Archivi categoria: DPO

DPO interno o esterno? Utili consigli per sceglierlo

 

club
Individuare il Data Protection Officer giusto per la propria azienda è una scelta delicata. Ci si può rivolgere a una risorsa interna, oppure a un professionista esterno. Ci sono vantaggi e svantaggi in entrambi i casi.
In questo articolo – disponibile su www.clubdpo.com – utili consigli per scegliere il DPO più adatto.

Le abilità richieste al #DPO

La  professione di DPO oltre a richiedere determinate competenze professionali, esige delle abilità personali che possono essere con la formazione sviluppate e migliorate.

Quando parliamo di abilità personali lo facciamo partendo da un punto: le funzioni del DPO.

Tipicamente il Dpo è una figura intermedia in azienda, un supervisore che deve sostanzialmente assicurare che il sistema privacy giri a regime e nel caso di problemi, è l’interfaccia con il Garante e gli organi di controllo.

In tale contesto il DPO deve possedere abilità personali in grado di gestire le molteplici situazioni che si possono creare in azienda.

Mentalità aperta, diplomazia, versatilità, perseveranza, fermezza, capacità di comunicare, di analisi, di sintesi, di controllo, di convincimento, di gestione dei conflitti, di iniziativa e di lavorare in gruppo.

Il DPO deve avere ottime capacità  di relazionarsi con gli altri. Queste caratteristiche sono innate,  ma si possono sviluppare con un percorso formativo ad hoc.

Non a caso abbiamo inserito il corso La gestione dei conflitti sui luoghi di lavoro nei nostri corsi per DPO e nella sezione formazione di Clubdpo.com.

Per fornire ai DPO utili elementi per svolgere al meglio la propria professione.

 

 

Clubdpo.com – Nuova opportunità professionale per i DPO

Pubblicato nell’area Offerte di lavoro per DPO il link a un nuovo bando di affidamento incarico Data Protection Officer in Comune Reg. Campania – http://www.clubdpo.com

E’ disponibile agli abbonati di http://www.clubdpo.com  ( Per informazioni sull’abbonamento clicca qui)

I problemi assicurativi del responsabile della protezione dei dati

Il responsabile della protezione dei dati è una figura relativamente nuova sullo scenario europeo, in materia di trattamento e protezione dei dati. Anche se le agenzie europee dispongono di questo profilo professionale ormai da più di 10 anni, in altri paesi, e segnatamente in Italia, il fatto che questa figura sia affatto nuovo pone problemi, che occorre affrontare e risolvere tempestivamente.

www.clubdpo.com

A questo proposito risulta prezioso un documento, prodotto in edizione finale il 5 aprile 2017 – WP 243, e disponibile in lingua italiana anche sul sito dell’autorità Garante nazionale, elaborato dall’ articolo 29 Working party. Colgo l’occasione per ricordare lettori che l’articolo 29 Working party è stato trasformato nel comitato europeo per la protezione dei dati, il 25 maggio 2018.

Come di consueto, i documenti prodotti da questo gruppo di esperti rappresentano un punto di riferimento a livello europeo e devono essere studiati attentamente, da parte di chiunque voglia essere assistito nella corretta interpretazione delle disposizioni del regolamento europeo.

Tanto per cominciare, viene chiarito il fatto che le responsabilità nei rapporti contrattuali con un responsabile del trattamento dei dati personali, sia che esso venga designato per obbligo di regolamento, sia che venga designato come garanzia del titolare, anche in assenza di obbligo di regolamento, non sono sostanzialmente diversi.

D’altro canto, un atteggiamento prudenziale da parte di un titolare è del tutto apprezzabile ed ecco la ragione per la quale più volte è stato raccomandato ai titolari di designare, ove sussistano ragionevoli motivi, un responsabile della protezione dei dati, anche se non espressamente obbligati.

Un altro aspetto importante riguarda il fatto che il responsabile del trattamento può essere sia interno all’organizzazione, sia esterno. Anche in questo caso, il documento in questione chiarisce che il regolamento consente entrambe le soluzioni.

I responsabili della protezione, interni all’organizzazione, sono dei dipendenti, mentre i soggetti esterni sono legati da un contratto di servizio e possono offrire la loro assistenza anche ad altre organizzazioni, salvo conflitti di competenza. Sarà probabilmente questa la soluzione che verrà adottata da molti titolari italiani, anche per la scarsità dell’offerta del mercato, in termini di responsabili della protezione dei dati in possesso di soddisfacenti qualificazioni.

