Chi è il Responsabile della Protezione dei Dati (RPD-DPO)
Requisiti e/o qualifiche particolari del DPO
Quali compiti possono essere affidati al DPO
Indicazioni e raccomandazioni nella designazione del DPO
Gestione dei dati di contatto del DPO
L’AUDIT e il compito di sorveglianza del DPO
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
Questa presentazione descrive gli schemi di certificazione (aziendali) e la figura del DPO nell'ambito della legge 679/2016 (GDPR) nel contesto degli schemi e-CF e EQF. Relaziona anche in merito al lavoro UNI / UNINFO per la legge 4.2013 (Disposizioni in materia di professioni non organizzate)
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Talea Consulting Srl
Le slide trasmesse durante il Webinar del 26 Ottobre 2021, tenuto per approfondire sui nuovi adempimenti normativi e sul Manuale di Conservazione, documento informatico obbligatorio che dovrà essere conservato digitalmente.
Responsabile della protezione dei dati, una figura chiave RPD| DPOCSI Piemonte
Webinar "Responsabile della protezione dati, una figura chiave" | 19 maggio 2021
Intervento di Matteo Colombo, Presidente ASSO DPO - Associazione dei Data Protection Officer
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
Questa presentazione descrive gli schemi di certificazione (aziendali) e la figura del DPO nell'ambito della legge 679/2016 (GDPR) nel contesto degli schemi e-CF e EQF. Relaziona anche in merito al lavoro UNI / UNINFO per la legge 4.2013 (Disposizioni in materia di professioni non organizzate)
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Talea Consulting Srl
Le slide trasmesse durante il Webinar del 26 Ottobre 2021, tenuto per approfondire sui nuovi adempimenti normativi e sul Manuale di Conservazione, documento informatico obbligatorio che dovrà essere conservato digitalmente.
Responsabile della protezione dei dati, una figura chiave RPD| DPOCSI Piemonte
Webinar "Responsabile della protezione dati, una figura chiave" | 19 maggio 2021
Intervento di Matteo Colombo, Presidente ASSO DPO - Associazione dei Data Protection Officer
Presentazione a supporto dell'intervento di Ugo Di Stefano, Lexellent/ASLA al webinar "15 ANNI DAL D.LGS.81/2008 E L’EVOLUZIONE DELLA FIGURA DEL RSPP:
PROFESSIONISTI DELLA PRIVACY, DEL TRATTAMENTO
E DELLA PROTEZIONE DEI DATI PERSONALI, SICUREZZA DELLE INFORMAZIONI E WHISTLEBLOWING" del 31 gennaio 2024
Nuovo Regolamento europeo in materia di protezione dei dati personali, considerazioni e risvolti pratici per chi opera nel settore digitale.
- Fare chiarezza sulle novità introdotte dal Regolamento
- Valutare l’Impatto del GDPR sui dati digitali
- Risolvere le principali criticità per chi opera nel settore digitale
Avv. Guido Melluso - www.studiomelluso.it
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibelliniwalk2talk srl
L’intervento si propone di fornire alcune sintetiche indicazioni sui cambiamenti che l’attuale disciplina privacy (TU 196/2003) subirà per effetto dell’applicazione -a far data dal 25.05.2018- del Nuovo Regolamento Europeo 2016/679 (GDPR), in tema di protezione dei dati personali. Particolare attenzione sarà dedicata a taluni aspetti pratici particolarmente rilevanti quali la compliance richiesta alle aziende e il cloud computing.
Per richiedere accesso al canale contenente le sessioni tecniche di Cloud Conference Italia 2017 compila il seguente form:
https://goo.gl/Fq6DQE
Atti del Convegno A.I.G.A. svoltosi a Pordenone il 24 maggio 2012 sul tema "Adempimenti degli studi Legali: privacy, sicurezza e preventivi".
Slides Avvocato Stefano Corsini
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Introduzione generale al Regolamento 2016/679 UE e al decreto legislativo 101/2018.
Le slides introducono i concetti principali di Privacy, gli ambiti oggettivi, soggettivi e territoriali di applicazione, la figure principali quali Titolare, Responsabile e Interessato, le Basi giuridiche, il consenso e l'informativa, i diritti degli interessati e il regime sanzionatorio in caso di mancato adeguamento e di data breach.
Il carattere in grassetto evidenzia aspetti particolarmente interessanti per le PA, quali il diritto di accesso e l'accesso civico; quelli in blu rappresentano le integrazioni operate dal d.lgs 101/2018
Intervento di Claudia Cevenini, Professore a Contratto di Diritto dell'Informatica, Alma Mater Studiorum Università di Bologna, al "17° Meeting Nazionale ACEF - Evoluzione dei Servizi Professionali della Consulenza", tenutosi a Bologna, presso la sede della Regione Emilia Romagna, nei giorni 30 e 31 ottobre e 9 e 10 novembre 2017.
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
Sviluppare un’app, progettare un sito web e, più in generale, realizzare un servizio IT basato sul trattamento dei dati personali richiede un’attenta analisi dell’impatto normativo di tali attività sotto il profilo della protezione dei dati personali.
Allo stesso modo, anche nella progettazione di un trattamento di dati personali è opportuno individuare le migliori soluzioni IT presenti sul mercato che consentano il rispetto dei principi e degli obblighi stabiliti dal Regolamento (UE) 2016/679 (GDPR).
