Lavorare nella privacy: studio e certificazioni
Una panoramica sulle conoscenze e certificazioni più rilevanti per iniziare a lavorare nel settore privacy.
Prima di continuare, lascia un like! E poi, se vorrai, fammi sapere cosa ne pensi di questo articolo nei commenti. - Matte
In questo articolo ti spiegherò quali sono le conoscenze e le competenze più utili e ricercate per lavorare nel settore della privacy. Vedremo insieme quali sono le normative e gli standard di settore più importanti, da studiare e conoscere, e quali sono i tre percorsi che potresti intraprendere per iniziare lo studio e la certificazione delle tue conoscenze.
Ti consiglio anche di leggere:
Il settore della privacy (o protezione dei dati, per i puristi) è molto variegato, ma alla base sussistono le stesse esigenze dettate dalla normativa vigente nei vari paesi del mondo.
Lavorare nella privacy significa avere a che fare costantemente con temi di Governance, Risk e Compliance (GRC), quindi significa prima di tutto conoscere molto bene le normative rilevanti e il modo in cui queste impattano sull’operatività di aziende e pubbliche amministrazioni.
Sebbene però aziende e pubbliche amministrazioni siano soggette alle stesse leggi sulla privacy, le implicazioni sono spesso nella pratica molto diverse. Il che ci porta al secondo punto: essere in grado di applicare i requisiti normativi nel contesto concreto.
Conoscere gli articoli di legge non è quindi sufficiente. Oltre a saper applicare i principi normativi, lavorare nella privacy significa anche avere ottime conoscenze delle best practices, degli standard internazionali rilevanti e delle linee guida e interpretazioni delle Autorità di settore (come il Garante Privacy o lo European Data Protection Board).
Leggi, standard, linee guida, provvedimenti
Voglio cercare di essere il più chiaro possibile, soprattutto perché questi contenuti sono indirizzati a persone che vogliono iniziare una carriera in questi settori, ma che ancora non ne sanno nulla.
Nel campo della privacy, così come in quello della cybersecurity (tranquilli, arriveranno indicazioni anche per questo), ci sono diverse fonti che determinano le esigenze delle aziende e degli enti pubblici, e quindi anche la relativa domanda di professionisti competenti in questi settori.
Vediamo quali sono queste fonti:
Normative sovranazionali: questi sono gli atti normativi di cui bisogna tenere più in considerazione, poiché sono gerarchicamente superiori ad atti normativi nazionali. Vale per l’Unione Europea, così come per gli Stati Uniti o la Cina. In UE abbiamo ad esempio il GDPR (poi ti spiego meglio); negli Stati Uniti la HIPAA; in Cina la PIPL.
Normative nazionali: altri atti di legge con rilevanza nazionale, che spesso ratificano e dettagliano quanto disposto con la normativa sovranazionale. In Italia c’è ad esempio il Codice Privacy; in Germania il BDSG (Bundesdatenschutzgesetz); in California il CCPA (California Privacy Consumer Act), e così via.
Standard internazionali: gli standard internazionali sono linee guida e requisiti riconosciuti a livello globale che aiutano le organizzazioni a migliorare la qualità dei loro processi e a gestire specifici aspetti delle loro attività. Spesso questi standard sono anche funzionali a rispettare i requisiti previsti dalle varie normative. La loro applicazione è facoltativa, e le organizzazioni che intendono certificarsi devono passare delle verifiche (audit) periodiche per assicurare che tutti i requisiti siano rispettati.
Linee guida, provvedimenti delle Autorità e sentenze: sebbene le linee guida ed i provvedimenti delle Autorità non abbiano forza di legge, hanno comunque un grande impatto nel settore. Sono infatti queste Autorità che forniscono l’interpretazione delle leggi e che possono anche emanare atti d’indirizzo che poi saranno tenuti in considerazione nel verificare il rispetto della normativa da parte di aziende ed enti pubblici.