A questo punto si pone il problema, legato al fatto che un responsabile della protezione dei dati potrebbe o meno essere esposto a responsabilità personali, in caso di violazione della protezione dei dati, sia da parte dei propri clienti, sia da parte dei propri datori di lavoro.

Vediamo quali possano essere le soluzioni disponibili per consentire a responsabili della protezione dei dati, sia interni, sia esterni, di ottenere una appropriata copertura assicurativa.

Esaminiamo le alternative possibili.

Se un’autorità Garante nazionale applica una stazione a un titolare, e il titolare può dimostrare che la sanzione discende da iniziative prese sulla base di consigli offerti dal responsabile della protezione dei dati, può sembrare logico che il titolare, che comunque deve pagare la sanzione, cerchi di recuperare le proprie perdite dal responsabile della protezione coinvolto, soprattutto se è in grado di dimostrare che il suo comportamento è stato negligente. La situazione cambia se il titolare ha scelto un responsabile della protezione dei dati, che non dava sufficienti garanzie ed a questo punto una culpa in eligendo certamente può manifestarsi.

Cominciamo a dire che il regolamento europeo offre qualche livello di protezione ai responsabili della protezione, anche se non li protegge da una qualsiasi forma di responsabilità.

L’articolo 39 indica quali sono le responsabilità minime di un responsabile della protezione, ed in particolare il comma 3 dell’articolo 38 proibisce al titolare di dare istruzioni al responsabile, circa le modalità con cui egli deve svolgere il proprio lavoro. Un ulteriore garanzia, a protezione del responsabile della protezione, nasce sempre dall’articolo 38, laddove il responsabile della protezione dei dati non può essere licenziato o penalizzato dal titolare o del responsabile del trattamento, nel corso delle sue attività di supporto professionale.

Tuttavia, questa garanzia di indipendenza potrebbe essere viziata dal fatto che il responsabile della protezione è venuto meno ai suoi doveri per negligenza oppure incompetenza. Ecco perché rimane comunque una responsabilità residua in carico a questo soggetto.

Per la verità, il già menzionato documento dell’articolo 29 Working party stabilisce chiaramente che i responsabili della protezione non sono personalmente responsabili, in caso il titolare non abbia rispettato le disposizioni del regolamento. Ciò non toglie ovviamente che il titolare non possa rivalersi sul responsabile della protezione, se il mancato rispetto discende da un suo errore oppure da un suo comportamento negligente.

Perfino un interessato può cercare di coprire i danni che possa aver subito, a seguito di un comportamento negligente di un responsabile della protezione dei dati.

La situazione può essere più trasparente, quando il responsabile della protezione è soggetto terzo sotto contratto, mentre può essere un poco più confusa quando il responsabile è un soggetto interno. Occorre infatti vedere quale sia il suo ruolo all’interno dell’organizzazione, anche se con ogni probabilità si tratta sempre di un ruolo dirigenziale. Al proposito, ricordo che il regolamento esplicitamente prevede che il responsabile della protezione dei dati abbia diretto accesso all’alta direzione, per trattare temi legati al suo supporto professionale.

Lo scenario del responsabile della protezione esterno può essere più facilmente inquadrato, facendo riferimento ai fornitori di servizi professionali, in varie parti d’Europa. Se un professionista, che presta la sua opera ad un titolare, si comporta in modo negligente e il suo cliente, per conseguenza, soffre un danno, è del tutto normale che il cliente pretenda un adeguato ristoro.

Questo scenario però si complica quando, ad esempio, il responsabile esterno offre i suoi servizi ad una moltitudine di titolari. A questo punto, ove si verificasse uno scenario di negligenze multiple, le coperture assicurative potrebbero non essere sufficienti a coprire analoghe tipologie di sinistro, verificatesi presso vari clienti contemporaneamente.

Sui mercati internazionali già da tempo sono disponibili le “Directors & Officers insurance coverage”, che potrebbero essere adattate in modo da garantire protezione ai responsabili della protezione interni, mentre una copertura assicurativa per errori ed omissioni E&O potrebbe essere utilizzata per proteggersi da sinistri, riconducibili a responsabili esterni della protezione.

