Data Protection Officer: consigli all’uso e certificazioni

Biagio Lammoglia – ConsulenteFabio Guasconi – Bl4ckswanMilano, 29 GENNAIO 2016

#READY4EUDATAP

#READY4EUDATAP

Argomenti trattati

Inquadramento del Data Protection Officer (DPO) nella versione

consolidata del nuovo Regolamento

Criteri di designazione obbligatoria

Posizione del DPO all’interno dell’organizzazione aziendale

Compiti del DPO

Competenza professionali

Il quadro normativo italiano

Schema e-CF e UNI 11506

Progetto PPP

Costruzione dei profili professionali

Ipotesi su profili e competenze

Ipotesi di organigramma privacy

#READY4EUDATAP

La figura del DPO nel Regolamento

DIRECTIVE 95/46/ECArticle 18 (2):

"Member States may provide for the simplification of or exemption from

notification (...) where the controller, in compliance with the national law

which governs him, appoints a personal data protection official (...)"

#READY4EUDATAP

Designazione del Data Protection Officer

European Commission’s Proposal

The controller and the processor

shall designate a data

protection officer in any case

where:

(a) the processing is carried out

by a public authority or body; or

(b) the processing is carried out

by an enterprise employing 250

persons or more;

Council’s General Aapproach

The controller or the processor may, or where

required by Union or Member State law shall,

designate a data protection officer (…).

European Parliament’s First Reading

The controller and the processor shall designate

a data protection officer in any case where:

(a) the processing is carried out by a

public authority or body; or

(b) the processing is carried out by a legal person

and relates to more than 5000 data subjects in

any consecutive 12-month period

Conciliation Committee (TRILOGOUE)

Outcome of the inter-institutional negotiations

The controller and the processor shall designate a

data protection officer in any case where:

(a) the processing is carried out by a

public authority or body, except for courts acting in

their judicial capacity; or

(b) the core activities of the controller or the

processor consist of processing operations

which, by virtue of their nature, their scope and/or

their purposes, require regular and

systematic monitoring of data subjects on a large

scale; or

(c) the core activities of the controller or the processor

consist of processing on a large

scale of special categories of data pursuant to

Article 9 and data relating to criminal

convictions and offences referred to in Article 9a.

#READY4EUDATAP

Posizione nell’organizzazione aziendale

Deve essere coinvolto in tutte le questioni riguardanti la

protezione dei dati personali.

Deve beneficiare delle risorse necessarie per adempiere ai propri

compiti e per mantenere l'aggiornamento professionale.

Non deve ricevere alcuna direttiva per quanto riguarda l'esercizio

dei propri compiti.

Non può essere licenziato in conseguenza dello svolgimento delle

sue attività.

Deve riportare direttamente ad un livello manageriale superiore

rispetto al controller ed al processor.

Può svolgere altri compiti a patto che questi non generino conflitto

di interessi.

Trasversalità

Autonomia

Alto livello

gerarchico

Tutela del

ruolo

Flessibilità

Copertura

economica

#READY4EUDATAP

Compiti del Data Protection Officer

Informare e consigliare tutte le figure coinvolte nel trattamento in

merito agli obblighi derivanti dal Regolamento.

Vigilare sull'osservanza del Regolamento, l'attribuzione delle

responsabilità, la formazione del personale e gli audit connessi.

Contribuire alla Data Protection Impact Assessment e tenere nella

debita considerazione i rischi associati alle operazioni di

trattamento.

Cooperare con l‘Autorità di Controllo e fungere per quest’ultima

da punto di contatto.

Sensibilizzazione

Supporto

strategico

Rappresentanza

Controllo

#READY4EUDATAP

Competenze del Data Protection Officer

ARTICOLO 35, COMMA 5 (TESTO CONSOLIDATO)

The data protection officer shall be designated on the basis of

professional qualities and, in particular, expert knowledge of

data protection law and practices and the ability to fulfil the

tasks referred to in Article 37.

ARTICOLO 35, COMMA 11 (PROPOSTA COMMISSIONE EUROPEA)

Alla Commissione è conferito il potere di adottare atti delegati

conformemente all’articolo 86 al fine di precisare i criteri e i

requisiti concernenti le attività principali del responsabile del

trattamento o dell’incaricato del trattamento di cui al paragrafo 1,

lettera c), e i criteri relativi alle qualità professionali del

responsabile della protezione dei dati di cui al paragrafo 5.

#READY4EUDATAP

Regolamentazione della figura professionale

DATA PROTECTION OFFICER

LEGGE N. 4/2013 - DISPOSIZIONI IN MATERIA DI PROFESSIONI NON ORGANIZZATE

Figura professionale attualmente non regolamentata dalle leggi

italiane.

Non esiste un Ordine Professionale specifico a garanzia della

qualità delle attività svolte dal singolo professionista.

Disciplina la qualificazione delle competenze dei professionisti

che esercitano la propria attività al di fuori di albi e collegi.

Prevede che tali competenze possano essere valutate:

o dalle Associazioni Professionali presso le quali sono iscritti i

professionisti;

o attraverso il ricorso alla CERTIFICAZIONE delle competenze

professionali in conformità alla norma tecnica UNI (se

definita) per la singola professione rilasciata da Organismi di

Certificazione accreditati da ACCREDIA.