Le normative più rilevanti
Avendo compreso quali sono le fonti primarie che plasmano il settore, è possibile adesso capire anche cosa studiare e approfondire per acquisire le conoscenze necessarie a lavorare con la privacy.
Il General Data Protection Regulation (UE)
Il GDPR è la principale normativa sovranazionale dell’Unione Europea. È attualmente la fonte primaria del settore privacy. Stabilisce un quadro legale uniforme per la protezione dei dati personali all'interno dell'Unione Europea e si applica allo stesso modo in tutti i paesi membri.
Questo regolamento si applica a tutte le organizzazioni che trattano i dati personali dei cittadini dell'UE, indipendentemente dal luogo in cui si trovano tali organizzazioni (anche se stabilite fuori dall’UE).
Non è una norma eccessivamente complessa, ma non essendo prescrittiva ha molti aspetti di principio che necessitano di applicazione pratica. La legge non dice alle aziende *cosa* fare, ma solo qual è il risultato atteso. Pertanto, le aziende che vogliono rispettare il GDPR, sono tenute a implementare al loro interno dei veri e propri sistemi di gestione che tengano conto del contesto, dei rischi e della natura del trattamento.
La Direttiva 2016/680 (UE)
La sorella minore del GDPR. Uguale in quasi tutto, salvo che per l’ambito di applicazione. La direttiva, recepita anche dall’Italia, si applica all’ambito del trattamento di dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.
La Direttiva ePrivacy (UE)
La direttiva ePrivacy è vecchissima. Risale al 2002, ma ancora oggi regola la protezione dei dati nel settore delle comunicazioni elettroniche. È complementare al GDPR e si applica a tutte le forme di comunicazione elettronica, comprese le e-mail, i messaggi di testo, le chiamate telefoniche e i servizi di messaggistica istantanea.
Codice Privacy (Italia)
Il Codice Privacy italiano recepisce il GDPR e la Direttiva ePrivacy, oltre a disciplinare in modo specifico alcuni aspetti, come il trattamento di dati realizzato dagli enti pubblici e le relative basi giuridiche. È un testo da conoscere per chiunque lavori nel settore pubblico, delle telecomunicazioni e/o abbia a che fare con call center. Non è rilevante quanto il GDPR nei processi interni di compliance quanto il GDPR.
Federal Act on Data Protection (Svizzera) e legge Sanmarinese 2018, n. 171
Sia Svizzera che Repubblica di San Marino sono gli stati al di fuori dell’Unione Europea più vicini all’Italia, e con cui l’Italia ha molti rapporti commerciali. Recentemente si sono dotate di nuove leggi sulla protezione dei dati personali, analoghe al GDPR. Salvo lavorare direttamente con la Svizzera o con San Marino non è fondamentale approfondirle, ma è opportuno almeno esaminarne i tratti salienti.
Le linee guida delle Autorità per la protezione dei dati
Non mi è possibile qui indicare tutte le linee guida emesse dalle varie autorità europee, perché sono davvero tantissime. Tuttavia posso indicarti quali sono le autorità da tenere in considerazione e alcuni spunti da studiare durante il tuo percorso:
Garante Privacy (GPDP)
L’Autorità italiana per la protezione dei dati. Competente nel sorvegliare il rispetto della legge e nell’emanare provvedimenti sanzionatori e di indirizzo. Il sito web non è particolarmente ben fatto, ma è il luogo in cui trovare gli ultimi indirizzi e linee guida. L’ultimo, che ha fatto molto discutere, è quello sulla conservazione dei metadati della posta elettronica aziendale.
European Data Protection Board (EDPB)
Non è un’Autorità di supervisione, ma il Comitato composto da tutti i Garanti. Prima del GDPR prendeva il nome di “Article 29 Working Party”. A questo ente spetta il compito di emanare interpretazioni e linee guida sulla normativa europea, e molto spesso sono proprio queste a guidare il lavoro dei professionisti e delle autorità locali. Fondamentale quindi conoscere i loro indirizzi. Dal loro sito web è possibile accedere a tutte le linee guida emesse nel corso degli anni. Consigliate le linee guida per la definizione dei ruoli di “data controller” e “data processor” nel contesto del trattamento di dati, un fattore di valutazione con cui molti fanno fatica agli inizi.
