Modello di lettera d’incarico professionale per lo svolgimento dell’incarico di Data Protection Officer
Formato MS Word editabile
Pag. 4
Lettera d’incarico professionale per lo svolgimento dell’incarico di Data Protection Officer
Rispondi
Archivio mensile:settembre 2017
Modelli contratto e preventivo consulenza privacy
La collana modulistica dedicata al Reg. UE 2016/679 si arrichisce di due nuovi modelli ad uso dei consulenti privacy:
_ Modello preventivo consulenza Reg. UE 2016/679
_ Modello contratto di consulenza Reg. UE 2016/679
Questi modelli sono indispensabili per i professionisti che si occupano di privacy europea, in quanto permettono di presentare al cliente sia il preventivo che il contratto di consulenza in modo corretto e professionale.
In formato MS Word, modificabili
Includono le 22 fasi tipiche richieste dall’attività di consulenza in ambito privacy europea.
In offerta a 198 euro i.e. anzichè 299 euro i.e.
Effettua il pagamento con carta di credito su protocollo sicuro PayPal oppure tramite
bonifico bancario IBAN IT54 Y070 7202 4060 2900 0604 344 – Emil Banca intestato a Edirama di M. Rapparini – Importo bonifico Iva inclusa: 241,56 euro
Invio dei prodotti via email entro 2 ore dal pagamento
Privacy e cloud: cosa manca per l’attuazione del nuovo Regolamento Ue
Ad oggi, non è stato ancora stabilito dal legislatore italiano, a chi spetti il ruolo di ente di accreditamento, né sono stati definiti i criteri e alcuni requisiti per l’accreditamento degli organismi di certificazione, e neppure i criteri per la certificazione.
Con la diffusione e pervasione delle tecnologie nella nostra vita e nelle attività quotidiane, emergono nuove importanti priorità e aspetti da tenere in debita cura. Fra questi, forse il più delicato, è quello relativo alla tutela delle informazioni personali, che finiscono sulla rete.
Di qui, l’esigenza di intervenire dal punto di vista normativo nel settore del cloud computing, per la tutela dei dati archiviati su internet.
Spesso infatti noi stessi non siamo a conoscenza di quanti dati finiscono e restano immagazzinati online, dove vengono localizzati, e soprattutto come possiamo proteggere le informazioni, che uso potrebbe esserne fatto e cosa succede se passiamo da un fornitore a un altro.
A livello comunitario e nazionale è diventata pertanto sempre più necessaria la definizione di uno standard di norme comuni, per verificare la capacità dei fornitori di tali servizi di garantire la sicurezza e la protezione dei dati, specie quelli personali soggetti alle normative sulla privacy.
A livello europeo, nel maggio 2016, è stato approvato il Regolamento UE 2016/679 sulla protezione dei dati personali e sulla libera circolazione degli stessi, che entrerà definitivamente in vigore, in tutti i Paesi dell’Unione europea, il 25 maggio 2018.
Il Regolamento introduce regole più chiare in materia di informativa e consenso, limiti al trattamento automatico dei dati personali; prevede poi che le imprese con certe caratteristiche[1] si dotino della figura del Data Protection Officer (Responsabile della protezione dei dati), incaricato di assicurare una gestione corretta dei dati personali. Si prevede inoltre la responsabilità dei titolari del trattamento per la violazione delle norme sulla protezione dei dati personali e le eventuali lesioni di diritti e libertà degli interessati.
Viene poi incoraggiata l’istituzione di meccanismi per la certificazione della protezione dei dati personali, e di sigilli e marchi, con l’obiettivo di dimostrare la conformità dei trattamenti effettuati dai titolari e dai responsabili del trattamento.
Secondo l’articolo 42 del citato Regolamento, i soggetti legittimati a rilasciare questa certificazione sono l’Autorità di controllo competente per lo Stato (in Italia, il Garante per la protezione dei dati personali) oppure gli Organismi di certificazione. Questi, secondo l’articolo 43, devono essere accreditati dall’Autorità di controllo competente oppure dall’Organismo nazionale di accreditamento, che in Italia è Accredia, oppure da entrambi.
Su questo, il Garante sta lavorando insieme alle altre Autorità dei Paesi Ue per definire, entro l’anno, un quadro comune di criteri per accreditare gli organismi di certificazione e per la certificazione.