L’obiettivo del seminario, quindi, è quello di illustrare gli aspetti più rilevanti in funzione dei principi della “data protection by design and by default” e le principali azioni finalizzate a garantire, sin dalle prime fasi di sviluppo e progettazione, la protezione dei dati personali.
Open innovation e la tutela della proprietà intellettualeGianluca Satta
SMAU Bologna 2017
“L'open innovation è un paradigma che afferma che le imprese possono e debbono fare ricorso ad idee esterne, così come a quelle interne, ed accedere con percorsi interni ed esterni ai mercati se vogliono progredire nelle loro competenze tecnologiche” (Henry Chesbrough, 2006).
L’open innovation ha cambiato il modo di fare impresa, introducendo nuove dinamiche nella circolazione delle conoscenze e delle risorse, coinvolgendo sempre più soggetti all’interno del mercato (startup, università, istituti di ricerca, fornitori, inventori, programmatori e consulenti). In questo contesto, è sempre più importante conoscere quali strategie adottare per la tutela dei propri assets aziendali. Il seminario si propone, quindi, di illustrare le principali forme di tutela della proprietà intellettuale nell’era dell’open innovation.
More Related Content
Similar to Riflessioni sui principali aspetti critici della nuova figura del Responsabile della Protezione dei Dati
Presentazione a supporto dell'intervento di Ugo Di Stefano, Lexellent/ASLA al webinar "15 ANNI DAL D.LGS.81/2008 E L’EVOLUZIONE DELLA FIGURA DEL RSPP:
PROFESSIONISTI DELLA PRIVACY, DEL TRATTAMENTO
E DELLA PROTEZIONE DEI DATI PERSONALI, SICUREZZA DELLE INFORMAZIONI E WHISTLEBLOWING" del 31 gennaio 2024
Nuovo Regolamento europeo in materia di protezione dei dati personali, considerazioni e risvolti pratici per chi opera nel settore digitale.
- Fare chiarezza sulle novità introdotte dal Regolamento
- Valutare l’Impatto del GDPR sui dati digitali
- Risolvere le principali criticità per chi opera nel settore digitale
Avv. Guido Melluso - www.studiomelluso.it
CCI2017 - La privacy tra il TU 196 del 2003 e il GDPR - Nicolò Ghibelliniwalk2talk srl
L’intervento si propone di fornire alcune sintetiche indicazioni sui cambiamenti che l’attuale disciplina privacy (TU 196/2003) subirà per effetto dell’applicazione -a far data dal 25.05.2018- del Nuovo Regolamento Europeo 2016/679 (GDPR), in tema di protezione dei dati personali. Particolare attenzione sarà dedicata a taluni aspetti pratici particolarmente rilevanti quali la compliance richiesta alle aziende e il cloud computing.
Per richiedere accesso al canale contenente le sessioni tecniche di Cloud Conference Italia 2017 compila il seguente form:
https://goo.gl/Fq6DQE
Atti del Convegno A.I.G.A. svoltosi a Pordenone il 24 maggio 2012 sul tema "Adempimenti degli studi Legali: privacy, sicurezza e preventivi".
Slides Avvocato Stefano Corsini
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Introduzione generale al Regolamento 2016/679 UE e al decreto legislativo 101/2018.
Le slides introducono i concetti principali di Privacy, gli ambiti oggettivi, soggettivi e territoriali di applicazione, la figure principali quali Titolare, Responsabile e Interessato, le Basi giuridiche, il consenso e l'informativa, i diritti degli interessati e il regime sanzionatorio in caso di mancato adeguamento e di data breach.
Il carattere in grassetto evidenzia aspetti particolarmente interessanti per le PA, quali il diritto di accesso e l'accesso civico; quelli in blu rappresentano le integrazioni operate dal d.lgs 101/2018
Intervento di Claudia Cevenini, Professore a Contratto di Diritto dell'Informatica, Alma Mater Studiorum Università di Bologna, al "17° Meeting Nazionale ACEF - Evoluzione dei Servizi Professionali della Consulenza", tenutosi a Bologna, presso la sede della Regione Emilia Romagna, nei giorni 30 e 31 ottobre e 9 e 10 novembre 2017.
Similar to Riflessioni sui principali aspetti critici della nuova figura del Responsabile della Protezione dei Dati (20)
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
Sviluppare un’app, progettare un sito web e, più in generale, realizzare un servizio IT basato sul trattamento dei dati personali richiede un’attenta analisi dell’impatto normativo di tali attività sotto il profilo della protezione dei dati personali.
Allo stesso modo, anche nella progettazione di un trattamento di dati personali è opportuno individuare le migliori soluzioni IT presenti sul mercato che consentano il rispetto dei principi e degli obblighi stabiliti dal Regolamento (UE) 2016/679 (GDPR).
L’obiettivo del seminario, quindi, è quello di illustrare gli aspetti più rilevanti in funzione dei principi della “data protection by design and by default” e le principali azioni finalizzate a garantire, sin dalle prime fasi di sviluppo e progettazione, la protezione dei dati personali.