European Union Agency for Cybersecurity (ENISA)
L’ENISA è l’autorità europea d’indirizzo per la cybersicurezza. Tra i vari compiti, anche questa autorità emette spesso delle linee guida tecniche essenziali per chi lavora nella privacy e cybersecurity. Un esempio, le loro linee guida per la valutazione della gravità di una violazione di dati personali, elemento fondamentale del GDPR.
Gli standard internazionali più rilevanti
Per quanto riguarda invece gli standard internazionali, ce ne sono due che possono potenziare le tue competenze nel settore privacy e dare un ottimo boost al tuo curriculum:
ISO 27001:2022
ISO 27001 è uno standard per l’implementazione di un Sistema di Gestione della Sicurezza delle Informazioni. Fornisce un framework per proteggere le informazioni all'interno di un'organizzazione, garantendo che siano sicure, riservate, integre e disponibili quando necessario.
La ISO 27001 È uno standard “tecnico” che non si limita soltanto ai dati personali (lo scopo è proteggere ogni informazione) ed è molto incentrata con la sicurezza delle informazioni, intesa come protezione della riservatezza, integrità e disponibilità.
Adottare uno standard 27001 può aiutare significativamente le organizzazioni anche a rispettare il GDPR, che prevede anche requisiti per la sicurezza dei dati. In quanto sistema di gestione (processi, politiche e procedure), conoscere la metodologia di applicazione di questo standard può aiutare molto un consulente o un dipendente chiamato a gestire un sistema interno per la privacy.
ISO 27701:2019
ISO 27701 è un’estensione dello standard ISO 27001, per l’implementazione di un Sistema di Gestione delle Informazioni sulla Privacy. In quanto estensione, può essere applicato in un’azienda solo dopo, o contestualmente, alla ISO 27001.
Questo fornisce un framework per assicurare il rispetto dei requisiti previsti dalle principali normative privacy, come il GDPR. Insieme, gli standard ISO 27001 e ISO 27701 forniscono al professionista della privacy uno strumento utile e comprensivo per implementare un sistema di gestione per la sicurezza e privacy delle informazioni, e per rispettare quasi tutto ciò che è richiesto dalla legge e dalle best practices di settore.
Ci sono poi altri standard che possono essere utili al professionista della privacy, come:
ISO 29134:2017
ISO 29134 è uno standard che fornisce linee guida per la conduzione di Valutazioni d'Impatto sulla Protezione dei Dati (DPIA - Data Protection Impact Assessment).
La valutazione d’impatto è il processo di valutazione del rischio per le persone previsto dal GDPR (art. 35). Questo standard è quindi utile per chi volesse una linea guida precisa e metodologica per sviluppare il processo di valutazione del rischio derivante dal trattamento di dati personali.
ISO 31000:2018
ISO 31000 è uno standard che fornisce principi e linee guida per la gestione del rischio1. Data la sua natura generale, è applicabile a qualsiasi tipo di organizzazione, indipendentemente dalle dimensioni, dal settore o dal contesto e a qualsiasi tipo di valutazione del rischio. La ISO 31000 definisce il concetto di rischio (“effetto dell'incertezza sugli obiettivi”) e stabilisce un approccio sistematico per l’identificazione, la valutazione, il trattamento e il monitoraggio dei rischi. È quindi utile per chi volesse acquisire conoscenze trasversali in questo campo.
ISO 19011:2018
ISO 19011:2018 è uno standard che fornisce linee guida per la conduzione di audit dei sistemi di gestione (come quelli ISO 27001 e 27701), comprese le procedure per condurre un audit interno o esterno.
Stabilisce la metodologia per pianificare, condurre e documentare un audit di sistema di gestione. La verifica periodica del rispetto dei requisiti normativi (o di standard) per il trattamento di dati personali è un elemento centrale del lavoro del “privacysta”. Acquisire una metodologia che possa aiutare a svolgere queste verifiche e analisi dei processi aziendali in modo coerente e dettagliato è quindi particolarmente importante.
