Archivi categoria: clubdpo

FAQ: Organismo di vigilanza 231 e DPO sono ruoli compatibili?

Rispondi

FAQ: Organismo di vigilanza 231 e DPO sono ruoli compatibili?

L’associare la  figura dell’ Organismo di vigilanza 231 a quella del Data Protection Officer (DPO) è un dibattito che spesso si ritrova in molte aziende.

Vediamo di fare chiarezza una volta per tutte! 

L’ODV, ha il ruolo di controllare e vigilare sul funzionamento e sull’applicazione corretta del Modello di Organizzazione, Gestione e Controllo adottato dall’azienda (art. 6 del Decreto Legislativo 231/2001)Il D.Lgs 231/2001 non fornisce indicazioni riguardo la composizione dell’ODV  (monocratico o collegiale) e su eventuali  incompatibilità dei suoi componenti.
Su tale argomento si limita a specificare, sempre all’art. 6 ma comma 1 lett. b) che deve avere “autonomi poteri di iniziativa e di controllo” i quali garantiscano una vigilanza effettiva.


Gli strumenti per gestire l’attività dell’organismo di vigilanza

La figura di  Data Protection Officer, è stata introdotta dal GDPR (Regolamento UE 2016/679), e ha il compito di informare e fornire consulenza al titolare del trattamento sugli obblighi derivanti dalla normativa in materia di protezione dei dati personali e di sorvegliare l’osservanza della normativa applicabile e delle politiche del titolare in materia di protezione dei dati.

L’art. 39 del Reg Ue 2016/679 sottolinea come il DPO si deve occupare di responsabilizzare, sensibilizzare e formare il personale che partecipa ai trattamenti; di fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati; di cooperare con l’autorità di controllo e di fungere da punto di contatto per essa (art. 39 GDPR).Il tutto in piena indipendenza e autonomia (considerando 97 del Reg. Ue 2016/679), riferendo soltanto all’alta direzione.

Quindi gli elementi comuni del DPO e dell’Organismo di vigilanza sono:
_ autonomia
_ indipendenza
_ attività di supervisione e controllo nei loro ambiti

La domanda è quindi: può la medesima figura occupare contemporaneamente il ruolo di DPO e di Membro Organismo di vigilanza?


CORSO ON LINE AGGIORNAMENTO DPO


Dal punto di vista normativa non vi è alcun divieto! Vi sono però due elementi da considerare.

1) Competenze specifiche
Al DPO sono richieste specifiche competenze in ambito privacy e data protection. Il membro dell’organismo di vigilanza deve possedere competenze diverse, più gestionali e pluri-settoriali (es. tecniche e giuridiche).

2) Conflitto d’interessi del DPO
Come emerge dalle linee guida del WP29 (WP 243 rev.01),  il DPO può ricoprire altre funzioni all’interno dell’organizzazione purchè queste non diano luogo a conflitti di interesse. Ovvero il DPO non può ricoprire posizioni che comportino la determinazione di finalità e modalità di trattamento di dati personali.
Il Garante ha  poi indicato nelle FAQ disponibili sul sito del Garante stesso, che il DPO non può ricoprire ruoli manageriali e direzionali, ruoli assimilabili per chi scrive anche all’Organismo di vigilanza 231.

Pertanto non è consigliabili fare ricoprire il ruolo di DPO e di membro organismo di vigilanza al medesimo soggetto.

Autore: Dr.  Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu

Guarda il profilo su Linkedin

Attestazione Esperto Privacy Covid-19

Rispondi

Attestazione Esperto Privacy Covid-19 è l’attestazione per dimostrare le proprie competenze professionali in ambito privacy relative al Covid-19.

