REGOLAMENTO IN MATERIA DI COMPETENZE PROFESSIONALI (ex art. 5 Statuto) E DI FORMAZIONE E AGGIORNAMENTO PROFESSIONALE

 

 

Capo I – Disposizioni di carattere generale

 

Art. 1 (Fonti normative)

Il presente Regolamento è adottato ai sensi dell’articolo 4 lett. c. dello Statuto di Assoprivacy che si ispira alle previsioni contenute negli artt. 37, 38 e 39 del REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 che in merito alla figura del “Responsabile della protezione dei dati” ne delineano le competenze, il ruolo e le responsabilità. Resta inteso che lo stesso potrà essere integrato, modificato e aggiornato alla luce delle indicazioni o di provvedimenti che dovessero provenire dal Comitato Europeo per la protezione dei dati, previsto dall’art. 64 del suddetto REGOLAMENTO (UE), in merito alla figura del Responsabile della protezione dei dati nonché di possibili modalità e forme con le quali qualificare la professionalità dei servizi erogati. Ulteriori riferimenti potranno essere costituiti da norme di certificazione adottate da UNI a livello nazionale e/o da Altri Enti certificatori a livello europeo anche avendo a riferimento le previsioni degli artt. 42 e 43 del REGOLAMENTO (UE) .

 

Art. 2 (Definizioni)

Ai fini del presente Regolamento si intende per:

  1. “REGOLAMENTO (UE)”: REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016;
  2. “Consulente Privacy” o “Esperto privacy” o “privacy officer”: figura professionale esperta nella protezione dei dati personali operante in aziende o enti con determinate caratteristiche, dotata di competenze giuridiche e informatiche specifiche, che ha il compito di progettare e organizzare un efficace sistema di gestione per il trattamento dei dati personali che ne consenta la tutela nel rispetto delle normative vigenti, ed è iscritta all’Elenco dei Professionisti di Assoprivacy;
  3. “Responsabile della protezione dei dati” o “Data Protection Officer” (DPO): figura professionale prevista dal REGOLAMENTO (UE) che ne tratteggia il ruolo e le competenze nonché gli ambiti di operatività;
  4. “Professionista”: il soggetto che appartiene ad una delle figure professionali operanti in materia di protezione dei dati personali, disciplinate dal presente regolamento;
  5. “Responsabile del trattamento”: figura professionale prevista dal REGOLAMENTO (UE) che ne tratteggia il ruolo e le competenze nonché gli ambiti di operatività;
  6. “Codice”: il decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni e integrazioni;
  7. “Corso”: insieme omogeneo, coordinato e sequenziale di uno o più moduli formativi idonei al raggiungimento di un obiettivo di apprendimento;
  8. “E-learning”: apprendimento realizzato tramite l’utilizzo delle tecnologie multimediali e di internet;
  9. “Formazione in aula”: la formazione conseguita attraverso la partecipazione a corsi che prevedono la compresenza di docenti e discenti nello stesso luogo;
  10. “Aziende ed Enti”: le aziende e gli enti le cui attività principali, che ai sensi dell’art. 37 c.1 del REGOLAMENTO (UE), consistono in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati ovvero consistono nel trattamento, su larga scala, di categorie particolari di dati personali;
  11. “LMS (learning management system)”: piattaforma applicativa (o insieme di programmi) che permette l’erogazione dei corsi in modalità e-learning e, in particolare, gestisce gli utenti, la distribuzione dei corsi on-line, il tracciamento delle attività on-line e l’analisi delle statistiche;
  12. “LCMS (Learning Content Management System)”: sistemi per la gestione diretta dei contenuti formativi;
  13. “Modulo formativo”: unità didattica di base finalizzata alla trattazione di uno o più argomenti didattici omogenei;
  14. “Elenco dei Professionisti”: l’Elenco dei soggetti che hanno conseguito la qualificazione professionale, delle conoscenze specialistiche della normativa e delle prassi in materia di protezione dei dati personali istituito da Assoprivacy, eventualmente d’intesa con l’Ente certificatore di fiducia di quest’ultima. Assoprivacy potrà istituire Sezioni distinte, all’interno dell’Elenco dei Professionisti, in base ai diversi ruoli o figure soggettive rilevanti in materia di protezione dei dati personali, anche in considerazione dei profili professionali individuati dalla normativa vigente, dalle norme UNI di settore, nonché dalla prassi. Tra le predette Sezioni vengono annoverate quella relativa al “Responsabile della protezione dei dati personali”, Responsabile del Trattamento dei Dati Personali, e quella relativa al “Consulente Privacy” o “Esperto Privacy”, salvo altre eventuali figure;
  15. “Videoconferenza”: modalità di apprendimento a distanza attraverso la contemporanea partecipazione e interazione di docenti e discenti;
  16. Webinar (o web-based seminar)”: modalità di apprendimento a distanza attraverso la contemporanea partecipazione e interazione di docenti e discenti e la condivisione di materiale formativo.
  17. “Crediti Formativi Assoprivacy (o CFA)” o “crediti formativi”: crediti formativi riconosciuti da Assoprivacy per l’assolvimento degli obblighi di formazione e/o di aggiornamento professionali necessari per l’iscrizione all’Elenco dei Professionisti tenuto da Assoprivacy, nelle diverse sezioni di cui il medesimo si compone, da parte del responsabile della protezione dei dati e/o delle altre figure professionali rilevanti in materia di protezione dei dati personali, nonché ai fini del conseguimento e del mantenimento della qualificazione professionale, secondo schemi proprietari e/o secondo le norme UNI, mediante enti di certificazione di fiducia di Assoprivacy. Salvo diverse valutazioni del Comitato Scientifico, in accordo con la Giunta Esecutiva, ai sensi dell’art. 5 del presente regolamento, generalmente viene rilasciato o riconosciuto un CFA per ogni ora di lezione frontale.
  18. “Commissione di Valutazione”: commissione esaminatrice composta da un ristretto numero di componenti della giunta Esecutiva e del Comitato Scientifico.