Ad oggi non si ha sufficiente esperienza per elaborare delle coperture assicurative correttamente formulate, ma sono certo che la vivacità di molti assicuratori, in particolare i Lloyd’s underwriters, non ci metterà molto a mettere a disposizione adeguate soluzioni.

Tornando al primo tipo di copertura assicurativa, quella che viene normalmente indicata come copertura D&O, essa è certamente applicabile a soggetti interni all’azienda e può non solo coprire le sanzioni, ma anche le spese legali che spesso sono collegate al processo di applicazione delle sanzioni. Talvolta la copertura si applica anche a possibili azioni, attivate dagli azionisti della società, nei confronti dei propri dirigenti ed amministratori. So bene che in Italia questo scenario è poco consueto, ma all’estero esso è assai più frequente.

Anche in questo caso, occorre esaminare fino a che punto la copertura D&O si estende, nei confronti dei vari livelli dirigenziali della società protetta. Per solito, essa fa riferimento solo ai componenti del consiglio di amministrazione ed altri dirigenti di alto livello, ma occorre chiarire con il proprio assicuratore quali fisicamente siano i soggetti coinvolti, per evitare possibili interpretazioni ambigue.

Box

Il caso Goldman Sachs

Gli esperti di coperture assicurative raccontano quanto accaduto a una delle maggiori banche di investimento del mondo, che ha avviato una causa, che si è prolungata per molti anni, basata sul fatto che un dipendente, che godeva della qualifica di “vicepresidente”, rientrasse o meno esplicitamente nella copertura di cui la banca d’investimenti godeva.

Questo contenzioso si è sviluppato negli Stati Uniti e faceva riferimento al fatto che la copertura assicurativa poteva o meno rimborsare un vicepresidente per le spese legali che aveva sostenuto.

Anche se alla fine la banca d’investimenti vinse il proprio contenzioso, i costi legali relativi furono estremamente elevati.

È chiaro che la copertura di cui stiamo adesso parlando non è mai applicabile a un responsabile della protezione dei dati esterno all’azienda, che deve attivarsi in proprio per ottenere questa copertura.

Si tratta di una situazione non molto diversa da quella che devono affrontare, ad esempio, i medici, quando devono attivare una copertura assicurativa contro comportamenti errati nello svolgimento dell’attività professionale.

Si faccia molta attenzione a studiare attentamente queste coperture assicurative, contrassegnate. Dalla sigla “Error & Omissions” E&O, perché spesso esse pongono delle significative limitazioni, circa il tipo di errore od omissione che potrebbe essere coperto dall’assicurazione.

Sono certo che col tempo la situazione migliorerà, ma al momento è del tutto naturale che gli assicuratori siano alquanto perplessi nell’offrire copertura per rischi, che non sono stati ancora chiaramente individuati.

Infine, un possibile ulteriore strumento di protezione, per i responsabili della protezione esterni, potrebbe consistere in limitazioni di responsabilità contrattuale, che però potrebbe non essere facile far accogliere dal titolare coinvolto.

Fonte: Puntosicuro.it

Il #GDPR non è sufficiente per mettere al sicuro l’azienda dalle problematiche di #sicurezza dei dati personali. Ecco cosa fare.

Autore: Dr. Matteo Rapparini – www.edirama.org

Sono trascorsi oramai alcuni mesi da quando il Reg UE 2016/679 è operativo. Chi ha effettuato tale aggiornamento in molti casi lo ha comunicato a clienti e fornitori (anche tu avrai ricevuto decine e decine di email che ti informavano dell’adeguamento dell’informativa al GDPR, della sicurezza dei tuoi dati personali), ma la gestione dei dati personali è stata effettivamente migliorata e resa più sicura?

A mio avviso, no. E in questo articolo ti spiego il perché e cosa c’è da fare per rendere davvero efficace e sicura la gestione dei dati personali.

L’introduzione del GDPR nelle aziende ha assicurato che le organizzazioni sappiano dove sono in possesso di dati personali e consentito di mettere in atto controlli sulle modalità di archiviazione, utilizzo e cancellazione di tali dati attraverso una politica che dovrebbe essere chiaramente definita e ben compresa, con processi aziendali adeguati per garantirne la conformità.

