Accedi ai bandi per DPO in scadenza – clicca qui
Bandi per DPO in scadenza
Rispondi
Archivi tag: Data Protection Officer
FAQ: Organismo di vigilanza 231 e DPO sono ruoli compatibili?
FAQ: Organismo di vigilanza 231 e DPO sono ruoli compatibili?
L’associare la figura dell’ Organismo di vigilanza 231 a quella del Data Protection Officer (DPO) è un dibattito che spesso si ritrova in molte aziende.
Vediamo di fare chiarezza una volta per tutte!
L’ODV, ha il ruolo di controllare e vigilare sul funzionamento e sull’applicazione corretta del Modello di Organizzazione, Gestione e Controllo adottato dall’azienda (art. 6 del Decreto Legislativo 231/2001)Il D.Lgs 231/2001 non fornisce indicazioni riguardo la composizione dell’ODV (monocratico o collegiale) e su eventuali incompatibilità dei suoi componenti.
Su tale argomento si limita a specificare, sempre all’art. 6 ma comma 1 lett. b) che deve avere “autonomi poteri di iniziativa e di controllo” i quali garantiscano una vigilanza effettiva.
Gli strumenti per gestire l’attività dell’organismo di vigilanza
La figura di Data Protection Officer, è stata introdotta dal GDPR (Regolamento UE 2016/679), e ha il compito di informare e fornire consulenza al titolare del trattamento sugli obblighi derivanti dalla normativa in materia di protezione dei dati personali e di sorvegliare l’osservanza della normativa applicabile e delle politiche del titolare in materia di protezione dei dati.
L’art. 39 del Reg Ue 2016/679 sottolinea come il DPO si deve occupare di responsabilizzare, sensibilizzare e formare il personale che partecipa ai trattamenti; di fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati; di cooperare con l’autorità di controllo e di fungere da punto di contatto per essa (art. 39 GDPR).Il tutto in piena indipendenza e autonomia (considerando 97 del Reg. Ue 2016/679), riferendo soltanto all’alta direzione.
Quindi gli elementi comuni del DPO e dell’Organismo di vigilanza sono:
_ autonomia
_ indipendenza
_ attività di supervisione e controllo nei loro ambiti
La domanda è quindi: può la medesima figura occupare contemporaneamente il ruolo di DPO e di Membro Organismo di vigilanza?
CORSO ON LINE AGGIORNAMENTO DPO
Dal punto di vista normativa non vi è alcun divieto! Vi sono però due elementi da considerare.
1) Competenze specifiche
Al DPO sono richieste specifiche competenze in ambito privacy e data protection. Il membro dell’organismo di vigilanza deve possedere competenze diverse, più gestionali e pluri-settoriali (es. tecniche e giuridiche).
2) Conflitto d’interessi del DPO
Come emerge dalle linee guida del WP29 (WP 243 rev.01), il DPO può ricoprire altre funzioni all’interno dell’organizzazione purchè queste non diano luogo a conflitti di interesse. Ovvero il DPO non può ricoprire posizioni che comportino la determinazione di finalità e modalità di trattamento di dati personali.
Il Garante ha poi indicato nelle FAQ disponibili sul sito del Garante stesso, che il DPO non può ricoprire ruoli manageriali e direzionali, ruoli assimilabili per chi scrive anche all’Organismo di vigilanza 231.
Pertanto non è consigliabili fare ricoprire il ruolo di DPO e di membro organismo di vigilanza al medesimo soggetto.
Autore: Dr. Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu
Data Protection Officer, linee guida dei garanti europei tradotte in italiano
Fonte: Federprivacy
Il Gruppo dei Garanti Ue (WP 29) ha approvato lo scorso 13 dicembre tre documenti con indicazioni e raccomandazioni su importanti novità del Regolamento 2016/679 sulla protezione dei dati, in vista della sua applicazione da parte degli Stati membri a partire dal maggio 2018. Le linee guida, (ora tradotte in italiano), alla cui elaborazione il Garante ha attivamente partecipato, riguardano il “responsabile per la protezione dei dati” (Data Protection Officer – DPO), il diritto alla portabilità dei dati, l’“autorità capofila” che fungerà da “sportello unico” per i trattamenti transnazionali.
Le linee guida sul DPO specificano i requisiti soggettivi e oggettivi di questa figura, la cui designazione sarà obbligatoria per tutti i soggetti pubblici e per alcuni soggetti privati sulla base di criteri che il Gruppo ha chiarito nel documento. Nel documento vengono illustrate (anche attraverso esempi concreti) le competenze professionali e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del titolare.