 

Art. 3 (Oggetto e finalità)

  1. Il presente regolamento disciplina la tenuta dell’Elenco dei Professionisti nonché gli standard organizzativi, tecnologici e professionali riguardanti la formazione e l’aggiornamento dei soggetti di cui all’art.2, commi 1 lettera A, B, C e D, con riferimento ai prodotti formativi, ai requisiti dei soggetti formatori e alle caratteristiche tecniche e funzionali delle piattaforme di e-learning e delle altre modalità di formazione a distanza equivalenti all’aula.
  1. Il presente regolamento ha la finalità di favorire il rafforzamento dei requisiti professionali dei soggetti tenuti all’obbligo di formazione e aggiornamento, a garanzia della piena ed effettiva conoscenza ed osservanza da parte degli stessi delle regole di comportamento nei confronti di Assoprivacy.

 

Capo II – Elenco dei Professionisti: requisiti, iscrizione, formazione e aggiornamento

 

Art. 3 bis

(Richiesta di ammissione all’Elenco dei Professionisti, prove, esoneri e requisiti)

  1. Gli associati in regola con la posizione associativa e il pagamento della quota di iscrizione, interessati all’iscrizione all’Elenco dei Professionisti, devono presentare apposita richiesta all’ufficio di segreteria di Assoprivacy, presente sul sito all’indirizzo www.assoprivacy.eu. Nel modulo dovrà essere indicato da parte dell’interessato in quale Sezione dell’Elenco dei Professionisti tenuto da Assoprivacy intende iscriversi e con quale ruolo professionale (“Responsabile della Protezione dei Dati”, Responsabile del Trattamento dei dati o “Consulente Privacy o Esperto Privacy” ovvero con altri ruoli che saranno individuati dal consiglio nazionale, nella formazione delle Sezioni di cui si compone l’Elenco dei Professionisti).
  2. Ai fini dell’iscrizione nell’Elenco dei Professionisti, l’interessato dovrà sostenere una prova d’esame articolata in una prova scritta ed in un colloquio orale. Sarò oggetto di valutazione la competenza, diversamente articolata a seconda del ruolo prescelto, con riferimento ai temi individuati e proposti dal Comitato Scientifico, mediante apposito programma, distinto per ciascun ruolo professionale, da allegare al presente regolamento. Analoga prova dovrà essere sostenuta ai fini del conseguimento dell’eventuale ulteriore certificazione delle competenze, in relazione a ciascun ruolo professionale, rilasciate da enti di certificazione di fiducia di Assoprivacy.
  3. L’interessato, ove presenti determinati requisiti, potrà richiedere di essere esonerato dalla prova d’esame ai fini dell’iscrizione nell’Elenco dei Professionisti. I requisiti per l’esonero sono indicati dal Comitato Scientifico in accordo con la Giunta Esecutiva, e allegati al presente regolamento
  4. La domanda di iscrizione con richiesta di esonero è sottoposta per la valutazione alla Commissione di Valutazione.
  5. La valutazione delle prove orali e delle prove scritte è affidata alla Commissione di Valutazione
  6. I requisiti che l’interessato deve possedere ai fini della richiesta di ammissione (con prova o con esonero) sono proposti dal Comitato Scientifico in accordo con la Giunta Esecutiva in relazione ai diversi ruoli professionali e vengono allegati al presente regolamento
  7. L’interessato, in regola con la posizione associativa, una volta ottenuto l’esito positivo alla prova di ammissione o l’assenso all’esonero, viene iscritto d’ufficio all’Elenco dei Professionisti tenuto da Assoprivacy, all’interno della Sezione corrispondente al proprio ruolo professionale.
  8. E’ facoltà dell’Associazione , prevedere una apposita Sezione nell’Elenco dei Professionisti, per coloro che abbiano ottenuto la certificazione delle competenze da enti di certificazione di fiducia di Assoprivacy, secondo schemi proprietari dell’Associazione e/o secondo le norme UNI in materia di protezione dei dati personali.