Tuttavia il GDPR non si occupa dell’effettiva sicurezza delle reti di un’organizzazione e dei dispositivi su cui esse memorizzano e accedono alle informazioni.

IL GDPR sostanzialmente non si occupa di sicurezza informatica, e spesso le aziende commettono un errore pensando che l’adempimento a questo regolamento sia sufficiente per evitare problemi di violazione dei dati personali gestiti.

Ma cosa significa “dati personali sicuri”?
A mio avviso, avere “dati sicuri” significa rispondere affermativamente a queste tre domande.

  • I nostri utenti non possono accedere ai nostri dati aziendali critici quando ne hanno bisogno, indipendentemente dalla loro posizione?
  • In secondo luogo, i nostri dati sono protetti da accessi non autorizzati o furti?
  • Infine, i nostri dati sono tutelati se qualcosa andrà storto, ad esempio se i nostri computer si guastassero?

La sicurezza dei dati richiede quattro discipline chiave:

  • gestione dell’identità e dell’autenticazione,
  • gestione del ciclo di vita delle informazioni,
  • sicurezza della rete e
  • pianificazione della continuità operativa.

Per sviluppare un’efficace politica di sicurezza dei dati, le organizzazioni devono considerare in modo olistico l’intera infrastruttura, dal modo in cui i dati vengono creati o acquisiti al modo in cui vengono valutati, archiviati, consultati e smaltiti. Ciò dovrebbe includere dati che entrano nell’organizzazione da clienti, partner e fornitori; dati creati all’interno dell’organizzazione, come presentazioni e rapporti; e dati che escono dall’organizzazione, come fatture e proposte commerciali.

Tuttavia, la chiave per la sicurezza dei dati sono le persone. Nessuna tecnologia o regolamentazione sarà efficace se tutti i dipendenti non si atterranno alle procedure di sicurezza dell’organizzazione. Ciò significa definire una chiara politica di sicurezza, educare i dipendenti a tutti i livelli (compresi i dirigenti) sui motivi per cui è importante ottenere il loro consenso e impegno. La politica deve essere applicabile, realistica, accettabile per gli utenti e non deve violare le leggi sulla privacy personale.

Attuare un’efficace politica di sicurezza significa anche ottenere l’impegno dei vari “proprietari” dei dati all’interno dell’organizzazione, che dovrebbero essere responsabili della loro gestione e della sicurezza una volta implementate le soluzioni di sicurezza.

Il raggiungimento di standard di sicurezza riconosciuti come la norma ISO27001 aiuta un’organizzazione a migliorare la propria sicurezza dati e rassicura i propri clienti su tale argomento. Ciò può essere vantaggioso anche per il suo futuro sviluppo e la sua crescita sul mercato dove il possedere una certificazione ISO 27001 è ad esempio un requisito indispensabile per partecipare a gare di appalto pubbliche.

Quali sono i suggerimenti per mantenere sicuri tutti i dati (compresi i dati personali) della vostra organizzazione? Ho riassunto 5 punti fondamentali

……………….. continua per gli abbonati al sito http://www.clubdpo.comVuoi sapere come abbonarti? Clicca qui

Privacy, su multe e ispezioni il Governo va incontro alle aziende

Il GDPR, il regolamento per il rispetto della privacy, in versione italiana dà un po’ di respiro alle aziende, che ora sono molto in affanno nel cercare di rispettare le nuove regole europee sulla privacy. Il Governo infatti ha deciso per un periodo di grazia delle attività di ispezione del Garante e possibili esenzioni per le PMI.

Ci sono queste tra le novità che si leggono nel testo che il Consiglio dei Ministri ha approvato e pronto per l’approvazione. Si tratta del decreto di adeguamento della normativa italiana al Regolamento privacy noto appunto come GDPR. Le regole europee sono scattate in Italia, come nel resto della Ue, il 26 maggio ma si aspettava un decreto italiano che le “personalizzasse” per la nostra situazione. Il testo non è ancora pubblico, ma a quanto risulta vi si legge tra l’altro un periodo di “grazia “ di 8 mesi per la piena applicazione dell’attività ispettiva del garante privacy. Inoltre, le piccole e medie imprese potranno essere oggetto di provvedimenti di esenzione del Garante Privacy.

Continua su www.clupdpo.com