Il percorso prevede due fasi
1) Formazione on line con la consultazione del materiale didattico (c.a. 2 ore apprendimento)
2) Esame on line finale con 20 domande a risposta SI/NO, superato il quale si riceve l’Attestazione Esperto Privacy Covid-19 con relativo attestato numerato, e iscrizione nell’elenco online  Esperti Privacy Covid-19

A chi è rivolta: consulenti privacy e DPO, Titolari trattamenti dati

Vantaggi
_ dimostrare le proprie competenze privacy in ambito gestione Covid-19
_ dimostrare il proprio aggiornamento professionale continuo

Approvato da ADPOE – Associazione Data Protection Officer Europei www.adpoe.eu

FAQ
1) In quanto tempo viene attivato l’accesso al percorso di attestazione?
Entro 24 ore dal pagamento l’utente riceve i codici di accesso all’erea elearning dove potrà consultare il materiale didattico e una volta raggiunte le 2 ore di consultazione, accedere all’esame on line

2) Da chi è riconosciuta l’Attestazione  Esperto Privacy Covid-19?
L’attestato rilasciato certifica il percorso formativo e l’avere superato l’esame di valutazione. E’ un certificato ordinario di formazione, pertanto è un documento che attesta le relative competenze.

3) Se non supero l’esame, posso ripeterlo?
Sì, puoi ripetere l’esame finale due volte

4) L’iscrizione all’elenco Esperti Privacy Covid-19 ha una scadenza?
No, la visibilità in tale elenco non ha scadenza

Lavoro, vanno protetti i dati degli iscritti ai sindacati

Rispondi

club

Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto.  Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.

È quanto affermato dal Garante privacy a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale [doc. web n. 9065999].

A giustificazione del proprio comportamento l’Azienda ha affermato, tra l’altro, di aver ritenuto necessario informare la Rappresentanza sindacale della variazione per evitare il rischio che senza questa comunicazione l’organismo avrebbe continuato ad operare in una composizione non più aderente alla realtà, con inevitabili ricadute sulla validità della contrattazione aziendale.

Le informazioni sull’adesione sindacale rientrano nella categoria dei dati sensibili  – ha osservato  l’Autorità – ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. Il datore di lavoro  può lecitamente trattarli in base alla legge per adempiere agli obblighi derivanti dal rapporto di lavoro, ad esempio per effettuare il versamento delle quote di iscrizione ad associazioni o organizzazioni sindacali su delega e per conto del dipendente.

In questo caso invece l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale la revoca dell’affiliazione di alcuni lavoratori, ma ha inviato a tutti i componenti della sigla sindacale una e-mail cui erano allegati dei documenti nei quali era espressamente indicata l’iscrizione dei lavoratori che avevano aderito ad un altro sindacato. Ciò ha determinato una illecita comunicazione di dati personali sensibili dei reclamanti.

A conclusione dell’istruttoria il Garante ha ritenuto che dalla valutazione degli elementi acquisiti la condotta dell’Azienda, pur difforme dalla disciplina applicabile, abbia esaurito i suoi effetti e non sussistono quindi i presupposti per l’adozione di un provvedimento prescrittivo  o inibitorio.

L’Autorità  si è riservata però di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali.

Clubdpo.com – Nuova opportunità professionale per i DPO

Rispondi

Pubblicato nell’area Offerte di lavoro per DPO il link a un nuovo bando di affidamento incarico Data Protection Officer in Comune Reg. Campania – http://www.clubdpo.com

E’ disponibile agli abbonati di http://www.clubdpo.com  ( Per informazioni sull’abbonamento clicca qui)

Il #GDPR non è sufficiente per mettere al sicuro l’azienda dalle problematiche di #sicurezza dei dati personali. Ecco cosa fare.

Rispondi

Autore: Dr. Matteo Rapparini – www.edirama.org

Sono trascorsi oramai alcuni mesi da quando il Reg UE 2016/679 è operativo. Chi ha effettuato tale aggiornamento in molti casi lo ha comunicato a clienti e fornitori (anche tu avrai ricevuto decine e decine di email che ti informavano dell’adeguamento dell’informativa al GDPR, della sicurezza dei tuoi dati personali), ma la gestione dei dati personali è stata effettivamente migliorata e resa più sicura?

A mio avviso, no. E in questo articolo ti spiego il perché e cosa c’è da fare per rendere davvero efficace e sicura la gestione dei dati personali.