  9. L’iscrizione nell’Elenco dei Professionisti comporta in ogni caso l’obbligo di rispettare il codice deontologico di Assoprivacy. L’iscrizione può essere revocata in caso di giusta causa e/o giustificato motivo, nei casi previsti dall’art.7 e dall’art.8 dello Statuto, incluso il mancato rispetto degli obblighi di formazione e aggiornamento e quelli deontologici.

Art. 4 (Obblighi di formazione e aggiornamento)

I soggetti iscritti all’Elenco dei Professionisti sono tenuti all’obbligo di formazione e di aggiornamento professionale nelle modalità e nei termini di cui al presente regolamento.

 

Art. 5 (Ruolo del Comitato Scientifico)

  1. Il Comitato Scientifico di Assoprivacy, collabora con la giunta esecutiva al fine di:
    1. Individuare il modello formativo che costituisce il riferimento delle competenze e conoscenze che dovranno essere possedute e mantenute dal Responsabile della protezione dei dati e da altre figure rilevanti in materia di protezione dei dati personali (tra cui, a mero titolo esemplificativo: consulente privacy o esperto privacy; amministratore di sistema; altre figure delineate dalle norme UNI in materia; responsabili del trattamento );
    2. individuare le caratteristiche peculiari che i soggetti (singoli docenti ed Enti di formazione) che offrono servizi di formazione professionale dovranno avere per poter erogare i corsi formativi specifici per le figure in parola come meglio descritti all’art. 13;
    3. valutare le domande di accreditamento e i programmi formativi dei soggetti di cui all’art. 13;
    4. definire i requisiti minimi per l’iscrizione agli elenchi tenuti da Assoprivacy in relazione alla figura di Responsabile della protezione dei dati e alle altre figure rilevanti in materia di protezione dei dati personali;
    5. determinare l’ammontare di crediti formativi minimi necessari per il riconoscimento delle competenze che dovranno essere possedute per l’iscrizione all’Elenco di responsabile della protezione dei dati e/o agli Elenchi eventualmente previsti per le altre figure rilevanti in materia di protezione dei dati, tenuti da Assoprivacy;
    6. determinare l’ammontare dei crediti formativi minimi necessari per l’aggiornamento professionale, ai fini del mantenimento dell’iscrizione all’elenco di responsabile della protezione dei dati e/o agli elenchi relativi alle altre figure rilevanti in materia di protezione dei dati personali, tenuti da Assoprivacy;
    7. adottare ogni decisione in ordine all’ammissibilità del riconoscimento dei crediti formativi ed, in caso di valutazione positiva, in ordine all’entità dei crediti formativi riconoscibili, per i corsi di formazione o di aggiornamento professionale o per altri eventi formativi ai quali abbia partecipato l’interessato, organizzati da enti pubblici, anche universitari, e/o privati, in materia di protezione di dati personali, sia con riferimento all’assolvimento degli obblighi necessari per l’iscrizione e il mantenimento dell’iscrizione all’elenco di responsabile per la protezione dei dati e/o ad altri elenchi relativi alle altri figure professionali rilevanti in materia di protezione dei dati personali, sia con riferimento all’assolvimento degli obblighi necessari per il conseguimento della qualificazione professionale, eventualmente anche secondo schemi proprietari o secondo le norme UNI, tramite enti di certificazione di fiducia di Assoprivacy;
  2. Al comitato scientifico potrà essere richiesta ogni forma di collaborazione da parte della giunta esecutiva di altri obiettivi presenti nel regolamento.