Open innovation e la tutela della proprietà intellettualeGianluca Satta
SMAU Bologna 2017
“L'open innovation è un paradigma che afferma che le imprese possono e debbono fare ricorso ad idee esterne, così come a quelle interne, ed accedere con percorsi interni ed esterni ai mercati se vogliono progredire nelle loro competenze tecnologiche” (Henry Chesbrough, 2006).
L’open innovation ha cambiato il modo di fare impresa, introducendo nuove dinamiche nella circolazione delle conoscenze e delle risorse, coinvolgendo sempre più soggetti all’interno del mercato (startup, università, istituti di ricerca, fornitori, inventori, programmatori e consulenti). In questo contesto, è sempre più importante conoscere quali strategie adottare per la tutela dei propri assets aziendali. Il seminario si propone, quindi, di illustrare le principali forme di tutela della proprietà intellettuale nell’era dell’open innovation.
SPID: le nuove identità digitali dopo la riforma del CADGianluca Satta
L’art. 64 del D. Lgs. 7 marzo 2005, n. 82 (Codice dell’Amministrazione Digitale), recentemente modificato ad opera del D. Lgs. 26 agosto 2016, n. 179, prevede l’istituzione del sistema pubblico per la gestione dell'identità digitale (SPID), mediante il quale è possibile accedere ai servizi online, erogati dalle pubbliche amministrazioni e dai privati che vi aderiscono, utilizzando le stesse credenziali per ogni autenticazione. Durante il seminario si illustreranno le modalità di funzionamento, gli aspetti giuridici e le criticità legate a SPID e, più in generale, alle identità digitali in rete, alla luce delle recenti novità introdotte dalla riforma del CAD.
SPID: le nuove frontiere delle identità digitaliGianluca Satta
Il sistema pubblico per la gestione dell'identità digitale (SPID), previsto dall’art. 64 del D. Lgs. 7 marzo 2005, n. 82 (Codice dell’Amministrazione Digitale), consente a cittadini e imprese di usufruire di servizi online tramite l’utilizzo delle stesse credenziali per ogni autenticazione. Grazie ad un’unica identità digitale, rilasciata da un Identity Provider, ogni utente potrà accedere ai servizi della pubblica amministrazione e dei soggetti privati che aderiscono al sistema SPID. Il seminario si propone di illustrare le modalità di funzionamento, gli aspetti giuridici e le criticità legate a SPID e, più in generale, alle identità digitali in rete.
SMAU Torino 2016 - SPID: Le nuove frontiere delle identità digitaliGianluca Satta
Il seminario presentato a SMAU Torino 2016 si propone di illustrare il sistema pubblico per la gestione dell'identità digitale (SPID), previsto dall’art. 64 del D. Lgs. 7 marzo 2005, n. 82 (Codice dell’Amministrazione Digitale), consente a cittadini e imprese di usufruire di servizi online tramite l’utilizzo delle stesse credenziali per ogni autenticazione. Grazie ad un’unica identità digitale, rilasciata da un Identity Provider, ogni utente potrà accedere ai servizi della pubblica amministrazione e dei soggetti privati che aderiscono al sistema SPID.
SMAU Milano 2015 - Aspetti normativi e contrattuali della conservazioneGianluca Satta
Il seminario presentato a SMAU Milano 2015 si propone di illustrare la disciplina del nuovo sistema di conservazione, introdotto con d.p.c.m. 3 dicembre 2013 (pubblicato nella G.U. del 12 marzo 2014), di recente completata con l’emanazione delle nuove regole tecniche sul documento informatico, contenute nel d.p.c.m. 13 novembre 2014 e pubblicate nella G.U del 12 gennaio 2015. Alla luce delle recenti novità e della pubblicazione dell’albo dei conservatori accreditati, l’articolo illustra alcuni aspetti normativi e contrattuali della conservazione dei documenti informatici, a partire dagli adempimenti richiesti fino alla scelta del modello organizzativo e la conclusione del contratto di fornitura del servizio di conservazione
Aspetti normativi e contrattuali della conservazione dei documenti informaticiGianluca Satta
Il seminario presentato a SMAU Torino 2015 si propone di illustrare la disciplina del nuovo sistema di conservazione, introdotto con d.p.c.m. 3 dicembre 2013 (pubblicato nella G.U. del 12 marzo 2014), di recente completata con l’emanazione delle nuove regole tecniche sul documento informatico, contenute nel d.p.c.m. 13 novembre 2014 e pubblicate nella G.U del 12 gennaio 2015. Alla luce delle recenti novità e della pubblicazione dell’albo dei conservatori accreditati, l’articolo illustra alcuni aspetti normativi e contrattuali della conservazione dei documenti informatici, a partire dagli adempimenti richiesti fino alla scelta del modello organizzativo e la conclusione del contratto di fornitura del servizio di conservazione
La conservazione dei documenti informatici per i professionisti, le aziende e...Gianluca Satta
Il seminario presentato a SMAU Napoli 2014 si propone di illustrare le nuove “regole tecniche sui sistemi di conservazione”, emanate con d.p.c.m. 3 dicembre 2013 e pubblicate nella G.U del 12 marzo 2014. Con la nuova disciplina sono state definite nuove misure e adempimenti per le pubbliche amministrazioni, per le società interamente partecipate da enti pubblici o con prevalente capitale pubblico, per i privati (aziende e professionisti) e per i soggetti esterni cui è affidata la gestione o la conservazione. Tra le novità più significative: il superamento della distinzione fra conservazione di documenti informatici e conservazione sostitutiva di documenti analogici, l’introduzione di un sistema di conservazione in grado di garantire autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti informatici, la previsione della figura del Responsabile della conservazione e l’obbligo del Manuale della conservazione.