Accredia, dal canto suo, sta collaborando col Garante, per fornire tutta la sua esperienza in tema di accreditamento e di valutazione degli schemi di certificazioni per garantire l’avvio delle attività entro l’entrata in vigore del Regolamento, nel maggio 2018.
Proprio per l’assenza di una disciplina definita sull’accreditamento, Accredia e Garante hanno ritenuto importante precisare che, al momento, le certificazioni di persone e tutte quelle emesse in materia di privacy e data protection rilasciate in Italia, sebbene possano rappresentare una garanzia o un atto di diligenza verso le parti interessate, non possono però definirsi conformi al Regolamento europeo.
Nel contempo, è però già disponibile lo standard ISO/IEC 27018, elaborato nel 2014.
Su spinta della Commissione europea, delle Autorità nazionali e delle Commissioni per la protezione dei dati, ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) hanno, infatti, sviluppato e pubblicato l’ISO/IEC 27018 (Information technology-Security techniques – Code of practice for protection of personally identifiable information in public clouds action as PII processors).
E’ il primo standard a livello internazionale che contribuisce a garantire il rispetto dei principi e norme in materia di privacy, da parte dei provider di public cloud. Questa norma infatti è indirizzata ai service provider di public cloud che elaborano dati personali (PII-Personally Identifiable Information) e che agiscono in qualità di Data Processor.
Si tratta però di Linee Guida, riferite al Sistema di gestione dell’Organizzazione, accreditabili in base alla norma ISO/IEC 17021 (la precisazione è importante, perché si ricorda che invece il Reg. privacy si riferisce a certificazioni di prodotto / servizio accreditabili in base alla norma ISO/IEC 17065) che prendono in considerazione i requisiti normativi per la protezione dei dati personali per definire i possibili rischi per la sicurezza informatica di un fornitore di servizi cloud. Non è quindi una norma certificabile se presa come riferimento unico, ma è possibile ottenere una integrazione del proprio certificato ISO/IEC 27001, rilasciato da un Ente di certificazione accreditato, per dimostrare la capacità del provider di assicurare la protezione dei dati personali.
Siamo quindi in attesa che a livello Europeo il cosiddetto Gruppo di lavoro articolo 29 (l’organismo consultivo composto da rappresentanti delle varie autorità nazionali che si occupano di privacy) definisca le regole per l’accreditamento, l’Italia potrebbe essere l’apripista in questo settore.
A livello comunitario, al momento, nessun Ente di Normazione ha pubblicato norme o documenti para-normativi validi ai fini del regolamento Europeo sulla Privacy. Il BSI (ente di normazione inglese) ha però aggiornato la norma per la Certificazione del sistemi di gestione di una organizzazione in tema di privacy BS 10012:2017 Data protection. Specification for a personal information management system. Inoltre, la Spagna si è contraddistinta con l’approvazione di uno schema (non quindi una norma), elaborato dal Garante spagnolo insieme all’Ente di accreditamento nazionale (ENAC), che definisce le competenze per valutare questi organismi e i Data protection officer.
In Italia è invece allo studio una norma (UNI/UNINFO) per la definizione dei profili professionali relativi al trattamento e alla protezione dei dati personali, una professione intellettuale che esercita a diversi livelli di complessità e in diversi contesti organizzativi, pubblici e privati. I profili identificati sono, oltre quello del Responsabile della protezione dei dati personali sopra richiamato, il Manager privacy, lo Specialista privacy e infine il Valutatore privacy. La norma farà riferimento alla Legge 14 gennaio 2013, n. 4, “Disposizioni in materia di professioni non organizzate”.
Auspicando di far tesoro delle norme già previste in questo settore, Accredia pertanto si è messa a disposizione e fornirà al Garante e all’ente di normazione nazionale tutto il supporto tecnico possibile, garantendo il suo know-how in materia di accreditamento.
Ogni giorno, infatti, verifichiamo la competenza, l’imparzialità e l’indipendenza degli organismi di certificazioni e dei laboratori che attestano la conformità di prodotti, servizi e professionisti agli standard di riferimento, facilitandone la circolazione a livello nazionale. L’accreditamento è sinonimo di garanzia e affidabilità per consumatori, mercato e Istituzioni. In più, grazie agli accordi di mutuo riconoscimento firmati a livello comunitario e internazionale coi rispettivi Enti di accreditamento, le prove di laboratorio e le certificazioni degli organismi accreditati sono riconosciute e accettate in Europa e nel mondo.
