La UNI 11697:2017 è la norma che mette nero su bianco quali competenze deve avere chi si occupa di protezione dei dati personali in modo professionale. Non certifica un'azienda o un sistema: certifica una persona. Definisce quattro profili, ognuno con il proprio insieme di conoscenze, abilità e competenze: il Responsabile della protezione dei dati (DPO), il Manager privacy, lo Specialist privacy e il Valutatore privacy. È la cornice tecnica che traduce in requisiti misurabili la figura che il GDPR (il Regolamento UE 2016/679) chiede di nominare in molte organizzazioni.

Qui serve sgombrare il campo da un equivoco diffuso. La certificazione UNI 11697 non è obbligatoria per fare il DPO, e non è il Garante a rilasciarla o a nominare i DPO certificati. Il GDPR chiede che il DPO possieda "conoscenze specialistiche" adeguate, ma non impone alcun bollino. La certificazione secondo la UNI 11697 è il modo, riconosciuto e verificato da un terzo indipendente, per dimostrare quelle competenze a chi ti assume o ti incarica. È la differenza tra dire di saper guidare e avere la patente in tasca.

Cosa chiede davvero la norma

La UNI 11697 descrive, profilo per profilo, il corpo di conoscenze che ci si aspetta. Per il DPO il perimetro è ampio: il quadro normativo sulla protezione dei dati (GDPR e legge nazionale), i principi di privacy by design e by default, la valutazione d'impatto (DPIA), la gestione dei diritti degli interessati, i rapporti con l'autorità di controllo, ma anche fondamenta di sicurezza delle informazioni e di gestione del rischio. Il DPO, infatti, deve saper dialogare con chi presidia la sicurezza informatica senza esserne sostituto.

Accanto alle conoscenze, la norma elenca le abilità (saper condurre un audit privacy, saper informare e formare il personale, saper consigliare il titolare) e le competenze attese in termini di autonomia e responsabilità. È questo insieme che l'esame va a verificare: non quante pagine di regolamento ricordi a memoria, ma se sai applicarle a un caso concreto.

Come ci si certifica, passo dopo passo

La certificazione della persona non è un audit in azienda: è un esame individuale sostenuto davanti a un organismo di certificazione accreditato per la certificazione delle persone (in Italia l'accreditamento è gestito da Accredia secondo la ISO/IEC 17024). Il percorso, in sintesi:

  1. Verifica dei requisiti di accesso: l'organismo controlla che tu abbia i prerequisiti previsti dal proprio schema, di norma una combinazione di titolo di studio ed esperienza documentata in materia di privacy (anni di lavoro nel ruolo o in attività affini). Senza i requisiti non si è ammessi all'esame.
  2. Preparazione: si studia il corpo di conoscenze del profilo scelto. Molti arrivano da un corso di formazione, ma il corso non è la certificazione: è solo un modo per prepararsi alla prova.
  3. Domanda e ammissione: si presenta la candidatura, si allegano le evidenze di titoli ed esperienza, si paga la quota e si riceve la convocazione.
  4. Esame: si sostiene la prova, di regola scritta (test e domande applicate) ed eventualmente orale, valutata da esaminatori indipendenti rispetto a chi ti ha eventualmente formato.
  5. Rilascio del certificato: superato l'esame, l'organismo emette il certificato per il profilo verificato (per esempio DPO). Solo un organismo accreditato rilascia un certificato realmente riconosciuto; un attestato di partecipazione a un corso non equivale a una certificazione.

Mantenimento e ricertificazione

Il certificato della persona non è per sempre. Ha una validità a termine (in genere alcuni anni) e va mantenuto dimostrando un aggiornamento professionale continuo: ore di formazione, attività svolta nel ruolo, talvolta crediti formativi. Alla scadenza si procede alla ricertificazione, che può prevedere una nuova prova o la valutazione delle evidenze raccolte nel periodo. La logica è semplice: la normativa privacy cambia in fretta, e una competenza certificata cinque anni fa e mai aggiornata non vale quanto una tenuta viva.

I vantaggi concreti, oltre al bollino

Il primo vantaggio è di mercato. In bandi pubblici, gare e selezioni il certificato UNI 11697 è spesso un requisito o un titolo preferenziale: dimostra in modo oggettivo, senza che il committente debba fidarsi sulla parola, che la persona ha le competenze richieste. Per un professionista è un elemento che distingue il curriculum; per un'azienda che nomina un DPO interno o sceglie un consulente, è una garanzia in più di aver scelto qualcuno all'altezza, utile anche a dimostrare al Garante di aver agito con diligenza.

Oltre al riconoscimento, c'è la sostanza: prepararsi seriamente all'esame costringe a sistematizzare le proprie conoscenze, colmando i buchi che il lavoro quotidiano tende a nascondere.

Una competenza che si lega alla sicurezza

Il profilo DPO non vive da solo. Le sue conoscenze si intrecciano con la ISO/IEC 27001 (la norma sui sistemi di gestione per la sicurezza delle informazioni) e soprattutto con la ISO/IEC 27701, l'estensione che porta la gestione della privacy dentro un sistema 27001. Chi opera in un'organizzazione che ha o vuole questi sistemi parla la stessa lingua di chi li presidia: la persona certificata UNI 11697 porta la competenza individuale, le norme ISO portano il sistema aziendale. Sono pezzi che si incastrano.

Domande frequenti

La certificazione UNI 11697 è obbligatoria per fare il DPO? No. Il GDPR chiede competenze adeguate, non un certificato. La UNI 11697 è il modo riconosciuto per dimostrarle, ma si può ricoprire il ruolo anche senza, a proprio rischio nel doverle provare in altro modo.

È il Garante a certificare i DPO? No. Il Garante non rilascia certificazioni né tiene un elenco di DPO "abilitati". A certificare è un organismo accreditato, indipendente dall'autorità di controllo.

Basta un corso per essere DPO certificato? No. Il corso prepara all'esame; la certificazione si ottiene superando la prova davanti all'organismo accreditato, non frequentando l'aula.

Quanto dura il certificato? È a termine: vale alcuni anni e si mantiene con l'aggiornamento professionale, poi si rinnova con la ricertificazione.

Prima di iscriverti all'esame conviene capire se sei davvero pronto. La checklist qui sotto ripercorre i requisiti di accesso, il corpo di conoscenze e le altre tappe della certificazione DPO: spunti ciò che hai già e vedi nero su bianco cosa rafforzare prima di candidarti.