2. 2
DirICTo è un network che raggruppa esperti e studiosi, di tutta l’Italia, in
materia di Diritto dell’Informatica e dell’Informatica Giuridica con il fine di
sviluppare attività di studio, ricerca e approfondimento nell'ambito delle
tematiche di interesse comune per il mondo giuridico e informatico
Web site: www.diricto.it
3. 3
ICT for Law and Forensics è il laboratorio di Informatica Forense del
Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari.
Aree di interesse: e-commerce e contrattazione telematica, la tutela
giuridica dei domain names, privacy e protezione dei dati personali nel
mondo telematico, cyber crimes, digital forensics
Web site: ict4forensics.diee.unica.it
4. 4
SOMMARIO
4
Chi è il
Responsabile
della
Protezione dei
Dati
(RPD-DPO)
Requisiti e/o
qualifiche
particolari
del DPO
Quali compiti
possono
essere affidati
al DPO
Indicazioni e
raccomandazio
ni nella
designazione
del DPO
Gestione dei
dati di contatto
del DPO
L’AUDIT e il
compito di
sorveglianza
del DPO
5. 5
Chi è il
Responsabile
della Protezione
dei Dati
(RPD-DPO) ?
DPO = FACILITATORE
Titolare del
trattamento
Personale
autorizzato al
trattamento
Interessati
Autorità
Garante
6. 6
Quando deve
essere designato
il DPO?
Titolari e
Responsabili
del trattamento
Designazione
obbligatoria
Art. 37 GDPR
Nessuna
designazione
Motivazione
(accountability)
Designazione
facoltativa
Segue le regole
degli artt. 37,
38 e 39 GDPR
7. 7
Quando deve
essere designato
il DPO?
… e da chi?
Quando deve essere designato (art. 37, par. 1):
a) il trattamento è effettuato da un’autorità pubblica o da un
organismo pubblico, ad eccezione delle autorità giurisdizionali quando
esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del
trattamento consistono in trattamenti che, per loro natura, ambito di
applicazione e/o finalità, richiedono il monitoraggio regolare e
sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del
trattamento consistono nel trattamento, su larga scala, di categorie
particolari di dati personali: dati «sensibili» e dati «giudiziari»
(rispettivamente art. 9 e art. 10).
Chi designa: il Titolare e/o il Responsabile del trattamento. Qualora sia
nominato un DPO da entrambe, le due figure sono tenuti alla reciproca
collaborazione
8. 8
La nomina
obbligatoria
del DPO…
… in ambito pubblico
• Amministrazioni dello Stato, anche con ordinamento
autonomo
• Enti pubblici non economici nazionali, regionali e locali
• Regioni e gli Enti locali
• Università
• Camere di commercio, industria, artigianato e
agricoltura
• Aziende del Servizio sanitario nazionale
• Autorità indipendenti
• …
Fortemente raccomandato: soggetti privati che
esercitano funzioni pubbliche (in qualità, ad esempio, di
concessionari di servizi pubblici)
9. 9
… in ambito privato
• Istituti di credito, Sistemi di informazione creditizia
• Imprese assicurative, Società finanziarie
• Società di informazioni commerciali
• Società di revisione contabile
• Società di recupero crediti
• Istituti di vigilanza
• Partiti e movimenti politici, sindacati, caf e patronati
• Società operanti nel settore delle "utilities"
(telecomunicazioni, distribuzione di energia elettrica o gas)
• Imprese di somministrazione di lavoro e ricerca del
personale
• Società operanti nel settore della cura della salute, della
prevenzione/diagnostica sanitaria quali ospedali privati,
terme, laboratori di analisi mediche e centri di riabilitazione
La nomina
obbligatoria
del DPO…
11. 11
Art. 37, par. 5 GDPR
«Il responsabile della protezione dei dati è designato in funzione delle qualità
professionali, in particolare della conoscenza specialistica della normativa
e delle prassi in materia di protezione dei dati, e della capacità di assolvere i
compiti di cui all'articolo 39.»
1) informare e fornire consulenza in merito agli obblighi derivanti
dal presente regolamento nonché da altre disposizioni dell'Unione o
degli Stati membri relative alla protezione dei dati
2) sorvegliare l'osservanza del regolamento, di altre disposizioni
dell'Unione o degli Stati membri relative alla protezione dei dati
nonché delle politiche del titolare del trattamento o del responsabile
del trattamento in materia di protezione dei dati personali, compresi
l'attribuzione delle responsabilità, la sensibilizzazione e la
formazione del personale
3) fornire, se richiesto, un parere in merito alla DPIA e sorvegliarne lo
svolgimento;
4) cooperare con l'autorità di controllo e fungere da punto di contatto.
Il DPO deve
avere requisiti
e/o qualifiche
particolari?
12. 12
Il DPO deve
avere requisiti
e/o qualifiche
particolari?
Competenze
trasversali
Comp.
Giuridiche in
materia di
privacy
Comp.
