Certificazione DPO secondo la UNI 11697: come funziona l'esame
La UNI 11697:2017 è la norma che mette nero su bianco quali competenze deve avere chi si occupa di protezione dei dati personali in modo professionale. Non certifica un'azienda o un sistema: certifica una persona. Definisce quattro profili, ognuno con il proprio insieme di conoscenze, abilità e competenze: il Responsabile della protezione dei dati (DPO), il Manager privacy, lo Specialist privacy e il Valutatore privacy. È la cornice tecnica che traduce in requisiti misurabili la figura che il GDPR (il Regolamento UE 2016/679) chiede di nominare in molte organizzazioni.
Qui serve sgombrare il campo da un equivoco diffuso. La certificazione UNI 11697 non è obbligatoria per fare il DPO, e non è il Garante a rilasciarla o a nominare i DPO certificati. Il GDPR chiede che il DPO possieda "conoscenze specialistiche" adeguate, ma non impone alcun bollino. La certificazione secondo la UNI 11697 è il modo, riconosciuto e verificato da un terzo indipendente, per dimostrare quelle competenze a chi ti assume o ti incarica. È la differenza tra dire di saper guidare e avere la patente in tasca.
Cosa chiede davvero la norma
La UNI 11697 descrive, profilo per profilo, il corpo di conoscenze che ci si aspetta. Per il DPO il perimetro è ampio: il quadro normativo sulla protezione dei dati (GDPR e legge nazionale), i principi di privacy by design e by default, la valutazione d'impatto (DPIA), la gestione dei diritti degli interessati, i rapporti con l'autorità di controllo, ma anche fondamenta di sicurezza delle informazioni e di gestione del rischio. Il DPO, infatti, deve saper dialogare con chi presidia la sicurezza informatica senza esserne sostituto.
Accanto alle conoscenze, la norma elenca le abilità (saper condurre un audit privacy, saper informare e formare il personale, saper consigliare il titolare) e le competenze attese in termini di autonomia e responsabilità. È questo insieme che l'esame va a verificare: non quante pagine di regolamento ricordi a memoria, ma se sai applicarle a un caso concreto.
Come ci si certifica, passo dopo passo
La certificazione della persona non è un audit in azienda: è un esame individuale sostenuto davanti a un organismo di certificazione accreditato per la certificazione delle persone (in Italia l'accreditamento è gestito da Accredia secondo la ISO/IEC 17024). Il percorso, in sintesi:
- Verifica dei requisiti di accesso: l'organismo controlla che tu abbia i prerequisiti previsti dal proprio schema, di norma una combinazione di titolo di studio ed esperienza documentata in materia di privacy (anni di lavoro nel ruolo o in attività affini). Senza i requisiti non si è ammessi all'esame.
- Preparazione: si studia il corpo di conoscenze del profilo scelto. Molti arrivano da un corso di formazione, ma il corso non è la certificazione: è solo un modo per prepararsi alla prova.
- Domanda e ammissione: si presenta la candidatura, si allegano le evidenze di titoli ed esperienza, si paga la quota e si riceve la convocazione.
- Esame: si sostiene la prova, di regola scritta (test e domande applicate) ed eventualmente orale, valutata da esaminatori indipendenti rispetto a chi ti ha eventualmente formato.
- Rilascio del certificato: superato l'esame, l'organismo emette il certificato per il profilo verificato (per esempio DPO). Solo un organismo accreditato rilascia un certificato realmente riconosciuto; un attestato di partecipazione a un corso non equivale a una certificazione.
Mantenimento e ricertificazione
Il certificato della persona non è per sempre. Ha una validità a termine (in genere alcuni anni) e va mantenuto dimostrando un aggiornamento professionale continuo: ore di formazione, attività svolta nel ruolo, talvolta crediti formativi. Alla scadenza si procede alla ricertificazione, che può prevedere una nuova prova o la valutazione delle evidenze raccolte nel periodo. La logica è semplice: la normativa privacy cambia in fretta, e una competenza certificata cinque anni fa e mai aggiornata non vale quanto una tenuta viva.