Come studiare e certificare le tue conoscenze
Nelle sezioni precedenti ti ho spiegato quali sono le conoscenze primarie per iniziare una carriera nel settore della privacy. Ora vediamo però come studiare e come certificare queste conoscenze così da poterle anche dimostrare durante una selezione lavorativa.
Per quanto riguarda la normativa, esistono tre strade, complementari tra loro:
Corsi di formazione
Frequentare un corso di formazione ad hoc che possa aiutarti ad acquisire le conoscenze necessarie e che ti dia anche un attestato è spesso una buona buona scelta per chi preferisce un percorso guidato.
I corsi di formazione spesso danno anche la possibilità di avvicinarsi alle aziende che li sponsorizzano e che li usano anche per fare scouting. Alcuni corsi di formazione, quelli più strutturati (spesso organizzati nel contesto delle università), organizzano anche incontri, aiutano i partecipanti a ricercare occasioni di lavoro e danno anche la possibilità di acquisire certificazioni specifiche.
Un buon corso italiano, specifico sulla privacy, è quello erogato dall’Istituto Italiano Privacy, dalla durata di 160 ore. Non è uno specifico endorsement a questo corso, ma conosco colleghi che l’hanno fatto e ne sono stati sufficientemente soddisfatti.
La cosa migliore da fare, è leggere attentamente il programma e le possibilità date dal corso, ricercare i professori che terranno le lezioni, e considerare i feedback dai partecipanti delle edizioni pregresse
Menzione d’onore, anche per una persona interessata alla privacy, sono i corsi in cybersecurity di Cisco e Google:
I due settori, privacy e cybersecurity, sono interconnessi tra loro, e ti assicuro che avere delle competenze di base di cybersecurity ti aiuterà sia nella ricerca di lavoro che nell’acquisizione di nozioni e terminologia che ti serviranno nello svolgimento delle tue attività.
Certificazioni IAPP
La International Association of Privacy Professionals è un ente riconosciuto a livello globale, che offre percorsi di formazione e certificazione delle conoscenze estremamente autorevoli.
Te li descrivo qui:
Certified Information Privacy Professional (CIPP/E): fornisce le conoscenze necessarie sulla normativa europea privacy e ne certifica il possesso. Percorso molto teorico che approfondisce nel dettaglio ogni aspetto della normativa europea, incentrato sulla capacità di conoscere la legge nel dettaglio e saperla applicare in un contesto pratico. Ampiamente riconosciuto nel mercato del lavoro, soprattutto dalla Big Tech e settore corporate.
Certified Information Privacy Manager (CIPM): fornisce conoscenze pratiche sulla gestione quotidiana di un sistema privacy aziendale. Percorso molto incentrato sull’aspetto gestionale dei processi interni, come la mappatura del trattamento dati, la preparazione di politiche e procedure aziendali, la formazione del personale e così via.
Certified Information Privacy Technologist (CIPT): fornisce conoscenze tecniche fondamentali per mettere in pratica i principi di privacy by design e di sicurezza dei dati. È il percorso dedicato a chi ha interesse nell’aspetto più tecnologico della privacy, approfondendo le best practices nello sviluppo di sistemi IT, come integrare requisiti privacy nei sistemi e garantire la riservatezza e minimizzazione dei dati, e come gestire i rischi del trattamento dati.
La IAPP offre anche dei corsi di formazione, ma è possibile acquistare i manuali (circa $75) e poi dare direttamente l’esame.
Il basso costo si scontra però con l’alta complessità: studiare per le certificazioni IAPP non è semplice e richiede impegno: i manuali sono ricchi di nozioni e gli esami sono complessi. È possibile acquistare dei test d’esame per fare pratica.
Certificazioni Lead Auditor 27001 / 27701
Esistono poi numerosi percorsi di certificazione per attestare la conoscenza degli standard ISO di cui ti ho parlato prima.