Ci sono quindi tutti gli elementi per garantire il cittadino e tutelare il suo diritto fondamentale alla sicurezza e alla protezione delle informazioni personali.
Regolamento privacy, come scegliere il responsabile della protezione dei dati
Le prime indicazioni del Garante: necessarie competenze specifiche non attestati formali
Le pubbliche amministrazioni, così come i soggetti privati, dovranno scegliere il Responsabile della protezione dei dati personali (RPD) con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali. Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova importante figura – introdotta dal Regolamento UE 2016/679 – che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.
RISPARMIA SUBITO IL 30% SUI NUOVI SOFTWARE PRIVACY
Nella nota inviata a un’azienda ospedaliera l’Ufficio del Garante ricorda che i Responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali (in particolare se risulta documentato il livello raggiunto). Gli esperti individuati dalle aziende ospedaliere, ad esempio, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici) dovranno preferibilmente vantare una specifica esperienza al riguardo e assicurare un impegno pressoché esclusivo nella gestione di tali compiti.
L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza della disciplina ma, tuttavia, non equivalgono a una “abilitazione” allo svolgimento del ruolo del RPD. La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del RPD, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnati.
Dati personali: quando è escluso il consenso?
Anche se il contenzioso all’origine di questa sentenza è relativamente banale, la sentenza della corte di giustizia europea dà indicazioni preziose, che potranno certamente trovare applicazione in numerosi altri possibili contenziosi.
Come accennato, l’origine del contenzioso è relativamente banale. Un taxi stava trasportando un passeggero. Il tassista si è avvicinato ad un tram e il passeggero ha incautamente aperto lo sportello, danneggiando sia il taxi, sia il tram.
A questo punto l’azienda dei trasporti pubblici coinvolta ha chiesto al tassista di rimborsare i danni arrecati al mezzo pubblico, ma il tassista si è rifiutato, affermando che la richiesta di risarcimento doveva essere indirizzata al passeggero.
A questo punto l’azienda dei trasporti pubblici ha cercato di acquisire i dati del passeggero, ma la sua richiesta non ha avuto buon esito. L’azienda infatti si è rivolta alla polizia, che aveva effettuato i rilievi dell’incidente, che ha comunicato il nome e cognome del passeggero, ma non l’indirizzo od altro modo per poterlo rintracciare. La polizia ha dichiarato che non aveva rilasciato ulteriori dati personali del passeggero, in quanto tali dati, almeno secondo la polizia, erano protetti dalle vigenti disposizioni in materia di protezione dei dati personali.
Secondo la polizia, il passeggero non aveva dato il consenso alla trasmissione dei suoi dati e quindi essa era impossibilitata a comunicarli.
L’azienda dei trasporti pubblici ha eccepito su questa interpretazione, affermando che, come d’altronde anche in Italia, se il titolare che richiede un dato personale ha un legittimo interesse a conoscerlo, il dato gli deve essere comunicato, anche senza che l’interessato in questione abbia dato un esplicito consenso a questa comunicazione.
A questo punto la magistratura coinvolta ha ritenuto opportuno rivolgersi alla corte di giustizia europea, per una interpretazione genuina.
Il primo quesito posto alla corte di giustizia faceva riferimento al fatto che l’articolo 7 della direttiva 95/46 consente effettivamente la rivelazione dei dati personali sulla base di un legittimo interesse di un soggetto terzo, che li aveva richiesti.
La corte, a questo proposito, ha chiarito che questo obbligo di rivelazione di dati non era legato all’articolo sette, che semplicemente affermava che era possibile trattare dati a fronte di legittimi interessi di un soggetto terzo. La corte ha tuttavia precisato che questa rivelazione non era impedita dall’articolo sette, ma da eventuali ulteriori specifiche disposizioni, reperibili nella legge nazionale del paese coinvolto.
Colgo l’occasione per ricordare lettori che questo è l’ennesimo esempio della necessità di recepire certe disposizioni, in materia di dati personali, facendo riferimento al regolamento, che si applica egualmente in tutti paesi europei e non ha bisogno di applicazioni legislative nazionali, che possono portare a difformità, poco compatibili con l’armonizzazione delle leggi, di cui l’unione europea è fiera.
Ben più importante invece è il secondo tema su cui la corte è stata chiamata ad esprimersi. In particolare la corte ha statuito che i diritti e le libertà fondamentali dell’interessato al trattamento dei dati non sempre hanno precedenza su altri legittimi interessi.