I vantaggi concreti, oltre al bollino
Il primo vantaggio è di mercato. In bandi pubblici, gare e selezioni il certificato UNI 11697 è spesso un requisito o un titolo preferenziale: dimostra in modo oggettivo, senza che il committente debba fidarsi sulla parola, che la persona ha le competenze richieste. Per un professionista è un elemento che distingue il curriculum; per un'azienda che nomina un DPO interno o sceglie un consulente, è una garanzia in più di aver scelto qualcuno all'altezza, utile anche a dimostrare al Garante di aver agito con diligenza.
Oltre al riconoscimento, c'è la sostanza: prepararsi seriamente all'esame costringe a sistematizzare le proprie conoscenze, colmando i buchi che il lavoro quotidiano tende a nascondere.
Una competenza che si lega alla sicurezza
Il profilo DPO non vive da solo. Le sue conoscenze si intrecciano con la ISO/IEC 27001 (la norma sui sistemi di gestione per la sicurezza delle informazioni) e soprattutto con la ISO/IEC 27701, l'estensione che porta la gestione della privacy dentro un sistema 27001. Chi opera in un'organizzazione che ha o vuole questi sistemi parla la stessa lingua di chi li presidia: la persona certificata UNI 11697 porta la competenza individuale, le norme ISO portano il sistema aziendale. Sono pezzi che si incastrano.
Domande frequenti
La certificazione UNI 11697 è obbligatoria per fare il DPO? No. Il GDPR chiede competenze adeguate, non un certificato. La UNI 11697 è il modo riconosciuto per dimostrarle, ma si può ricoprire il ruolo anche senza, a proprio rischio nel doverle provare in altro modo.
È il Garante a certificare i DPO? No. Il Garante non rilascia certificazioni né tiene un elenco di DPO "abilitati". A certificare è un organismo accreditato, indipendente dall'autorità di controllo.
Basta un corso per essere DPO certificato? No. Il corso prepara all'esame; la certificazione si ottiene superando la prova davanti all'organismo accreditato, non frequentando l'aula.
Quanto dura il certificato? È a termine: vale alcuni anni e si mantiene con l'aggiornamento professionale, poi si rinnova con la ricertificazione.
Prima di iscriverti all'esame conviene capire se sei davvero pronto. La checklist qui sotto ripercorre i requisiti di accesso, il corpo di conoscenze e le altre tappe della certificazione DPO: spunti ciò che hai già e vedi nero su bianco cosa rafforzare prima di candidarti.
Ti interessa questo argomento?
Parla con Evidy per approfondire o richiedere un preventivo per le certificazioni.
🔗 Guide alle norme integrabili
Approfondisci gli schemi con cui questa norma si integra: dove condividono la struttura HLS (Annex SL), certificarli insieme significa un solo sistema documentale e un audit integrato — meno giornate e meno costi.
ISO/IEC 27001 — Sistema di gestione per la sicurezza delle informazioni ISO/IEC 27701 — Sistema di gestione delle informazioni sulla privacyArticoli Correlati
Certificazione delle persone: cosa cambia con un esame accreditato ISO/IEC 17024
Cos'è la ISO/IEC 17024:2012, lo standard quadro con cui si accreditano gli organismi che certificano le competenze delle persone, perché un esame accreditato vale molto più di un attestato di partecipazione e come funziona la prova, dai requisiti d'accesso alla ricertificazione.
Come si certifica la privacy con la ISO/IEC 27701
Cos'è la ISO/IEC 27701:2025, la norma che certifica un sistema di gestione delle informazioni sulla privacy (PIMS), come ci si certifica passo dopo passo e perché è l'aggancio più concreto al GDPR. Più cosa cambia con l'edizione 2025 ora standalone.
ISO 30415: cos'è la guida su diversità e inclusione (e perché non ci si certifica)
La ISO 30415:2021 è la linea guida internazionale che aiuta a integrare diversità e inclusione nella governance e nei processi HR. Non è una norma certificabile: spieghiamo a cosa serve davvero e quale strada porta invece a una certificazione riconosciuta come la UNI/PdR 125 sulla parità di genere.