 

Art. 6 (Formazione e qualificazione professionale)

  1. La formazione professionale consiste nella partecipazione, nei 24 mesi antecedenti alla data di presentazione della domanda di iscrizione o dell’inizio dell’attività, a corsi di durata non inferiore a 40 ore e che comportino l’attribuzione di almeno 40 Crediti Formativi Assoprivacy (CFA).
  2. I corsi in aula non possono avere una durata superiore alle 8 ore giornaliere e devono prevedere un numero di partecipanti adeguato a garantire l’effettività dell’apprendimento, tenuto conto della natura e delle caratteristiche del soggetto formatore e delle tematiche oggetto di formazione.
  3. La formazione professionale acquisita rimane valida ai fini della re-iscrizione all’Elenco dei Professionisti o della ripresa dell’attività da parte dei soggetti di cui all’art. 4, del presente Regolamento, se l’inattività non si protrae per oltre tre anni.
  4. Gli obblighi formativi possono essere assolti anche tramite corsi di formazione professionale erogati da soggetti terzi non accreditati presso Assoprivacy, previo riconoscimento dei CFA ai sensi dell’art. 5, comma 1, lett. g), del presente regolamento.

 

Art. 7 (Aggiornamento professionale)

  1. L’aggiornamento professionale è finalizzato all’approfondimento e all’accrescimento delle conoscenze, competenze e capacità professionali, all’evoluzione della normativa di riferimento ed alle prospettive di sviluppo futuro dell’attività, e potrà essere svolto sia attraverso corsi specifici che con il riconoscimento dell’attività di docenza.
  1. L’aggiornamento è svolto con cadenza biennale, a partire dal 1° gennaio dell’anno successivo a quello di iscrizione all’Elenco di competenza.
  1. I corsi in aula non possono avere una durata superiore alle 8 ore giornaliere e prevedono un numero di partecipanti adeguato a garantire l’effettività dell’apprendimento, tenuto conto della natura e delle caratteristiche del soggetto formatore e delle tematiche oggetto di aggiornamento.
  1. L’aggiornamento professionale del Consulente privacy e del RESPONSABILE del trattamento dei dati personali prevede la partecipazione a corsi di durata non inferiore a 24 ore nel biennio, di cui un minimo di 8 ore per ciascun anno solare.
  1. L’aggiornamento professionale del solo Responsabile della protezione dei dati personali prevede la partecipazione a corsi di durata non inferiore a 40 ore nel biennio, di cui un minimo di 16 ore per ciascun anno solare.

 

Art. 8 (Modalità di accertamento delle competenze acquisite – Test di verifica)

  1. I corsi di formazione professionale si concludono con lo svolgimento di un test di verifica delle conoscenze acquisite, all’esito positivo del quale è rilasciato al partecipante un attestato, sottoscritto dal responsabile della struttura che ha effettuato la formazione.
  2. Sono ammessi a sostenere il test di verifica soltanto coloro che dimostrino di aver frequentato interamente il numero di ore minimo previste per il corso.
  3. Il test di verifica è svolto a cura del medesimo soggetto che ha effettuato i corsi di formazione, previo accertamento dell’esatta identità dei partecipanti.
  4. Il test di verifica è articolato in un questionario a scelta multipla e risposta singola. Il questionario:
    1. è composto da domande che, per numero e complessità, rispondono a criteri di adeguatezza, pertinenza e proporzionalità ai contenuti e alla durata del corso di formazione;
    2. è predisposto a cura del soggetto che effettua il corso, evitando duplicazioni e utilizzi ripetuti del medesimo insieme di domande;
    3. può essere elaborato attraverso supporti tecnologici con estrazione casuale delle relative domande e risposte da un database sufficientemente ampio, creando sequenze differenti per ogni singolo partecipante.