Ricordo al proposito ai lettori l’ormai famoso caso di una prostituta di Ancona, risultata sieropositiva, il cui nome venne pubblicamente divulgato sugli organi di comunicazione di massa, con l’obiettivo di tutelare coloro che l’avevano frequentata.
Il garante ebbe occasione di segnalare che il sistema utilizzato per tutelare coloro che l’avevano frequentata poteva essere salvaguardato in modi meno clamorosi, ad esempio allestendo un numero verde, che poteva essere chiamato da tutti coloro che avevano il dubbio di aver frequentata. In linea di massima, tuttavia si ribadì il principio che la tutela della salute pubblica aveva precedenza sul diritto alla protezione dei propri dati, anche sensibili, da parte dell’interessato in questione.
Tornando alla pronunzia della corte, la corte ha dichiarato letteralmente “non vi è alcun dubbio che l’interesse di un soggetto terzo nell’ottenere informazioni personali afferenti ad un interessato, che ha danneggiato la sua proprietà, a ciò che questo interessato rimborsi danni e causato, possono essere qualificati come interesse legittimo”.
Parimenti, la corte ha statuito che l’atteggiamento assunto dalla polizia locale, che aveva rivelato solo il nome e cognome dell’interessato, e non aveva consentito alla corretta identificazione, costituiva un limite al legittimo interesse della azienda di trasporto pubblico.
A questo punto è saltato fuori un altro problema, che la corte ha preso in esame. L’interessato in questione era un minore e quindi i problemi legati ad una comunicazione a terzi dei suoi dati personali diventavano certamente più delicati, rispetto al caso in cui l’interessato, che aveva causato un danno, fosse di maggiore età. Si tratta evidentemente di un caso assolutamente speciale, che però non altera l’impostazione generale del giudizio della corte.
D’altro canto, che il diritto alla protezione dei propri dati personali non costituisca un diritto assoluto, ma un diritto che deve essere costantemente bilanciato con altri diritti, rappresenta un principio fondamentale che la nostra autorità garante ha più e più volte ribadito.
In particolare, più volte l’autorità garante, ad esempio, si è espressa sul fatto che il diritto alla protezione dei dati personali diventa più o meno incisivo, in funzione della figura pubblica, o meno, del soggetto in questione.
In altre parole, un soggetto pubblico ha meno diritto a veder tutelati i suoi dati personali, rispetto ad un cittadino qualsiasi, come chi scrive!
Sentenza allegata (pdf)
Adalberto Biasiotti
Fonte: Puntosicuro.it
Pubblicato Kit formazione privacy europea
Kit formazione privacy europea è lo strumento per chi deve realizzare corsi, convegni, incontri di formazione sul nuovo Reg. Ue privacy 2016/679.
Il Kit fornisce tutti gli strumenti già pronti per realizzare l’attività formativa di base
_ corso di formazione sul nuovo reg. UE 2016/679 costituito da 46 slide in PowerPoint personalizzabili (scarica estratto). Gli argomenti riguardano gli aspetti innovativi e pratici del Reg. Ue 2016/679
_ test di valutazione per l’attivita’ di verifica finale dei corsi
_ modulistica in formato MS Word costituita da: modello registro presenze, questionario valutazione finale corso, modello di attestato.
_ software Formazione Doc per gestire l’attività di formazione
Il software consente di:
_ registrare per ogni corsista i corsi frequentati, il curriculum, le esigenze formative, la valutazione annuale
_ calcolare le ore o i crediti formativi residui per ogni corsista
_ individuare per ogni corsista i corsi per i quali non e’ stata ancora raggiunto il credito formativo predefinito
_ individuare le scadenze dei corsi
_ individuare le scadenze di formazione dei singoli corsisti
_ stampare organigramma
_ stampare per ogni corsista i corsi a cui ha partecipato
_ Importare da MS Excel o MS Access le anagrafiche dei corsisti e dei corsi
_ realizzare il check-up formazione, che consente di individuare quali siano gli obblighi formativi non rispettati, con i relativi consigli operativi per mettere a norma l’azienda! – Novita’
A chi è rivolto
_ Aziende e consulenti che devono realizzare la formazione di base ai lavoratori sul nuovo regolamento europeo privacy 2016/679
Pensa ai vantaggi di chi utilizza già questo prodotto
_ rapidita’ nel preparare le lezioni
_ rapidita’ nel gestire l’attivita’ finale di valutazione
_ rapidita’ nel gestire l’attivita’ formativa professionale
In offerta a soli 299 euro i.e. anzichè 399 euro i.e.
