Archivi categoria: DPO

FAQ: Organismo di vigilanza 231 e DPO sono ruoli compatibili?

FAQ: Organismo di vigilanza 231 e DPO sono ruoli compatibili?

L’associare la  figura dell’ Organismo di vigilanza 231 a quella del Data Protection Officer (DPO) è un dibattito che spesso si ritrova in molte aziende.

Vediamo di fare chiarezza una volta per tutte! 

L’ODV, ha il ruolo di controllare e vigilare sul funzionamento e sull’applicazione corretta del Modello di Organizzazione, Gestione e Controllo adottato dall’azienda (art. 6 del Decreto Legislativo 231/2001)Il D.Lgs 231/2001 non fornisce indicazioni riguardo la composizione dell’ODV  (monocratico o collegiale) e su eventuali  incompatibilità dei suoi componenti.
Su tale argomento si limita a specificare, sempre all’art. 6 ma comma 1 lett. b) che deve avere “autonomi poteri di iniziativa e di controllo” i quali garantiscano una vigilanza effettiva.


Gli strumenti per gestire l’attività dell’organismo di vigilanza

La figura di  Data Protection Officer, è stata introdotta dal GDPR (Regolamento UE 2016/679), e ha il compito di informare e fornire consulenza al titolare del trattamento sugli obblighi derivanti dalla normativa in materia di protezione dei dati personali e di sorvegliare l’osservanza della normativa applicabile e delle politiche del titolare in materia di protezione dei dati.

L’art. 39 del Reg Ue 2016/679 sottolinea come il DPO si deve occupare di responsabilizzare, sensibilizzare e formare il personale che partecipa ai trattamenti; di fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati; di cooperare con l’autorità di controllo e di fungere da punto di contatto per essa (art. 39 GDPR).Il tutto in piena indipendenza e autonomia (considerando 97 del Reg. Ue 2016/679), riferendo soltanto all’alta direzione.

Quindi gli elementi comuni del DPO e dell’Organismo di vigilanza sono:
_ autonomia
_ indipendenza
_ attività di supervisione e controllo nei loro ambiti

La domanda è quindi: può la medesima figura occupare contemporaneamente il ruolo di DPO e di Membro Organismo di vigilanza?


CORSO ON LINE AGGIORNAMENTO DPO


Dal punto di vista normativa non vi è alcun divieto! Vi sono però due elementi da considerare.

1) Competenze specifiche
Al DPO sono richieste specifiche competenze in ambito privacy e data protection. Il membro dell’organismo di vigilanza deve possedere competenze diverse, più gestionali e pluri-settoriali (es. tecniche e giuridiche).

2) Conflitto d’interessi del DPO
Come emerge dalle linee guida del WP29 (WP 243 rev.01),  il DPO può ricoprire altre funzioni all’interno dell’organizzazione purchè queste non diano luogo a conflitti di interesse. Ovvero il DPO non può ricoprire posizioni che comportino la determinazione di finalità e modalità di trattamento di dati personali.
Il Garante ha  poi indicato nelle FAQ disponibili sul sito del Garante stesso, che il DPO non può ricoprire ruoli manageriali e direzionali, ruoli assimilabili per chi scrive anche all’Organismo di vigilanza 231.

Pertanto non è consigliabili fare ricoprire il ruolo di DPO e di membro organismo di vigilanza al medesimo soggetto.

Autore: Dr.  Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu

Guarda il profilo su Linkedin

Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD

corso on line aggiornamento annuale dpo
CORSO ON LINE AGGIORNAMENTO ANNUALE DPO

Regolamento europeo: le linee di indirizzo del Garante privacy per gli RPD

Qual è il ruolo effettivo del Responsabile della protezione dati nella Pa? Quali titoli e che tipo di esperienza professionale deve possedere? Quando è incompatibile con altri incarichi o può incorrere in situazioni di conflitto di interessi? Come deve essere supportato e coinvolto, e per quali compiti?

A queste e a molte altre domande risponde il Garante per la privacy con un documento di indirizzo su designazione, posizione e compiti del Responsabile protezione dei dati (Rpd) in ambito pubblico, da oggi sul sito http://www.gpdp.it.

L’esigenza di fornire chiarimenti si è resa necessaria perché, a distanza di tre anni dalla piena applicazione del Regolamento Ue, si registrano ancora diverse incertezze che impediscono la definitiva affermazione di questa importante figura, obbligatoria per il settore pubblico.

Il Rpd costituisce un riferimento essenziale per garantire un corretto approccio al trattamento dei dati, soprattutto ora che le Pa sono sempre più sollecitate dalla sfida della “trasformazione digitale”.

Un Rpd esperto e competente, in grado di svolgere i propri compiti con autonomia di giudizio e indipendenza, rappresenta infatti, anche nell’attuale periodo di emergenza sanitaria, una risorsa fondamentale per le amministrazioni e un valido punto di contatto per l’Autorità.

Il documento di indirizzo, in corso di pubblicazione nella Gazzetta ufficiale, sarà inviato ai vertici delle amministrazioni nazionali e territoriali e alle realtà rappresentative del mondo pubblico, affinché ne favoriscano la più ampia diffusione.

Oltre al documento rivolto alla Pa, il Garante è intervenuto aggiornando le Faq riguardanti il settore privato. Anche in questo ambito il Rdp, pur presentando sensibili differenze rispetto al mondo delle pubbliche amministrazioni, svolge un ruolo fondamentale. Si tratta infatti di una figura chiamata ad assolvere funzioni di supporto, di controllo, consultive e formative, che deve essere adeguatamente coinvolta in tutte le attività che riguardano la protezione dei dati in azienda.

