dell’emissione del certificato di conformità.
Il certificato riporta i seguenti dati:
- nome dell’organismo di certificazione
- nome, cognome, data e luogo di nascita della persona certificata
- numero del certificato
- schema di certificazione e/o norma di riferimento
- data di inizio validità
- data di scadenza
- firma del responsabile dell’OdC autorizzato.
Il certificato è inviato all’indirizzo indicato nel modulo “MD08”, alla voce “dati di fatturazione”.
9.1 ISCRIZIONE AL REGISTRO E COMUNICAZIONE
La certificazione può essere comunicata dalla persona certificata sulla propria carta stampata personale o nel sito personale con il solo riferimento al numero del certificato accompagnato dal nome “CEPAS”.
L’uso del marchio CEPAS non è consentito.
9.2 INTEGRITA’ DEI DATI E PRIVACY
CEPAS, in qualità di titolare, garantisce che il trattamento dei dati dei Candidati alla certificazione avvenga nel rispetto del Regolamento UE 2016/679 e del DLgs 196/2003 modificato da DLgs 101/2018.
I documenti relativi all’attività di certificazione sono conservati con la massima cura da CEPAS e dagli organismi di valutazione approvati. Le informazioni ottenute dal personale operante per conto di CEPAS, compreso l’organo deliberante, sono soggette al vincolo di riservatezza.
10. MANTENIMENTO DELLA CERTIFICAZIONE (SORVEGLIANZA)
La validità della certificazione durante il periodo contrattuale dei 4 anni (decorrenti dalla data del rilascio del certificato) è soggetta all’esito positivo delle attività di sorveglianza annuale, svolte da CEPAS.
La verifica documentale può essere effettuata in assenza del candidato e riguarda i seguenti documenti:
1) Almeno un incarico/attività/contratto attraverso il quale si dimostri di aver operato con continuità nell’ambito dei compiti richiamati dalla norma UNI 11697:2017;
2) La dimostrazione tramite evidenze (attestati/contratti/registri partecipazione e similari) di partecipazione ad attività di formazione/convegni/docenze/relazioni/gruppo di lavoro normativo o tecnico, durante l’anno, finalizzate al mantenimento delle competenze specifiche per la certificazione posseduta, per almeno 16 ore/anno per il DPO, e 8 ore per gli altri 3 profili;
3) Una ”autodichiarazione” ai sensi degli artt. 46 e 76 del D.P.R. 445/2000 contenente:
a) le attività svolte di cui al precedente punto 1), rispetto ai punti 4 e 5 della norma UNI 11697, specifiche nel campo della protezione dati, durante l’anno;
b) l’elenco di cui al precedente punto 2), dei corsi di aggiornamento, partecipazione a convegni, seminari, relazioni, docenze, inerenti gli argomenti relativi nel settore della privacy come declinato nelle tabelle riepilogative per profilo;
c) la presenza di eventuali reclami e/o contenziosi relativi all’attività certificata;
d) il pagamento regolare delle quote annuali dovute all’Organismo di Certificazione.
Nel caso in cui siano presenti reclami o contenziosi legali, CEPAS valuta l’adeguatezza della relativa gestione, sulla base della tempestività e congruenza delle azioni intraprese dal professionista. Dopo la risposta iniziale, da fornire entro 10 giorni lavorativi al reclamante, il professionista provvede ad adottare le misure necessarie (compreso il mancato seguito a reclami ritenuti non applicabili) entro 6 settimane, dando la necessaria risposta al reclamante. Di tale processo (ricezione del reclamo, prima risposta, analisi e azione discendente) il professionista deve tenere adeguata tracciabilità documentale.
L’attività di sorveglianza può avere come esito il mantenimento, la sospensione o la revoca della certificazione a fronte della valutazione dell’OdC in merito alla completezza, congruità della documentazione presentata nonché gestione di eventuali reclami e/o contenziosi legali.
11. RINNOVO DELLA CERTIFICAZIONE
Il certificato è rinnovabile prima della sua scadenza in seguito a specifica richiesta e a un nuovo accordo contrattuale. Il rinnovo prevede, oltre alla raccolta, verifica e valutazione delle evidenze già previste nella sorveglianza annuale:
- il mantenimento delle competenze previste dal punto 5 della Norma 11697 rispetto al profilo certiificato;
- il superamento di una prova scritta composta da domande a risposta multipla strutturata come la prima prova scritta di certificazione
Nel caso in cui la persona certificata non superi la prova scritta del rinnovo, può ripeterla in una sessione di esame successiva (entro la scadenza del certificato) con l’aggiunta di una seconda prova scritta sui casi di studio.
In caso di esito negativo anche del secondo tentativo, la persona certificata dovrà effettuare l’esame completo come per la prima certificazione, relativo al suo profilo.
Tutte le prove previste per il rinnovo hanno i medesimi criteri di superamento dell’esame di certificazione. Nel frattempo, se scaduto il periodo di validità del certificato, CEPAS provvederà a revocarlo.