Puoi effettuare il pagamento mediante:
_ carta di credito su protocollo sicuro PayPal
_ bonifico bancario
Importo bonifico: 364,78 €
IBAN IT54 Y070 7202 4060 2900 0604 344 – Emil Banca intestato a Edirama di M. Rapparini – Una volta effettuato il bonifico inviare copia via email a ediramaweb@gmail.com e ricevi entro 24 ore il link per il download
Privacy e vaccini: le scuole potranno inviare gli elenchi degli iscritti alle Asl
Da oggi gli istituti scolastici e i servizi educativi per l’infanzia potranno trasmettere gli elenchi degli iscritti alle Asl competenti per territorio per consentire la verifica della regolarità vaccinale senza aggiungere oneri burocratici a famiglie e pubblica amministrazione. Questa la decisione del Garante che ha adottato un provvedimento urgente – con valenza generale – per consentire un trattamento dei dati non previsto dalla normativa sui vaccini se non dal 2019.
Tale decisione risponde alla richiesta dell’Ufficio Scolastico Regionale per la Toscana e di numerose altre amministrazioni su scala nazionale che hanno manifestato l’intenzione di effettuare uno scambio automatico di dati sulla regolarità vaccinale – anche in assenza di una specifica norma che lo consentisse – al fine di favorire il rispetto degli obblighi vaccinali nei termini previsti dalla legge.
In considerazione dell’esigenza segnalata e dell’imminente avvio dell’anno scolastico, il Garante ha adottato con procedura urgente un provvedimento a valenza generale che autorizza una comunicazione di dati personali non sensibili dalle scuole alle autorità sanitarie.
In particolare, alla luce delle finalità istituzionali perseguite e delle difficoltà operative evidenziate:
• Le scuole – sia quelli pubbliche, sia quelle private – e i servizi educativi per l’infanzia possono trasmettere l’elenco degli iscritti alle aziende sanitarie territorialmente competenti. Tali elenchi potranno essere usati per l’attività di verifica delle singole posizioni e per l’avvio delle procedure previste (ad esempio la convocazione dei genitori), nonché per la pianificazione delle attività necessarie a mettere a disposizione dei genitori la documentazione prevista dal decreto.
• Il Garante ricorda che le aziende sanitarie, di propria iniziativa, al fine di semplificare le procedure, possono già inviare alle famiglie i certificati o altre attestazioni vaccinali per consegnarli alle scuole, senza dover aspettare che siano i genitori stessi a richiederli, nonché inviare altre comunicazioni relative agli obblighi vaccinali, anche a seguito di accordi con gli istituti scolastici.
Nella giornata di ieri, sono giunte richieste da parte di alcune regioni che vorrebbero poter comunicare direttamente alle scuole, anche tramite le aziende sanitarie, i dati sulle vaccinazioni effettuate dagli alunni. Al riguardo, si ricorda che se il trattamento di dati sensibili non è espressamente previsto da una disposizione di legge i soggetti pubblici possono richiedere al Garante di esprimersi in tal senso solo dopo aver adottato una norma regolamentare – con parere conforme dell’Autorità – che specifichi i tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi indicati del Codice della privacy.
“Sin dall’inizio della vicenda il Garante della privacy ha offerto la massima collaborazione ai Ministeri competenti e a tutte le altre amministrazione coinvolte.” – afferma il Presidente Antonello Soro – “Per aiutare ulteriormente famiglie, scuole e regioni, abbiamo ritenuto ora necessario intervenire, nei limiti che ci sono consentiti dalla legge, per semplificare la vita alle famiglie e consentire un più celere flusso di dati. Ci auguriamo che questo provvedimento ristabilisca chiarezza e limiti i possibili rischi legati a uno scambio dati effettuato in assenza di una regolamentazione omogenea su tutto il territorio”.
“Con il nostro provvedimento è ora consentita la trasmissione dei registri degli iscritti dalle scuole alle Asl. Al momento, invece, manca un’adeguata base regolamentare che consenta il flusso inverso, ovvero la trasmissione di dati sensibili dalle Asl alle scuole. Resta naturalmente ferma la nostra disponibilità a esaminare ogni soluzione normativa che possa eventualmente introdurre ulteriori semplificazioni”.
Roma, 1 settembre 2017
Consulenza Privacy 