Anche le Faq aggiornate sono disponibili da oggi sul sito dell’Autorità.

La relazione annuale del DPO: errori da evitare

La relazione annuale del DPO al vertice gerarchico dell’azienda,  è suggerita dal Regolamento Europeo al comma 3 dell’art. 38: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. […]. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.
E’ un documento indispensabile che consente di tracciare il rapporto diretto tra l’alta direzione e il DPO.

modlelo_rel_ann_DPO

La relazione annuale del DPO, ha una duplice funzione:
_ per  il titolare, permette di valutare l’operato del DPO
_ per il DPO costituisce lo strumento per informare la dirigenza sul sistema di gestione della privacy dell’organizzazione.

Vediamo un elenco di errori da evitare da parte del DPO nel redigere tale relazione.

  1. strutturarla in modo poco dettagliato
  2. omettere l’elenco dei partecipanti alle riunioni tenutesi durante l’anno
  3. incompleta descrizione delle attività di verifica in merito all’organizzazione aziendale privacy
  4. elenco DPIA attivate non aggiornato
  5. elenco DATA BREACH non aggiornato
  6. assenza programmazione verifiche/audit per l’anno successivo
  7. indirizzare la relazione alla direzione aziendale in modo generico, senza verificare che sia effettivamente inviata all’organo che ha proceduto alla nomina del DPO
  8. Nel caso di gruppo societari indirizzare la relazione solo alla capo gruppo, e non alle singole società che lo compongono. La relazione in questo caso dovrà contenere una parte generale comune, relativa all’organizzazione e alla documentazione privacy utilizzata nel Gruppo, e una parte specifica per ciascuna società.
  9. nel caso l’azienda abbia una funziona compliance, un errore da evitare nella relazione del DPO è quella di non inserire i riferimenti alla relazione compliance sula privacy .

Aggiornati i corsi on line Esperto DPO e Aggiornamento Annuale DPO

Sono stati aggiornati i corsi on line Esperto DPO e Aggiornamento Annuale DPO, con nuovi contenuti inerenti la gestione dei dati personali in ambito emergenza sanitaria Coronavirus.

La relazione annuale del DPO: errori da evitare

La relazione annuale del DPO al vertice gerarchico dell’azienda,  è suggerita dal Regolamento Europeo al comma 3 dell’art. 38: “Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. […]. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento”.
E’ un documento indispensabile che consente di tracciare il rapporto diretto tra l’alta direzione e il DPO.

modlelo_rel_ann_DPO

La relazione annuale del DPO, ha una duplice funzione:
_ per  il titolare, permette di valutare l’operato del DPO
_ per il DPO costituisce lo strumento per informare la dirigenza sul sistema di gestione della privacy dell’organizzazione.

Vediamo un elenco di errori da evitare da parte del DPO nel redigere tale relazione.

  1. strutturarla in modo poco dettagliato
  2. omettere l’elenco dei partecipanti alle riunioni tenutesi durante l’anno
  3. incompleta descrizione delle attività di verifica in merito all’organizzazione aziendale privacy
  4. elenco DPIA attivate non aggiornato
  5. elenco DATA BREACH non aggiornato
  6. assenza programmazione verifiche/audit per l’anno successivo
  7. indirizzare la relazione alla direzione aziendale in modo generico, senza verificare che sia effettivamente inviata all’organo che ha proceduto alla nomina del DPO
  8. Nel caso di gruppo societari indirizzare la relazione solo alla capo gruppo, e non alle singole società che lo compongono. La relazione in questo caso dovrà contenere una parte generale comune, relativa all’organizzazione e alla documentazione privacy utilizzata nel Gruppo, e una parte specifica per ciascuna società.
  9. nel caso l’azienda abbia una funziona compliance, un errore da evitare nella relazione del DPO è quella di non inserire i riferimenti alla relazione compliance sula privacy .

 

Gli errori che il DPO non deve fare!

E’ stato pubblicato su www.clubdpo.com l’articolo “Gli errori che il DPO non deve fare“, in cui sono presentati i più comuni ma anche i meno frequenti errori che il Data Protection Officer può compiere, nello svolgimento della propria attività.

Ne pubblichiamo un estratto:

  • Non controllare adeguatamente i registri trattamenti. Va ricordato che è necessario avere un registro trattamenti per ogni “entità legale” aziendale (ad esempio nel caso di gruppi internazionali). Verificare inoltre per quelle aziende che operano trattamento di dati personali per conto terzi, sia disponibile accanto al Registro del Titolare, anche il    Registro del Responsabile.
  • Non definire opportuni flussi informativi per essere tempestivamente informato sui cambiamenti organizzativi, di business, di strumenti, infrastrutture o di fornitori ecc., tutti elementi che richiedono un aggiornamento dei registri, dell’analisi dei rischi o di altra documentazione, lo svolgimento di una valutazione rischi impatto trattamenti
  • Non definire una periodicità dei controlli. E’ bene a inizio anno prevedere già una periodicità dei controlli almeno quadrimestrale

Pubblicato il modello di report annuale dell’attività del DPO da consegnare alla direzione aziendale

La relazione annuale del DPO è utile a quest’ultimo per riferire sulle attività svolte al vertice gerarchico dell’azienda; allo stesso tempo consente al titolare del trattamento di dimostrare l’effettiva attenzione al tema della tutela dei dati personali.

Come realizzarla? Ecco il modello completo, in formato MS Word, editabile, 38 pagine