Il test di verifica dei corsi di formazione di cui all’art. 6 è effettuato esclusivamente in aula. Nell’esecuzione del test non è consentito l’ausilio di alcun supporto cartaceo e/o elettronico, né l’utilizzo di telefoni cellulari, tranne i testi non commentati contenenti le norme di legge, decreti, ecc.  nonché vocabolari e codici sulla privacy autorizzati dalla commissione d’esame.

  1. Il test si intende superato dai candidati che abbiano risposto correttamente al settanta per cento (70%) dei quesiti proposti.
  2. Il soggetto che ha svolto la formazione o l’aggiornamento, per ottenere il riconoscimento dei crediti formativi da parte dell’associazione dovrà farsi consegnare dall’ente formatore la documentazione necessaria a dimostrare il corretto svolgimento dei corsi e dei test, in particolare:
    1. il programma del corso;
    2. i nominativi dei docenti, incluso il possesso dei requisiti;
    3. il verbale delle procedure di esame con evidenza dei risultati del test;
    4. il questionario somministrato.

 

Capo III – Modalità di formazione e aggiornamento professionale equivalenti all’aula

 

Art. 9 (Formazione a distanza)

  1. Ai fini del presente regolamento, si considerano equivalenti all’aula i corsi di formazione e aggiornamento svolti esclusivamente attraverso le seguenti modalità:
    1. videoconferenza;
    2. webinar;
    3. e-learning.
  1. I soggetti che effettuano i corsi garantiscono l’identificazione dei partecipanti, l’effettiva interattività dell’attività didattica e la tracciabilità dei tempi di erogazione e di fruizione della formazione. Gli stessi soggetti, anche ai fini del rilascio dell’attestato rendono disponibili per ciascun partecipante report contenenti almeno i seguenti dati relativi:
    1. ai corsi (titolo, area tematica, modulo, durata);
    2. allo svolgimento dei corsi (data e ora di iscrizione, inizio e fine di fruizione del corso, ultimo collegamento, numero di connessioni, durata complessiva della fruizione, stato di avanzamento nel corso, rilevazione del materiale visionato, data e ora di accesso al materiale visionato).

 

Art. 10 (Videoconferenza e webinar)

  1. I corsi effettuati tramite videoconferenza prevedono la compresenza temporale e l’interazione video-audio in tempo reale tra docenti e discenti collegati via cavo, etere o internet, nonché tra discenti anche in modalità asincrona.
  2. I corsi effettuati tramite webinar prevedono, mediante l’utilizzo di internet, la compresenza temporale e l’interazione audio-video in tempo reale, anche attraverso web-cam e microfono, di docenti e discenti e si caratterizzano per la possibilità di visionare slides e di disporre di uno spazio di lavoro virtuale, in cui tutti i partecipanti possono condividere testi, immagini, tabelle ed altre informazioni.
  3. La struttura che effettua il corso prevede e attua adeguati controlli sull’effettiva presenza e continua partecipazione alla videoconferenza e/o al webinar.

 

Art. 11 (E-learning)

  1. I corsi effettuati con modalità di e-learning si avvalgono di piattaforme caratterizzate dai seguenti elementi essenziali:
    1. tracciabilità dei tempi di erogazione e di fruizione della formazione, come previsto dall’art. 8, comma 2, secondo lo standard SCORM ovvero attraverso standard con le medesime caratteristiche;
    2. fruizione dei materiali didattici attraverso il web e sviluppo di attività formative basate su tecnologia LMS (Learning Management System) e in associazione a moduli LCMS (Learning Content Management System);
    3. monitoraggio continuo del livello di apprendimento, sia attraverso il tracciamento del percorso formativo, sia attraverso momenti di valutazione e autovalutazione;
    4. multimedialità, intesa come effettiva integrazione tra diversi media per favorire una migliore comprensione dei contenuti;
    5. interazione con docenti/tutor e con gli altri discenti al fine di favorire, tramite le nuove tecnologie, la creazione di contesti collettivi di apprendimento;
    6. introduzione di misure atte ad impedire collegamenti simultanei dello stesso utente da postazioni diverse (o dalla medesima postazione).