Giuridiche
specifiche
del settore di
riferimento
Comp.
Informatiche
e sulla
sicurezza
Audit
13. 13
Il DPO deve
avere requisiti
e/o qualifiche
particolari?
NON sono
richiesti
Attestazioni
formali
Partecipazione
a corsi di
formazione
Iscrizione in
albi
professionali
Certificazioni
come
Auditor/Lead
Auditor ISO
14. 14
Il DPO deve
avere requisiti
e/o qualifiche
particolari?
TAR Friuli Venezia Giulia, sent. 13/9/2018 n. 287
Il ricorrente espone che, con tale ultimo decreto, rilevata l’assenza tra i
dipendenti di una figura professionale corrispondente al profilo
richiesto, era stata prevista la selezione, per titoli ed eventuale colloquio,
di un esperto di normativa e prassi in materia di protezione dei dati […]
Infine, riguardo ai requisiti di partecipazione alla selezione, l’avviso
(paragrafo 3) richiedeva il possesso, in capo a ciascun candidato, del
diploma di laurea in Informatica o Ingegneria Informatica, ovvero in
Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead
Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni
secondo la norma ISO/IEC/27001. […]
5. Venendo al merito dell’impugnazione, ritiene il Collegio che essa
sia manifestamente fondata in relazione alla contestata
individuazione della certificazione di Auditor/Lead Auditor
ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva
[…]
15. 15
Il DPO deve
avere requisiti
e/o qualifiche
particolari?
TAR Friuli Venezia Giulia, sent. 13/9/2018 n. 287
Sul punto va rilevato che la predetta certificazione non costituisce,
come eccepito dal ricorrente, un titolo abilitante ai fini
dell’assunzione e dello svolgimento delle funzioni di responsabile
della sicurezza dei dati […]
Ne consegue che la certificazione, indicata nell’avviso, di per sé non può
costituire requisito di ammissione alla selezione in esame (né tanto
meno assurgere a titolo equipollente al richiesto diploma di laurea),
proprio perché essa non coglie (o non coglie appieno) la specifica
funzione di garanzia insita nell’incarico conferito, il cui precipuo
oggetto non è costituito dalla predisposizione dei meccanismi volti ad
incrementare i livelli di efficienza e di sicurezza nella gestione delle
informazioni ma attiene semmai, come rilevato nel ricorso, alla tutela del
diritto fondamentale dell’individuo alla protezione dei dati personali
indipendentemente dalle modalità della loro propagazione e dalle forme,
ancorché lecite, di utilizzo.
P.Q.M.
Il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia
(Sezione Prima), definitivamente pronunciando sul ricorso, come in
epigrafe proposto, lo accoglie nei sensi e per gli effetti di cui in
motivazione.
16. 16
Quali compiti
possono essere
affidati al DPO?
Attenzione all’atto
di designazione…
Art. 38, par. 6 GDPR
«Il responsabile della protezione dei dati può svolgere altri compiti e funzioni.
Il titolare del trattamento o il responsabile del trattamento si assicura che tali
compiti e funzioni non diano adito a un conflitto di interessi.»
• non devono comportare la definizione di finalità e modalità
del trattamento dei dati
• non dovrebbero sottrarre al DPO il tempo necessario per
adempiere ai principali compiti affidati
Suggerimento
Nelle fasi precedenti alla designazione, e all’atto della stessa, il
DPO dovrebbe verificare quali compiti sono stati affidati dal
Titolare o dal Responsabile del trattamento.
Se necessario, prima di formalizzare la designazione, il DPO
invita il Titolare o il Responsabile a modificare eventuali compiti
affidati.
17. 17
Formazione al personale
• Non comporta conflitti di
interesse; è assimilabile ai
compiti di informazione e
consulenza tipici del DPO.
Assistenza nella tenuta del
registro delle attività di
trattamento
• Purché si tratti di mera tenuta del
registro, finalizzata ad esercitare
la sorveglianza sul Titolare
Quali compiti
possono essere
affidati al DPO?
Attenzione all’atto
di designazione…
18. 18
Procedere alla mappatura dei processi e
trattamenti
•Attività tipica del Titolare, preordinata all’adeguamento. Il DPO
deve verificare che siano stati mappati tutti i processi e
trattamenti
Gestire il registro delle attività di trattamento sotto la
responsabilità del titolare o del responsabile ed
attenendosi alle istruzioni impartite
•La gestione è più della semplice tenuta. Si tratta di adempimento
del Titolare che il DPO deve verificare. Inoltre, il DPO non può
agire su istruzioni del Titolare (Art. 38, par. 3 GDPR)
Gestire il registro delle violazioni di
sicurezza e relativa modulistica
• La compilazione del registro delle violazioni è
obbligo del Titolare che il DPO deve verificare.
Quali compiti
possono essere
affidati al DPO?
Attenzione all’atto
di designazione…
19. 19
Fornire ausilio al titolare nella individuazione
formale di responsabili ed incaricati del
trattamento
•Rischioso attribuire tale compito in quanto potrebbe sfociare in
attività tipiche del Titolare. Non vi è motivo di specificarlo, in
quanto il DPO fornisce consulenza e informazione.
Fornire supporto tecnico-giuridico al Social
media manager in relazione ai trattamenti
operati sui Social Media e/o Network
•«Supporto tecnico» significa definizione di mezzi e modalità
del trattamento (tipici del Titolare).