L’introduzione del GDPR nelle aziende ha assicurato che le organizzazioni sappiano dove sono in possesso di dati personali e consentito di mettere in atto controlli sulle modalità di archiviazione, utilizzo e cancellazione di tali dati attraverso una politica che dovrebbe essere chiaramente definita e ben compresa, con processi aziendali adeguati per garantirne la conformità.

Tuttavia il GDPR non si occupa dell’effettiva sicurezza delle reti di un’organizzazione e dei dispositivi su cui esse memorizzano e accedono alle informazioni.

IL GDPR sostanzialmente non si occupa di sicurezza informatica, e spesso le aziende commettono un errore pensando che l’adempimento a questo regolamento sia sufficiente per evitare problemi di violazione dei dati personali gestiti.

Ma cosa significa “dati personali sicuri”?
A mio avviso, avere “dati sicuri” significa rispondere affermativamente a queste tre domande.

  • I nostri utenti non possono accedere ai nostri dati aziendali critici quando ne hanno bisogno, indipendentemente dalla loro posizione?
  • In secondo luogo, i nostri dati sono protetti da accessi non autorizzati o furti?
  • Infine, i nostri dati sono tutelati se qualcosa andrà storto, ad esempio se i nostri computer si guastassero?

La sicurezza dei dati richiede quattro discipline chiave:

  • gestione dell’identità e dell’autenticazione,
  • gestione del ciclo di vita delle informazioni,
  • sicurezza della rete e
  • pianificazione della continuità operativa.

Per sviluppare un’efficace politica di sicurezza dei dati, le organizzazioni devono considerare in modo olistico l’intera infrastruttura, dal modo in cui i dati vengono creati o acquisiti al modo in cui vengono valutati, archiviati, consultati e smaltiti. Ciò dovrebbe includere dati che entrano nell’organizzazione da clienti, partner e fornitori; dati creati all’interno dell’organizzazione, come presentazioni e rapporti; e dati che escono dall’organizzazione, come fatture e proposte commerciali.

Tuttavia, la chiave per la sicurezza dei dati sono le persone. Nessuna tecnologia o regolamentazione sarà efficace se tutti i dipendenti non si atterranno alle procedure di sicurezza dell’organizzazione. Ciò significa definire una chiara politica di sicurezza, educare i dipendenti a tutti i livelli (compresi i dirigenti) sui motivi per cui è importante ottenere il loro consenso e impegno. La politica deve essere applicabile, realistica, accettabile per gli utenti e non deve violare le leggi sulla privacy personale.

Attuare un’efficace politica di sicurezza significa anche ottenere l’impegno dei vari “proprietari” dei dati all’interno dell’organizzazione, che dovrebbero essere responsabili della loro gestione e della sicurezza una volta implementate le soluzioni di sicurezza.

Il raggiungimento di standard di sicurezza riconosciuti come la norma ISO27001 aiuta un’organizzazione a migliorare la propria sicurezza dati e rassicura i propri clienti su tale argomento. Ciò può essere vantaggioso anche per il suo futuro sviluppo e la sua crescita sul mercato dove il possedere una certificazione ISO 27001 è ad esempio un requisito indispensabile per partecipare a gare di appalto pubbliche.

Quali sono i suggerimenti per mantenere sicuri tutti i dati (compresi i dati personali) della vostra organizzazione? Ho riassunto 5 punti fondamentali

……………….. continua per gli abbonati al sito http://www.clubdpo.comVuoi sapere come abbonarti? Clicca qui

Privacy, su multe e ispezioni il Governo va incontro alle aziende

Rispondi

Il GDPR, il regolamento per il rispetto della privacy, in versione italiana dà un po’ di respiro alle aziende, che ora sono molto in affanno nel cercare di rispettare le nuove regole europee sulla privacy. Il Governo infatti ha deciso per un periodo di grazia delle attività di ispezione del Garante e possibili esenzioni per le PMI.