 

CAPO IV – Disciplina dei prodotti formativi

 

Art. 12 (Contenuti dell’obbligo formativo e di aggiornamento)

  1. La formazione e l’aggiornamento:
    1. sono finalizzati al conseguimento e/o al mantenimento delle competenze e capacità necessarie a fornire consulenza professionale, a valutare e progettare un efficace sistema privacy, nonché a ricoprire e svolgere i ruoli richiesti per la corretta gestione dei trattamenti di dati personali secondo la normativa vigente (responsabile per la protezione dei dati personali: responsabile del trattamento; incaricato del trattamento; amministratore di sistema; altre figure operanti nel settore, anche con riferimento a quelle delineate dalle norme UNI applicabili in materia;
    2. prevedono una progettazione per aree e moduli didattici, differenziando e adattando i programmi, ove necessario, in relazione ai diversi compiti, ruoli e funzioni che connotano le singole figure.
  1. La formazione e l’aggiornamento hanno per oggetto nozioni giuridiche e informatiche concernenti il trattamento dei dati nel rispetto della normativa privacy, in relazione ai contenuti minimi di cui alle aree tematiche e ai moduli riportati nell’allegato 1 al presente regolamento. In particolare:
    1. i corsi di formazione prevedono una conoscenza generale di tutte le aree tematiche di cui all’allegato 1 e l’approfondimento di specifici argomenti, anche in relazione all’attività da svolgere;
    2. i corsi di aggiornamento prevedono moduli di approfondimento scelti tra le aree tematiche di cui all’allegato 1 e tengono conto dell’evoluzione della normativa di riferimento nonché delle specificità connesse alla sezione dell’Elenco di appartenenza.
  2. Il programma dei corsi e il relativo materiale didattico sono posti a disposizione dei partecipanti.

 

Capo V – Soggetti formatori

 

Art. 13 (Requisiti degli Enti o soggetti formatori e dei docenti)

  1. Enti o soggetti formatori
    1. associazioni di categoria, con un numero di iscritti significativo e costituite da almeno 2 anni;
    2. Università riconosciute dal Ministero dell’Istruzione, dell’Università e della Ricerca, nonché Dipartimenti e/o Centri di ricerca e/o altre strutture appartenenti alle predette Università;
    3. enti in possesso della certificazione di qualità UNI EN ISO 9001:2008 settore EA37, UNI ISO 29990:11 o di altri sistemi di certificazione, e accreditamento riconosciuti a livello europeo e a livello internazionale;
    4. altri enti, o soggetti ritenuti idonei dalla Giunta Esecutiva
  1. I docenti incaricati dai soggetti di cui al comma 1) sono scelti tra:
    1. docenti universitari che esercitano la didattica in materie attinenti alle aree tematiche di cui all’allegato 1;
    2. soggetti che abbiano maturato una comprovata esperienza nelle materie di cui alla lettera a) del presente comma attraverso l’esercizio della docenza formativa e/o di attività professionali;
    3. altri soggetti ritenuti idonei dalla Giunta Esecutiva

 

CAPO VI – Disposizioni transitorie e finali

 

Art. 14 (Disciplina transitoria)

Il presente regolamento prevede un periodo di transizione, che si concluderà entro il 25 maggio 2018, data di applicabilità del Regolamento (UE), nel quale l’Associazione provvederà ad integrare e perfezionare tutti gli aspetti indicati nei precedenti articoli, anche in considerazione di eventuali successive modifiche ed integrazioni da parte degli organi preposti.

 

Art. 15 (Pubblicazione)

Il presente regolamento è pubblicato sul sito Internet di Assoprivacy ed è disponibile, a richiesta, presso la sede della stessa.

 

Art. 16 (Entrata in vigore)

Il presente regolamento entra in vigore dalla data di approvazione da parte del Consiglio Nazionale