Svolgere, se necessario, la valutazione di impatto
sulla protezione dei dati
•Il DPO può intervenire per indicare: se condurre o meno la DPIA,
quale metodologia adottare per condurre la DPIA, quali
salvaguardie adottare per attenuare i rischi per i diritti
dell’interessato. Infine, il DPO valuta se la DPIA è stata svolta
correttamente.
Quali compiti
possono essere
affidati al DPO?
Attenzione all’atto
di designazione…
20. 20
Coadiuvare il titolare nello studio e redazione dello schema
di regolamento interno avente ad oggetto modalità
organizzative, misure procedimentali e regole di dettaglio
•Il regolamento interno non è adempimento obbligatorio. Se inteso
come strumento per impartire istruzioni e organizzare i
trattamenti, è attività tipica del Titolare (definizione delle politiche
di trattamento) che il DPO dovrà verificare.
Realizzare gli ulteriori compiti contenuti nella
convezione di conferimento dell’incarico
•Accade quando il DPO è esterno. Compito generico che
potrebbe far riferimento ad attività incompatibili con il ruolo
del DPO
Garantire che il Titolare si conformi e rispetti in
maniera totale le nuove disposizioni
•Spetta al titolare o al responsabile del trattamento garantire ed
essere in grado di dimostrare che le operazioni di trattamento
siano conformi alle disposizioni del regolamento stesso (art. 24,
par. 1).
Quali compiti
possono essere
affidati al DPO?
Attenzione all’atto
di designazione…
21. 21
Indicazioni e
raccomandazioni
nella designazione
del DPO
Contenuti essenziali dell’atto di designazione del DPO
(procedura selettiva interna o esterna, gara, altro)
•Prevedere requisiti di partecipazione alla selezione rapportati alle competenze
richieste
Requisiti di partecipazione
•Conoscenza specialistica della normativa e delle prassi in materia di protezione dei
dati personali
•Competenze specifiche per la P.A. (trasparenza, accesso documentale,
amministrazione digitale)
•Valutazione in relazione ai dati (qualità e quantità) e i trattamenti specifici
•Competenze in materia di sicurezza delle informazioni (eventuale)
Competenza/esperienza richiesta (art. 37-39 GDPR)
•Determinazione delle modalità per favorire il supporto attivo del DPO da parte del
vertice del Titolare e viceversa (supporto del DPO al vertice)
Fattore supporto
22. 22
Contenuti essenziali dell’atto di designazione del DPO
(procedura selettiva interna o esterna, gara, altro)
•Il tempo deve essere sufficiente per l’espletamento dei compiti affidati al DPO.
DPO interno: contratto di lavoro full-time/part-time. Se DPO esterno: piano di
lavoro (numero di audit, presenza presso la struttura del Titolare);
Fattore tempo
•supporto adeguato in termini di risorse finanziarie, infrastrutture (sede,
attrezzature, strumentazione) e, ove opportuno, personale
Fattore risorse
•accesso garantito ad altri servizi (risorse umane, ufficio giuridico, IT, sicurezza, ecc.)
così da fornire al DPO supporto, informazioni e input essenziali;
Fattore accesso
•comunicazione ufficiale della nomina del DPO a tutto il personale, in modo da
garantire che la sua presenza e le sue funzioni siano note all’interno
dell’azienda/ente
Fattore comunicazione
Indicazioni e
raccomandazioni
nella designazione
del DPO
23. 23
Contenuti essenziali dell’atto di designazione del DPO
(procedura selettiva interna o esterna, gara, altro)
•I DPO devono avere la possibilità di curare il proprio aggiornamento con riguardo
agli sviluppi nel settore della protezione dati: partecipazione a corsi di formazione
su materie attinenti alla protezione dei dati e ad altre occasioni di
professionalizzazione;
Fattore formazione permanente
•Considerate le dimensioni e la struttura dell’azienda/ente, può risultare necessario
costituire un ufficio o un gruppo di lavoro DPO.
Fattore organizzazione
•Individuazione dei compiti del DPO (se prevista la creazione di un team del DPO,
ripartizione dei compiti nel team e individuazione del soggetto designato DPO
Compiti del DPO
Indicazioni e
raccomandazioni
nella designazione
del DPO
24. 24
"Dati di
contatto", un
concetto
difficile?
Art. 37, par. 7 GDPR
«Il titolare del trattamento o il responsabile del trattamento pubblica i dati di
contatto del responsabile della protezione dei dati e li comunica all'autorità
di controllo.»
ATTENZIONE !
• Non confondere il Responsabile del trattamento con il
Responsabile della Protezione dei Dati
• Non si indicano i dati identificativi del DPO nelle informative,
è sufficiente indicare indirizzo email e/o numero di telefono (dato
di CONTATTO)
o non è obbligatorio il nome e cognome, è un trattamento dati non
adeguato e limitato rispetto alla finalità!
o se cambia il DPO, si dovranno modificare tutte le informative!
25. 25
"Dati di
contatto", un
concetto
difficile?
Art. 37, par. 7 GDPR
«Il titolare del trattamento o il responsabile del trattamento pubblica i dati di
contatto del responsabile della protezione dei dati e li comunica all'autorità
di controllo.»
