Comitato Europeo per la protezione dei dati | European Data Protection Board – Terza sessione plenaria 2018

EDPBOARDIl 25 e il 26 settembre 2018, le autorità europee per la protezione dei dati, riunite nel comitato europeo per la protezione dei dati (EDPB) si sono incontrate per la loro terza sessione plenaria.

Durante la plenaria sono stati discussi una vasta gamma di argomenti. Segnalo fra l’altro:

Decisione di adeguatezza UE-Giappone

I membri del Board hanno discusso la bozza di decisione sull’adeguatezza UE-Giappone che hanno ricevuto dal commissario Věra Jourová.  Il Board esaminerà ora a fondo il progetto di decisione.

Elenchi di DPIA

L’EDPB ha raggiunto un accordo e adottato i 22 pareri che stabiliscono criteri comuni per gli elenchi della valutazione dell’impatto sulla protezione dei dati (DPIA).

Queste liste costituiscono uno strumento importante per l’applicazione coerente del GDPR in tutta l’UE.

La DPIA è un processo per aiutare a identificare e mitigare i rischi di protezione dei dati che potrebbero influenzare i diritti e le libertà delle persone.

Per aiutare a chiarire i tipi di trattamento che potrebbero richiedere una DPIA, il GDPR richiede alle autorità nazionali di vigilanza di creare e pubblicare elenchi di tipi di operazioni che potrebbero comportare un rischio elevato.

Il Consiglio ha ricevuto 22 liste nazionali con un totale di 260 diversi tipi di trattamento.

I 22 pareri sulle liste DPIA sono previsti dall’art. 35.4 e dall’art. 35.6 GDPR e sono in linea con le linee guida precedenti stabilite dal Gruppo di lavoro articolo 29.

Linee guida sull’ambito territoriale di applicazione GDPR

L’EDPB ha adottato una nuova bozza di linee guida, che contribuirà a fornire un’interpretazione comune dell’ambito di applicazione territoriale del GDPR e fornirà ulteriori chiarimenti sull’applicazione del GDPR in varie situazioni, in particolare laddove il Titolare del trattamento o il responsabile del trattamento è stabilito al di fuori dell’UE, anche sulla designazione di un rappresentante. Le linee guida saranno soggette a una consultazione pubblica.

Fonte: European Data Protection Board

Data Protection Officer (DPO) Certification: EU regulation is needed

Over the last few months there has been a lively debate on the role of the Data Protection Officer and of those working in the field of privacy and data protection, as well as on whether they must be certified.

In Italy, in addition to some proprietary schemes concerning the DPO, such as the CEPAS/Bureau Veritas one, the Italian Standardisation Organization UNI -Ente nazionale italiano di unificazione is working in order to establish a technical standard UNI/UNINFO Non-regulated professional activities – Professional profiles related to Personal Data Processing and Protection – Requirements for knowledge, skills, competence” which defines profiles and skills of professionals working in the field of Personal Data Processing and Personal Data Protection.

In Spain, the Spanish Data Protection and Privacy Authority Agencia Española de Protección de Datos (AEPD) presented a certification scheme for Data Protection Officers, developed together with the Spanish National Standardisation Body ENAC.

Even if the participation in these schemes is and will be voluntary, they are seen as a point of reference providing the market with the minimum contents and information that a certification process shall have in order to be a guarantee of the professional qualifications and skills of the Data Protection Officers of the future.

Nevertheless, the DPO role should be seen at an EU-level and for this reason companies expect requirements and qualifications to be uniform in all the EU Members States without any different national schemes, this being at odds with the spirit of the reform.

As the WP29 (which will be called in the future European Data Protection Board EDPB) shall ensure a coherent application of the Privacy Regulation (EU) 2016/679, so we can hope that the European Committee for Standardisation in cooperation with the EDPB develops a standard EN on the Data Protection Officers.

As a matter of fact, I remember that the standards EN have to be transposed by the CEN Member States and in Italy their abbreviation becomes UNI EN. The purpose of these rules is to standardise the technical regulations all over Europe, and the existence of national rules which are not consistent with these standards is therefore not allowed.

The formalisation of a standard EN would hence be an effective vehicle to standardise criteria, qualifications and skills of the Data Protection Officers and of those working with them in this field at European level: the same philosophy of the General Data Protection Regulation GDPR.

Matteo Colombo
Labor Project srl

Certificazione del DPO: occorre una norma europea (EN)

Negli ultimi mesi la discussione sul ruolo del Data Protection Officer, delle figure privacy e sulla loro certificabilità si è fatto sempre più acceso.