Ci sono queste tra le novità che si leggono nel testo che il Consiglio dei Ministri ha approvato e pronto per l’approvazione. Si tratta del decreto di adeguamento della normativa italiana al Regolamento privacy noto appunto come GDPR. Le regole europee sono scattate in Italia, come nel resto della Ue, il 26 maggio ma si aspettava un decreto italiano che le “personalizzasse” per la nostra situazione. Il testo non è ancora pubblico, ma a quanto risulta vi si legge tra l’altro un periodo di “grazia “ di 8 mesi per la piena applicazione dell’attività ispettiva del garante privacy. Inoltre, le piccole e medie imprese potranno essere oggetto di provvedimenti di esenzione del Garante Privacy.

Continua su www.clupdpo.com

Privacy, sospese le ispezioni a imprese e P.a. per 8 mesi

Rispondi

Ingresso soft nella privacy europea. Prevista gradualità dell’attività ispettiva sull’adeguamento delle imprese e delle p.a. al Regolamento Ue sulla protezione dei dati 2016/679 (noto come Gdpr), operativo dal 25 maggio 2018. A stabilirlo è lo schema di decreto legislativo di armonizzazione della disciplina della privacy italiana al Regolamento Ue, approvato ieri dal Consiglio dei ministri in via definitiva. Ci dovrebbe essere, secondo il testo in entrata, un periodo, che dovrebbe essere di otto mesi, per l’attuazione a pieno regime dei poteri di indagine affidati al Garante per la protezione dei dati personali. D’altra parte in questa direzione convergevano sia le indicazioni dei pareri delle commissioni parlamentari (si vedano i documenti dell’atto non legislativo n. 22 di Camera e Senato), sia alcuni indirizzi espressi da Antonello Soro, presidente dell’Autorità Garante, nella sua relazione al Parlamento per l’anno 2017. La gradualità dell’attività ispettiva è stata anche indicata come strada da seguire da un provvedimento dello stesso Garante della privacy del 22 febbraio 2018, e ora l’impostazione più ragionevole pare avere trovato l’avallo in sede di legislazione delegata.

Fonte: Italia Oggi

Aggiornato www.clubdpo.com

Rispondi

 

Sono stati inseriti i seguenti aggiornamenti in www.clubdpo.com, il servizio on line di aggiornamento per i data protection officer e i consulenti privacy europea.
Scopri come abbonarti dal seguente link

1) GDPR Modello in MS Word istruzioni responsabili –
2) Cyber_security Video formazione – Cos’è la crittografia
3) GDPR Modello in MS Word Autorizzazione trattamento dati dipendenti –
4) Sentenza – possibilità di procedere anche senza il consenso dell’informato
5) GDPR 100 quesiti più ricorrenti in materia di GDPR
6) GDPR Quando procedere ad una DPIA ex art. 35 GDPR
7) Garante privacy Flotte aziendali, sistemi GPS con privacy incorporata
8) Garante privacy Trattamento dei dati raccolti attraverso un pop up –
9) Cyber_security Il protocollo https e il GDPR. Come essere a norma.
10) Cyber_security Check list cybersecurity per gli studi professionali

Ultime novità #privacy europea

Rispondi

Il servizio delle novità sulla privacy europea – Rassegna stampa – disponibile su www.clubdpo.com è stato aggiornato con le seguenti novità

  • Droni: regolamento Enac e normativa post Gdpr, in Italia ed Europa
  • Come adeguare il proprio sito web al nuovo regolamento GDPR
  • Il GDPR non si applica alle persone giuridiche (quasi mai): ecco le conseguenze
  • GDPR, cosa cambia per il medico di famiglia: i nodi della privacy
  • Facebook, la privacy costa cara. Ecco perché sta crollando in Borsa
  • Cyber_security Studio su violazioni dati e data breach: ecco quanto ci costano
  • Privacy e consulenti del lavoro, titolari del trattamento e non obbligatoriamente responsabili esterni
  • Formazione nuovo regolamento privacy: obbligo per dirigenti, DSGA e vicari. Entro il 28 novembre
  • Registro dei trattamenti per la privacy (GDPR), come farlo e i vantaggi k
  • Regolamento Privacy: il DPO è direttamente responsabile in caso di inosservanza del GDPR?