ATTENZIONE !
• Utilizzare indirizzi email impersonali (dpo@azienda.it oppure
rpd@azienda.it)
• Il DPO è una figura destinata a permanere nel tempo. Potrà
cambiare la persona fisica, ma la funzione resta. È opportuno,
quindi, mantenere uno storico delle comunicazioni inviate e
ricevute dall’ufficio del DPO.
• L’uso di caselle personali con nome.cognome equivale a
comunicare i dati identificativi del DPO, come nel caso
precedente.
26. 26
La casella
email del
DPO…
Art. 37, par. 7 GDPR
«Il titolare del trattamento o il responsabile del trattamento pubblica i dati di
contatto del responsabile della protezione dei dati e li comunica all'autorità
di controllo.»
…qualche consiglio
La casella deve essere controllata e resa accessibile
direttamente dal DPO
Credenziali di autenticazione comunicate personalmente al
DPO e cambio password
Se è impostato l’inoltro dei messaggi su casella personale del
DPO, ricordarsi di lasciare sempre la copia nella webmail.
27. 27
La casella
email del
DPO…
Art. 37, par. 7 GDPR
«Il titolare del trattamento o il responsabile del trattamento pubblica i dati di
contatto del responsabile della protezione dei dati e li comunica all'autorità
di controllo.»
…perché è così importante
• È lo strumento che consente al DPO di esercitare le proprie
funzioni di «facilitatore»
• Il Titolare può scrivere al DPO per richiedere informazioni e/o
consulenza
• Gli Autorizzati (dipendenti del Titolare) possono contattare il
DPO per richiedere consulenza e informazioni
• Gli interessati possono contattare il DPO per tutte le questioni
relative al trattamento dei loro dati personali e all'esercizio dei
loro diritti (art. 38, par. 4 GDPR)
28. 28
I compiti di
informazione
e consulenza
del DPO
Titolare o Responsabile del Trattamento
Dipendenti che eseguono il trattamento (autorizzati)
nei confronti di….
obblighi GDPR
Obblighi derivanti da altre disposizioni relative alla
protezione dei dati
in merito a…
D. Lgs. 196/2003 e s.m.i., D. Lgs. 101/2018, D. Lgs. 33/2013 e
s.m.i., L. 241/1990, L. 300/1970, Provvedimenti dell’Autorità
Garante (videosorveglianza, amministratore di sistema,
trasparenza, ecc…)
29. 29
Il compito di
sorveglianza
del DPO
osservanza del GDPR, delle altre disposizioni
relative alla protezione dei dati
attribuzione delle responsabilità (autorizzazioni e
istruzioni, responsabili del trattamento, contitolarità)
in merito a….
sensibilizzazione e formazione del personale
Audit
in che modo?
30. 30
Il compito di
sorveglianza
del DPO
Articolo - titolo Versione in italiano Versione in inglese
Art. 28 Responsabile del trattamento
Art. 28 Processor
attività di revisione,
comprese le ispezioni
contribute to audits,
including inspections
Art. 39 Compiti del Responsabile della
protezione dei dati
Art. 39 Tasks of the data protection
officer
sorvegliare [...] la
formazione del
personale che
partecipa ai
trattamenti e alle
connesse attività di
controllo
to monitor [...] the
training of staff
involved in
processing
operations, and the
related audits
Art. 47 Norme vincolanti di impresa
Art. 47 Binding corporate rules
verifiche sulla
protezione dei dati
data protection audit
Art. 58 Poteri (dell’autorità di
controllo)
Art. 58 Powers (supervisory authority)
Condurre indagini
sotto forma di attività
di revisione sulla
protezione dei dati
to carry out
investigations in the
form of data
protection audits
Un problema di traduzione…
31. 31
Art. 24 GDPR
«1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle
finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per
i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto
misure tecniche e organizzative adeguate per garantire, ed essere in grado di
dimostrare, che il trattamento è effettuato conformemente al presente
regolamento. Dette misure sono riesaminate e aggiornate qualora
necessario.
[…] le misure di cui al paragrafo 1 includono l’attuazione di politiche adeguate in
materia di protezione dei dati da parte del titolare del trattamento»
Il compito di
sorveglianza
del DPO
Misure tecniche e
organizzative
Verifica di conformità
al GDPR
(AUDIT 1)
Riesame e
aggiornamento
(AUDIT 2)
32. 32
Il compito di
sorveglianza
del DPO
Gli elementi comuni di ogni audit
Audit
Definizione: processo sistematico, indipendente e documentato
per ottenere evidenze dell’audit e valutare con obiettività, al fine
di stabilire in quale misura i criteri dell’audit sono stati
soddisfatti
UNI EN ISO 19011:2018
Linee guida per gli audit di sistemi di gestione
OGGETTO: ossia il modello di riferimento (es. best practices,
linee guida, norme ISO, capitolati, ecc)
CAMPO DI APPLICAZIONE: un’organizzazione o alcune parti di
essa
SCOPO: verifica dello stato dell’arte dell’organizzazione rispetto ai
requisiti del modello di riferimento oggetto dell’audit. Verifica se i
criteri dell’audit sono stati soddisfatti
33. 33
Il compito di
sorveglianza
del DPO
L’audit del DPO
OGGETTO: modello di riferimento: Regolamento
(UE) 679/2016, D. Lgs. 196/2003 e altre
disposizioni relative alla protezione dei dati
CAMPO DI APPLICAZIONE: l’organizzazione del
Titolare o del Responsabile del trattamento
SCOPO: verifica dello stato dell’arte
dell’organizzazione del Titolare o del Responsabile
rispetto delle norme del Regolamento (UE)
679/2016, D. Lgs. 196/2003 e altre disposizioni
relative alla protezione dei dati
34. 34
Il compito di
sorveglianza
del DPO
L’audit del DPO
I principi dell’audit che deve osservare il DPO
Integrità: requisito posto a fondamento della professionalità (onestà,
diligenza, competenza e imparzialità)
Imparzialità: elaborazione di report veritieri e accurati.