In Italia, oltre ad alcuni schemi proprietari sulla figura del DPO, come quello di CEPAS, sono in corso i lavori UNI (Ente nazionale italiano di unificazione) per definire una norma tecnica UNI/UNINFO Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza abilità e competenza che definisca i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali.

In Spagna l’Autorità Garante Privacy | Agencia Española de Protección de Datos (AEPD) in collaborazione con ENAC, l’Ente di normazione nazionale, ha presentato uno schema di certificazione per i Data Protection Officer.

Seppure questi schemi sono e saranno ad adesione volontaria, sono visti come punto di riferimento per fornire al mercato contenuti ed elementi minimi per un meccanismo di certificazione che possa servire come garanzia per stabilire le qualifiche e le professionalità dei futuri Data Protection Officer.

Tuttavia, la figura del DPO dovrebbe essere europea e quindi le aziende si aspettano che i requisiti e le qualifiche siano uniformi in tutti gli Stati membri UE e non che vi siano schemi nazionali diversi; in quest’ultimo caso verrebbe meno lo spirito della riforma.

Quindi così come il WP29 (in futuro Comitato Europeo per la Protezione dei dati EDPB) è chiamato ad intervenire per assicurare, fra l’altro, un’applicazione coerente del Regolamento Privacy (UE) 2016/679; potremmo auspicare che il CEN (European Committee for Standardization), organismo di normazione europea, elabori di concerto con l’EDPB una norma EN sul Data Protection Officer.

Ricordo infatti che le norme EN devono essere obbligatoriamente recepite dai Paesi membri CEN e la loro sigla di riferimento diventa, nel caso dell’Italia, UNI EN. Queste norme servono ad uniformare la normativa tecnica in tutta Europa, quindi non è consentita l’esistenza a livello nazionale di norme che non siano in armonia con il loro contenuto.

La formalizzazione di una norma EN sarebbe quindi un modo veramente efficace per uniformare a livello europeo criteri, qualifiche caratteristiche del Data Protection Officer (DPO) e delle figure privacy a questi affiancate: la stessa filosofia del GDPR.

Matteo Colombo

REGOLAMENTO PRIVACY UE | 2016/679 | 20 PUNTI ESSENZIALI

Con l’avvento del Regolamento sulla Protezione dei dati | Reg. (UE) 2016/679 le aziende dovranno affrontare il tema della “compliance privacy” avendo come area di riferimento non solo l’Italia ma tutti gli Stati dell’Unione Europea in cui operano.

A ciò si aggiunga che i dati personali e le informazioni confidenziali sui dati aziendali sono un asset fondamentale per qualsiasi tipo di attività, soprattutto per il crescente sviluppo del trattamento dati automatizzato.

A tal proposito, la nuova legge obbliga Titolari e Responsabili del trattamento a rivedere e ad aggiornare la documentazione presente in azienda, ad applicare adeguate misure di sicurezza, sia tecnologiche che organizzative, e a provarne la loro efficacia: “accountability”.

Ecco i 20 punti essenziali che le aziende dovranno considerare nei prossimi 300 giorni per adempiere correttamente la nuova normativa.

1. Avere consapevolezza del nuovo quadro normativo;

2. Individuare il Garante di riferimento per i Gruppi multinazionali;

3. Individuare Ruoli e Responsabilità interne;

4. Identificare i fondamenti di liceità di ciascun trattamento;

5. Revisionare le informative a dipendenti, clienti, consumatori, pazienti, ecc.;

6. Predisporre consenso per marketing, profilazione, scelte automatizzate, ecc.;

7. Redazione di policy per la conservazione dei dati per le modalità di risposta agli interessati;

8. Redigere ed aggiornare un Registro dei trattamenti di dati;

9. Accountability: predisporre documenti e politica di gestione della privacy;

10. Filiera di trattamento del dato: nomina Responsabili e sub responsabili;

11. Data breach: definizione di una policy “ad hoc” e flussi informativi;

12. Data protection by default, by design;

13. DPIA: Data protection impact assessment per i trattamenti “rischiosi”;

14. Data Protection Officer: una nuova figura di garanzia;

15. Regolamentare i data transfer per Paesi extra UE;

16. Regolamentare gli strumenti idonei al controllo dei dipendenti;

17. Formare gli incaricati;

18. Audit di verifica e certificazioni;

19. Sicurezza dei dati: implementare misure di sicurezza idonee (es. crittografia);

20. Sanzioni fino a 20 milioni di Euro o sino al 4% del fatturato globale.

Il team di Labor Project, forte di un’esperienza ultradecennale nella consulenza Privacy in Italia e in Europa, affianca Titolari e Responsabili del trattamento nell’adempimento delle prescrizioni normative derivanti dal Regolamento Privacy UE che si applicherà dal 25 maggio 2018.