Data Protection Officer, vacilla la norma #privacy
Fino a 45mila esperti di protezione dei dati con il Regolamento UE 2016/679, ma norma UNI in cantiere da un anno e mezzo non soddisfa le aspettative per assicurare la necessaria trasparenza sul mercato, specialmente sul DPO.
************ GLI STRUMENTI PER GLI ESPERTI PRIVACY 2017 **********
_ Corso on line Esperto Privacy Regolamento europeo 679/2016
_ Kit software regolamento europeo 679/2016
****************************************************************
Uno dei principali obiettivi del nuovo Regolamento UE 2016/679, è quello di creare il giusto clima di fiducia tra i cittadini per far decollare il mercato digitale nell’Unione Europea, un’economia da 272 milioni di euro che può continuare a crescere solo se gli utenti si sentono a loro agio mentre fanno acquisti in Internet, senza doversi preoccupare che i loro dati personali potrebbero essere trattati illecitamente o utilizzati per commettere frodi a loro danno.
E se da una parte la nuova normativa comunitaria sulla privacy inizia a preoccupare le imprese, che si dovranno adeguare entro il 25 maggio 2018 per non rischiare multe fino a 20 milioni di euro o fino al 4% del fatturato annuo, sul fronte del mercato del lavoro ci sono invece prospettive positive, derivanti dalla crescente necessità di esperti della materia e dall’obbligo di nomina di un “data protection officer” per tutte le pubbliche amministrazioni e per le imprese che trattano su larga scala dati sensibili o altri dati che presentano rischi specifici, oppure se nelle attività principali vengono effettuati trattamenti che richiedono il controllo regolare e sistematico degli interessati, come avviene spesso nelle attività di e-commerce in cui gli utenti vengono profilati online per proporre loro prodotti e servizi in base ai loro gusti e alle loro preferenze.
Un contesto che, secondo le stime dell’Osservatorio di Federprivacy, nei prossimi 12 mesi potrà richiedere fino a 45mila esperti solo in Italia. Numeri importanti, quelli di un’emergente categoria professionale che necessiterebbe però di più trasparenza nel mercato con standard e parametri di riferimento che sono in cantiere da un anno e mezzo con una specifica norma UNI arrivata ora a conclusione del suo iter, ma i cui contenuti non convincono la principale associazione di riferimento del settore:
“Quello della norma tecnica sarebbe stato lo strumento ideale a disposizione degli stakeholder per definire i requisiti che devono possedere i professionisti della privacy per poter essere riconosciuti dal mercato, ovviamente a condizione imprescindibile che tali regole fossero allineate alle prescrizioni del Regolamento UE e alle recenti Linee Guida del Working Party Art.29, nelle quali è stato precisato che il data protection officer deve avere in particolare una conoscenza specialistica della normativa e delle prassi in materia, talvolta anche più elevata in base alla complessità o alla mole dei trattamenti effettuati – spiega il presidente di Federprivacy, Nicola Bernardi – Da parte nostra, abbiamo segnalato in tutte le sedi la necessità di disegnare un profilo adeguato del DPO, ma ora dobbiamo con rammarico constatare che il progetto finale di norma vede un profilo professionale stravolto rispetto ai dettati dell’UE, generico per quanto riguarda le conoscenze giuridiche della normativa, e con molte altre conoscenze invece informatiche, riconducibili più a quelle di un security manager che a quelle richieste a un data protection officer. Allo stato attuale – conclude Bernardi – questa norma non risponde ne’ alle prescrizioni di legge, ne’ alle esigenze di mercato, e per questo rischia di essere solo fuorviante per le imprese che sono alla ricerca del professionista giusto a cui conferire l’incarico.”
Il documento in questione, (Cod. Progetto E14D00036), è stato messo ora all’inchiesta pubblica finale, e tutte le parti interessate possono esprimere i loro commenti fino al 25 marzo 2017, quando UNI tirerà le somme per verificare se ci siano i presupposti perché la norma sul data protection officer possa venire alla luce oppure no.
Certo è, che per spingere sul mercato digitale l’Unione Europea ha varato una riforma sulla protezione dei dati personali egualmente vigente in tutti gli Stati membri, e altrettanto evidente è che la norma così com’è allo stato attuale devia da quella direzione, e rischia di far mancare alle imprese le giuste professionalità, con il pericolo di ingenerare confusione nel mercato delle professioni.
Imprese e pubbliche amministrazioni, devono perciò vigilare attentamente per non incorrere in pesanti sanzioni, perché è in gioco la loro organizzazione e la capacità di rispettare la normativa sulla circolazione e protezione dei dati, senza dimenticare infine che è indispensabile evitare di offuscare i diritti fondamentali che sono riconosciuti per legge ai cittadini.
Comunicato Stampa Federprivacy del 26 gennaio 2017
Consulenza Privacy 