Le risultanze devono riportare fedelmente e accuratamente le attività svolte
Professionalità: applicazione di diligenza e di giudizio nel corso
dell’attività di audit
Livello di attenzione adeguato all’importanza del compito.
Riservatezza: sicurezza delle informazioni
Discrezione nell’utilizzo e nella protezione delle informazioni acquisite
Indipendenza: Autonomia e assenza di conflitto di interessi
Approccio basato sull’evidenza: il metodo razionale per
raggiungere conclusioni efficaci
Le evidenze si basano su un campione di informazioni disponibili
35. 35
Il compito di
sorveglianza
del DPO
L’audit del DPO
Conduzione delle attività: la riunione di apertura
Obiettivi:
1. Presentazione delle attività del DPO
2. Valutazione complessiva dello stato dell’arte
3. Richieste di informazioni e consulenze specifiche al DPO
Partecipanti:
Soggetti privati – Direzione, Amministrazione, Resp.
Uffici/Aree maggiormente coinvolte nel trattamento dei dati
Soggetti pubblici – Direzione Generale, Sindaco, Segretario
Comunale, Resp. Uffici/Aree
Costituzione di un «Gruppo privacy»
36. 36
Il compito di
sorveglianza
del DPO
L’audit del DPO
Il DPO deve raccogliere evidenze oggettive, ovverosia
informazioni verificabili, inconfutabili, supportate da
documentazione, registrazioni, dichiarazioni, osservazioni
Cosa
comprende
Quando può
avvenire
Audit: raccolta
delle evidenze
Programmato
periodicamente
Verifica
documentale
Interviste al
personale coinvolto
nei trattamenti dei
datiIn seguito a
segnalazione/data
breach o altre
anomalie
37. 37
Il compito di
sorveglianza
del DPO
L’audit del DPO
Informative
privacy,
richieste di
consenso
Istruzioni al
personale
Procedure/Policy
interne: es.
gestione delle
istanze
dell’interessato,
gestione dei data
breach, uso della
posta elettronica e
strumenti
informatici
aziendali
Registri dei
trattamenti,
registri delle
violazioni
Verifica documentale
38. 38
Il compito di
sorveglianza
del DPO
L’audit del DPO
Valutazione
del livello di
sicurezza
Verifica sul
recepimento
delle
procedure
Verifica dei
luoghi ove si
svolgono i
trattamenti di
dati personali
Controlli sulle
modalità
operative e
accountability
Interviste al personale
40. 40
Grazie per l’attenzione
Ci sono domande?
Non dimenticare di segnarti le nostre email:
gianluca@gianlucasatta.it, massimo@massimofarina.it
info@diricto.it
…e i nostri siti web:
http://www.diricto.it
http://ict4forensics.diee.unica.it
http://www.marcafoto.it
41. 41
Licenza
Attribuzione - Non Commerciale - Condividi allo stesso modo 4.0 (CC BY-NC-SA 4.0)
Internazionale
o Tu sei libero di:
Condividere - riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare questo
materiale con qualsiasi mezzo e formato;
Modificare - remixare, trasformare il materiale e basarti su di esso per le tue opere;
Il licenziante non può revocare questi diritti fintanto che tu rispetti i termini della licenza
Alle seguenti condizioni:
Attribuzione. Devi riconoscere una menzione di paternità adeguata, fornire un link alla licenza e indicare se
sono state effettuate delle modifiche. Puoi fare ciò in qualsiasi maniera ragionevole possibile, ma non con
modalità tali da suggerire che il licenziante avalli te o il tuo utilizzo del materiale.
Non commerciale. Non puoi usare il materiale per fini commerciali.
Stessa Licenza. Se remixi, trasformi il materiale o ti basi su di esso, devi distribuire i tuoi contributi con la
stessa licenza del materiale originario.
o Divieto di restrizioni aggiuntive — Non puoi applicare termini legali o misure tecnologiche che impongano ad altri soggetti
dei vincoli giuridici su quanto la licenza consente loro di fare.
o Non sei tenuto a rispettare i termini della licenza per quelle componenti del materiale che siano in pubblico dominio o nei casi
in cui il tuo utilizzo sia consentito da una eccezione o limitazione prevista dalla legge
o Non sono fornite garanzie. La licenza può non conferirti tutte le autorizzazioni necessarie per l'utilizzo che ti prefiggi. Ad
esempio, diritti di terzi come i diritti all'immagine, alla riservatezza e i diritti morali potrebbero restringere gli usi che ti prefiggi
sul materiale.