I criteri di svolgimento e di superamento delle prove di rinnovo sono uguali a quelli dell’esame di certificazione. L’iter di rinnovo si deve concludere entro la scadenza del certificato in corso.
12. SOSPENSIONE, RITIRO E ANNULLAMENTO DELLA CERTIFICAZIONE
CEPAS ha il diritto di sospendere, ritirare o annullare la certificazione in qualsiasi momento della durata del contratto con notifica tramite lettera raccomandata con ricevuta di ritorno, o mezzo equivalente, verificandosi una o più delle condizioni riportate di seguito.
A seguito della notifica del provvedimento di sospensione, di ritiro o di annullamento della certificazione, la persona certificata deve sospendere l’utilizzo del certificato, restituendolo a CEPAS.
12.1 CONDIZIONI PER LA SOSPENSIONE DELLA CERTIFICAZIONE
La certificazione può essere sospesa da CEPAS per un periodo massimo di 6 mesi, verificandosi una o più di queste condizioni:
- in violazione di quanto previsto al par. 10;
- in presenza di gravi carenze nell’attività svolta dalla persona certificata, in seguito a reclami, azioni legali ed altre evidenze oggettive;
- se la persona certificata fa uso scorretto o ingannevole della certificazione CEPAS;
- se la persona certificata è inadempiente rispetto ai suoi obblighi contrattuali di tipo economico assunti per l’iscrizione, lo svolgimento degli esami e il mantenimento del certificato;
- qualora la persona certificata richieda la sospensione.
12.2 CONDIZIONI PER LA REVOCA DELLA CERTIFICAZIONE
La certificazione può essere revocata da CEPAS in questi casi:
a) qualora persistano le situazioni citate nel paragrafo precedente nonostante l’attuazione del provvedimento di sospensione.
b) qualora la gravità del comportamento della persona certificata, suffragata da evidenze oggettive inconfutabili, renda necessario tutelare l’immagine CEPAS con provvedimenti di tipo drastico ed urgente, ricorrendo contestualmente alle vie legali nei confronti della persona certificata.
La certificazione può inoltre essere annullata da CEPAS nel caso in cui la persona certificata faccia volontaria richiesta di interrompere il rapporto contrattuale in corso.
12.3 PROCEDURA DI SOSPENSIONE, RITIRO E ANNULLAMENTO
CEPAS notifica alla persona certificata le ragioni del provvedimento di sospensione, ritiro o annullamento della certificazione, definendo se applicabile le azioni necessarie a riattivare il certificato e indicano termini e condizioni per l’utilizzo della certificazione.
Il ritiro e l’annullamento della certificazione comportano la rescissione del relativo contratto con la persona in questione e l’obbligo per quest’ultima di restituire a CEPAS il proprio certificato di conformità, cessando nel contempo ogni riferimento ad esso.
12.4 DIRITTI E OBBLIGHI DELLA PERSONA CERTIFICATA
La persona certificata può appellarsi ai provvedimenti di sospensione e revoca della certificazione in accordo a quanto stabilito dalle proprie procedure consultabili sul sito xxx.xxxxx.xx.
Il ritiro e l’annullamento della certificazione comportano la rescissione del relativo contratto con la persona in questione e l’obbligo per quest’ultima di smettere i riferimenti alla certificazione CEPAS, cessando nel contempo ogni riferimento ad esso.
La persona certificata concede a CEPAS il diritto di monitorare la propria attività anche con breve preavviso.
13. RECLAMI E RICORSI
CEPAS tratta i reclami e i ricorsi sulle proprie decisioni in merito alla certificazione, in accordo agli art. 4 e 5 del Regolamento Generale (RG01) pubblicato sul sito xxx.xxxxx.xx che prevedono :
• l’obbligo di registrare e trattare ciascun reclamo o ricorso, confermando al reclamante o ricorrente il ricevimento dello stesso entro tempi stabili,
• l’avvio di un’istruttoria specifica
• la comunicazione della decisione finale al reclamante o ricorrente
• l’adozione, se necessaria, di ogni azione correttiva nel caso il ricorso o il reclamo abbia segnalato una carenza da parte di CEPAS.
Nel caso di reclamo relativo a una persona certificata, la decisione finale può prevedere l’avvio di opportune verifiche presso il cliente. Gli esiti di tali verifiche sono comunicati al reclamante, nel rispetto dei vincoli di riservatezza.
In caso di ricorsi, i costi relativi al ricorso sono a carico di CEPAS se questo è accolto e del ricorrente se il ricorso è respinto.
Per qualunque controversia fra una parte interessata e CEPAS che non risulti risolta con le attività descritte nei casi precedenti (reclami e ricorsi) si deve fare ricorso al Foro competente di Milano.
14. TRASFERIMENTO DEL CERTIFICATO
Il trasferimento del certificato, tra OdC accreditati, è possibile in qualsiasi momento durante la validità del certificato, presentando all'OdC subentrante una richiesta, allegando il certificato in corso di validità, e sostenendo l’esame orale con le stesse modalità previste per la certificazione. La persona certificata deve presentare a CEPAS anche i documenti applicabili per la sorveglianza e fornire l'evidenza di chiusura di eventuali pendenze (economiche e tecniche) eventualmente aperte dall’Organismo di provenienza nei suoi confronti. Al completamento con esito positivo di questa istruttoria, il certificato emesso manterrà la scadenza quadriennale di quello precedente.