#READY4EUDATAP

Attestazione standard qualitativi e di qualificazione professionale

Al fine di tutelare i consumatori e di garantire la trasparenza del

mercato dei servizi professionali, le Associazioni Professionali

possono rilasciare ai propri iscritti, previe le necessarie verifiche,

sotto la responsabilità del proprio rappresentante legale, una

ATTESTAZIONE relativa:

agli standard qualitativi e di qualificazione professionale

(formazione, aggiornamento, rispetto del codice deontologico);

all'eventuale possesso da parte del professionista iscritto di una

certificazione, rilasciata da un organismo accreditato, relativa alla

conformità alla norma tecnica UNI;

alle garanzie fornite dall'associazione all'utente (sportello per il

consumatore).

(LEGGE 4/2013 ART. 7, COMMA 1)

#READY4EUDATAP

Processo di certificazione accreditato

LEGGE n.4 del 14/1/2013

“Gli organismi di certificazione accreditati

dall'organismo unico nazionale di

accreditamento (ACCREDIA) (...)

possono rilasciare (…)

il certificato di conformità

alla norma tecnica UNI

(se definita) per la singola professione.” (art. 9 comma 2)

Organismo di

Certificazione NProcesso di accreditamento

Certificazione di conformità alla norma UNI rilasciata da Organismo Accreditato

"(...) le associazioni professionali (...) collaborano

all'elaborazione della normativa tecnica UNI

relativa alle singole attività professionali."(art. 9 comma 1)

LEGGE n.4 del 14/1/2013

UNINFO – Progetto E14D00036

Profili professionali relativi alla privacy

Organismo di

Certificazione 1

Organismo di

Certificazione 2

ACCREDITATO ACCREDITATO ACCREDITATO

#READY4EUDATAP

Schema e-CF e UNI 11506

#READY4EUDATAP

Schema e-CF e UNI 11506

La UNI 11506 aggiunge ad e-CF versione 2.0 gli elementi necessari

per una qualificazione delle competenze ossia:

§6 Elementi per la valutazione e convalida dei risultati

dell'apprendimento (metodi di valutazione e organizzazione che

effettua la convalida)

§7 Aspetti etici e deontologici applicabili

E’ in corso il recepimento come norma europea di e-CF versione 3.0

che prenderà il posto della UNI 11506, aggiornandola.

#READY4EUDATAP

Progetto PPP (E14D00036)

Alias "profili professionali relativi alla privacy"

Obiettivo

Definizione di profili professionali ed elementi collegati in materia,

coerentemente con la legge 4/2013, unificati in un unico schema che

rispecchi le esigenze di mercato.

Struttura

Impiega gli strumenti messi a disposizione dalla collegata “Metodologia

per la costruzione di profili professionali basati sul sistema e-CF”

Partecipanti

Commissione UNINFO APNR

Commissione UNINFO 510 per la sicurezza delle informazioni

Commissione UNI Sicurezza della società e del cittadino

#READY4EUDATAP

Contenuto dei profili professionali

Definizione sintetica

Missione

Deliverable

• (RACI)

Compiti principali

Competenze

• Livello

Abilità

Conoscenze

KPI

Sch

em

a d

i p

rofi

lo p

rofe

ss

ion

ale

da C

WA

16

458

#READY4EUDATAP

Costruzione dei profili professionali

e-CF Framework v. 3.0

Competenze informatiche / non informatiche

Elementi di creazione

del GdL

e-Competence (40)

Conoscenze (m)

Aree e-Competence (5)

Competenze

Livelli (5)

Dimensione 1

Dimensione 2

Dimensione 3

Dimensione 4 Abilità (n) ConoscenzeAbilità

#READY4EUDATAP

Ipotesi su profili e competenze

(Chief) Privacy

OfficerDPO

Auditor

Privacy

Specialista

Privacy IT

Specialista

Privacy Legale

Manager Privacy

Legale

Manager

Privacy IT

Data protection

manager

Elettronica e hardware

Sistemi operativi

Applicativi

Basi di dati

Reti

Internet e web

Cloud

Web

IOT

Telecomunicazioni

Smart devices

Sensori

Tecnologie di geolocalizzazione

Tecnologie di identificazione

Firma digitale ed elettronica

Crittografia e pseudonimizzazione

Big data

Surveillance

Analisi del rischio e impact assessment

Privacy by design e by default

Copie di sicurezza, integrità dei dati,

continuità operativa e resilienza

Politiche di test per la sicurezza dei

trattamenti

Auditing

Partenza dai profili (top down)

Partenza dalle aree di competenza (bottom up)

#READY4EUDATAP

Ipotesi di organigramma privacy

Auditor PrivacySpecialista

Privacy IT

CIOLegale o

Compliance

Audit

Specialista

Privacy Legale

Manager

Privacy IT

Manager Privacy

Legale

Linee di

Business

Specialista

Privacy

Manager

Privacy

Profili in relazione tra loro

DPO

(Chief) Privacy

Officer

Top

Management

#READY4EUDATAP

Facci una domanda sul Blog

Contattaci su Twitter