Matteo Colombo

Intervista al Presidente di ASSO DPO sul Sole 24 Ore sul ruolo del Data Protection Officer

Il Sole 24 Ore dedica una pagina al tema del DPO intervistando il Presidente di ASSO DPO, Matteo Colombo.

Cliccare qui per leggere l’articolo completo

 

NUOVO LIBRO: Regolamento Privacy UE 2016/679 | Principi generali e Ruolo del Data Protection Officer

Qual è la funzione di un DPO?

Quali cambiamenti porta in Europa e in Italia il nuovo Regolamento Privacy (UE)2016/679?

Cosa succederà a partire del 25 maggio 2018?

A queste domande cerca di dare risposta in modo sintetico e chiaro il nuovo libro di Matteo Colombo. Un contributo alla conoscenza del nuovo Regolamento UE con uno speciale approfondimento sulla figura del Data Protection Officer.

Non perdetevelo!

RegolamentoUE

 

Il libro è disponibile su Amazon in formato Kindle e cartaceo.

Cliccare qui per maggiori informazioni e per acquistarlo

WP29: Guidelines sul ruolo del Data Protection Officer

guidelinesSono state finalmente pubblicate e adottate il 13 dicembre 2016 le Guidelines sul ruolo del Data Protection Officer da parte del Working Party 29.

Sono anche disponibili le domande frequenti dei Data Controller sul tema DPO.

Cliccare qui per leggere le Guidelines complete

Cliccare qui per leggere le domande frequenti sul tema DPO

Le guidelines (cliccare qui per leggerle) sono molto ricche e si riportano di seguito alcune precisazioni che sono state fissate sulle definizioni di “attività principale” e trattamenti su “larga scala”.

Sulla definizione di “attività principale”  vengono fornite alcune esemplificazioni sia in senso positivo che negativo ovvero:

  1. Ad esempio, l’attività principale di un ospedale è quella di fornire assistenza sanitaria. Tuttavia, un ospedale non può fornire l’assistenza sanitaria in modo sicuro ed efficace senza l’elaborazione dei dati di salute, come le cartelle cliniche dei pazienti.
    Pertanto, l’elaborazione di tali dati deve essere considerata come una delle attività principali di ogni ospedale e gli stessi devono quindi designare un DPO;
  2. Una società di vigilanza  privata svolge la sorveglianza di un certo numero di centri commerciali e spazi pubblici. La sorveglianza è l’attività principale della società, che a sua volta è indissolubilmente legata al trattamento dei dati personali. Pertanto, questa società deve designare un DPO.

Diversamente per tutte le aziende che svolgono alcune attività ordinarie, ad esempio, pagare i loro dipendenti o trattare dati attraverso attività di supporto IT standard, si tratta di funzioni di supporto necessarie per il “core activity” dell’organizzazione. Queste attività sono necessarie o essenziali e sono solitamente funzioni accessorie; quindi non necessitano di nomina di un DPO.

Sulla definizione di “larga scala”  vengono fornite alcune esemplificazioni sia in senso positivo che negativo ovvero, sono da considerarsi trattamenti su larga scala:

  • l’elaborazione dei dati del paziente in un ospedale;
  • il trattamento dei dati di viaggio delle persone che utilizzano il sistema di trasporto pubblico di una città (ad esempio il monitoraggio via carte di viaggio);
  • l’elaborazione dei dati in tempo reale di geo-localizzazione di clienti di una catena di fast food internazionale per fini statistici attraverso un data processor specializzato nella fornitura di questi servizi;
  • il trattamento dei dati dei clienti nel normale corso di attività da una compagnia di assicurazioni o di una banca;
  • il trattamento dei dati personali per la pubblicità comportamentale da un motore di ricerca (cookies di profilazione);
  • il trattamento dei dati (i contenuti, il traffico, la posizione) da parte dei fornitori di servizi telefonici o Internet.

Mentre esempi che non costituiscono l’elaborazione su larga scala sono:

  • il trattamento dei dati dei pazienti da parte di un singolo medico;
  • il trattamento di dati giudiziari da parte di un avvocato.

Nei prossimi giorni analizzeremo ancora più nel dettaglio le linee guida.

Matteo Colombo