Questi percorsi solitamente fanno riferimento alla figura di “auditor”, “implementer” o “lead auditor”. Il ruolo di “lead auditor” è quello più alto, a cui sono collegati i corsi più approfonditi. Il consiglio quindi è ricercare e puntare sempre ai corsi da lead auditor, così da poter conseguire fin da subito la certificazione più elevata.
Essendo il ruolo più elevato, i corsi per ottenere la certificazione da lead auditor 27001 spesso presuppongono alcune competenze pregresse, tra cui l’ottenimento di un attestato di frequenza e superamento di un corso di 16 ore sulla ISO 19011:2018 (metodologie di audit, te ne ho parlato prima). Gli enti fortunatamente offrono anche pacchetti “tutto incluso”, così da poter svolgere tutto il percorso, comprensivo dei prerequisiti, in una sola volta.
Anche in questo caso, come per i corsi di formazione, esistono numerose versioni ed enti che erogano questo tipo di servizio. Per citarne alcuni attivi in Italia: BSI, BureauVeritas, DNV, TUV, CSQA.
Ottenere una certificazione da lead auditor 27001 può dare un grande boost al tuo curriculum, specie se unito ad altre certificazioni o corsi specifici più legati alla parte normativa / gestionale della privacy. Gli esami per l’ottenimento di una certificazione come lead auditor sono mediamente abbastanza semplici.
Qualche consiglio
Basandoti sui vari percorsi disponibili nel settore della privacy, cerca di capire quale potrebbe essere l’orientamento migliore per te, e poi fai reverse engineering delle posizioni richieste sul mercato (cosa chiedono?). Le possibilità sono molte, così come il background e le attitudini di ognuno. Cerca di capire cosa rientra più nelle tue corde e poi approfondisci le diverse opportunità d’apprendimento.
Ad esempio:
Se sei laureato in legge o lavori già come consulente legale, ma vuoi specializzarti nella privacy, allora sarà opportuno scegliere certificazioni che possano potenziare questo aspetto, come la CIPP/E IAPP, e magari cercare corsi di formazione su temi specifici.
Viceversa, se non hai un background legale, e ti piacerebbe lavorare nella privacy come dipendente in una grande azienda (privacy officer), potresti svolgere un corso di base sulla normativa e poi acquisire una certificazione come la CIPM IAPP, che ti fornisce gli strumenti pratici per gestire un programma privacy aziendale e le operazioni quotidiane.
O ancora, se sei più interessato al lato tecnico/informatico della privacy, potresti cercare qualche corso di formazione più orientato alla cybersecurity e prendere la certificazione CIPT IAPP. Oppure, se preferisci invece il taglio più consulenziale, potresti seguire fin da subito un percorso da lead auditor ISO 27001 e 27701.
Questa è Privacy Chronicles: l’unica newsletter che ti spiega l’Era Digitale navigando la relazione tra privacy, libero arbitrio e tecnologia. Con un pizzico di filosofia e consigli tecnici.
Aiutami a far crescere la community: inoltra questo articolo ai tuoi amici!
Attenzione! Non tutti i rischi sono uguali
Sia la ISO 31000 che 29134 forniscono una linea guida per la valutazione del rischio. La prima è più generalista, la seconda più specifica per quanto riguarda il trattamento dei dati. Attenzione però: le due competenze non si escludono l’una con l’altra. La normativa privacy, come il GDPR, prevede che un’organizzazione sia in grado di identificare, valutare e trattare i rischi per le persone (e no per l’organizzazione) derivanti dall’uso dei dati personali. La valutazione d’impatto serve a questo. D’altra parte, a un consulente privacy sarà sempre richiesto anche di valutare i rischi per l’organizzazione, spesso derivanti da possibili violazioni della normativa o da rischi di sicurezza dei dati. In questi casi, la valutazione del rischio sarà quindi orientata verso l’organizzazione, e il processo di risk assessment sarà diverso rispetto alla valutazione d’impatto.