15. REGOLAMENTO GENERALE PER IL RILASCIO E IL MANTENIMENTO DELLA CERTIFICAZIONE /QUALIFICA DELLE FIGURE PROFESSIONALI
16. CODICE DEONTOLOGICO (CD01)
Le persone certificate e/o in iter di certificazione si impegnano a rispettare il Codice deontologico CEPAS (CD01) pubblicato sul sito xxx.xxxxx.xx.
17. PRESCRIZIONI PER L’USO DEL MARCHIO CEPAS
La certificazione può essere comunicata dalla persona certificata sulla propria carta stampata personale o nel sito personale con il solo riferimento al numero del certificato accompagnato dal nome “CEPAS. L’uso del marchio CEPAS non è consentito.
Per le altre condizioni che le persone certificate e/o in iter di certificazione si impegnano a rispettare si rimanda al documento “Prescrizioni per l’uso del certificato e marchio CEPAS” (MC01) pubblicato sul sito xxx.xxxxx.xx
ALLEGATO 1/A
ARGOMENTI d’esame |
CONTENUTI DELL'ESAME I contenuti della parte scritta dell’esame dovranno essere ricompresi tra quelli indicati nell’Appendice A prospetto A.2 della Norma UNI 11697. |
ALLEGATO 1/B PROFILO DEI COMMISSARI D’ESAME – xxx.xx UNI/PdR66:2019
La Commissione esaminatrice deve essere composta da almeno due membri e possedere, nel suo insieme, I seguenti
requisiti:
a) la conoscenza delle regole e criteri definiti dall’Organismo di Certificazione per l’esame di certificazione, che devono essere coerenti con quanto richiamato dalla UNI XXX XX XXX/XXX 00000;
b) il possesso della certificazione, sotto accreditamento, del profilo della norma UNI 11697, come riportato nella seguente tabella:
TABELLA DI CORRELAZIONE TRA COMPETENZE COMMISSARI E CANDIDATI | |
Certificazione del Commissario | Candidatura |
DPO | DPO, Manager, Specialista |
Manager | Manager, Specialista |
Valutatore | Valutatore, Specialista |
Specialista | = |
c) competenza, maturata a seguito di esperienze lavorative di almeno 8 anni, in ambito giuridico (es. avvocato, magistrato, giurista) con comprovata esperienza nell’ambito del trattamento e protezione dei dati personali e in materie attinenti la sicurezza delle informazioni con comprovata esperienza nell’ambito della protezione dei dati personali.
Per i primi tre anni di operatività, in sostituzione del membro della commissione esaminatrice in possesso di una certificazione sotto accreditamento nello stesso profilo oggetto di valutazione, l’Organismo di Certificazione può servirsi di Grandparent che posseggano i requisiti di cui ai precedenti punti a) e c).
I membri delle commissioni esaminatrici non possono essere stati docenti nei corsi di formazione specifica dei candidati (nel complesso del corso delle 80 ore, o per singoli moduli) salvo adottare specifiche misure di mitigazione dello specifico rischio per l’imparzialità, come, a titolo di esempio, la presenza in commissione di un ulteriore esaminatore. I Decision Maker non possono essere stati membri della commissione esaminatrice, nè docenti nei corsi di formazione specifica dei candidati.
La composizione delle commissioni esaminatrici è una specifica responsabilità dei singoli Organismi di Certificazione.
ALLEGATO 1/C
Fac simile per la presentazione delle esperienze lavorative – xxx.xx UNI/PdR66:2019 Appendice A.2 |
Esperienza lavorativa da discutere in sede durante l’ esame orale: Profilo richiesto □ DPO □ MANAGER □ SPECIALISTA □ VALUTATORE Periodo di riferimento: data di avvio ( / / ) data di termine ( / / ) Settore di attività: ………………………………………………………………........................... Oggetto della consulenza/attività gestita dal candidato: ……………………………………………………………………………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………………………………………………………………………………… Denominazione/breve descrizione/obiettivo/i del progetto: ……………………………………………………………………………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………………………………………………………………………………… ……………………………………………………………………………..……………………………………………………………………………………………………… ……………………………………………………………………………………………………………………………………………………………………………………… Modalità adottate dal candidato per la gestione dell’attività sopra descritta: ………………………………………………………………………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………………………………………………………………… ………………………………………………………………………..……………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………………………………………………………………… Descrizione di maggior dettaglio che comprenda le attività, metodi e/o strumenti utilizzati dal candidato, i principali documenti e risultati del progetto, le criticità riscontrate, le soluzioni: ………………………………………………………………………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………………………………………………………………… ………………………………………………………………………..……………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………………………………………………………………………… ……………………………………………………………………………………………………………………………………………… |