Certificazione del DPO: occorre una norma europea (EN)

Negli ultimi mesi la discussione sul ruolo del Data Protection Officer, delle figure privacy e sulla loro certificabilità si è fatto sempre più acceso.

In Italia, oltre ad alcuni schemi proprietari sulla figura del DPO, come quello di CEPAS, sono in corso i lavori UNI (Ente nazionale italiano di unificazione) per definire una norma tecnica UNI/UNINFO Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza abilità e competenza che definisca i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali.

In Spagna l’Autorità Garante Privacy | Agencia Española de Protección de Datos (AEPD) in collaborazione con ENAC, l’Ente di normazione nazionale, ha presentato uno schema di certificazione per i Data Protection Officer.

Seppure questi schemi sono e saranno ad adesione volontaria, sono visti come punto di riferimento per fornire al mercato contenuti ed elementi minimi per un meccanismo di certificazione che possa servire come garanzia per stabilire le qualifiche e le professionalità dei futuri Data Protection Officer.

Tuttavia, la figura del DPO dovrebbe essere europea e quindi le aziende si aspettano che i requisiti e le qualifiche siano uniformi in tutti gli Stati membri UE e non che vi siano schemi nazionali diversi; in quest’ultimo caso verrebbe meno lo spirito della riforma.

Quindi così come il WP29 (in futuro Comitato Europeo per la Protezione dei dati EDPB) è chiamato ad intervenire per assicurare, fra l’altro, un’applicazione coerente del Regolamento Privacy (UE) 2016/679; potremmo auspicare che il CEN (European Committee for Standardization), organismo di normazione europea, elabori di concerto con l’EDPB una norma EN sul Data Protection Officer.

Ricordo infatti che le norme EN devono essere obbligatoriamente recepite dai Paesi membri CEN e la loro sigla di riferimento diventa, nel caso dell’Italia, UNI EN. Queste norme servono ad uniformare la normativa tecnica in tutta Europa, quindi non è consentita l’esistenza a livello nazionale di norme che non siano in armonia con il loro contenuto.

La formalizzazione di una norma EN sarebbe quindi un modo veramente efficace per uniformare a livello europeo criteri, qualifiche caratteristiche del Data Protection Officer (DPO) e delle figure privacy a questi affiancate: la stessa filosofia del GDPR.

Matteo Colombo

Annunci

REGOLAMENTO PRIVACY UE | 2016/679 | 20 PUNTI ESSENZIALI

Con l’avvento del Regolamento sulla Protezione dei dati | Reg. (UE) 2016/679 le aziende dovranno affrontare il tema della “compliance privacy” avendo come area di riferimento non solo l’Italia ma tutti gli Stati dell’Unione Europea in cui operano.

A ciò si aggiunga che i dati personali e le informazioni confidenziali sui dati aziendali sono un asset fondamentale per qualsiasi tipo di attività, soprattutto per il crescente sviluppo del trattamento dati automatizzato.

A tal proposito, la nuova legge obbliga Titolari e Responsabili del trattamento a rivedere e ad aggiornare la documentazione presente in azienda, ad applicare adeguate misure di sicurezza, sia tecnologiche che organizzative, e a provarne la loro efficacia: “accountability”.

Ecco i 20 punti essenziali che le aziende dovranno considerare nei prossimi 300 giorni per adempiere correttamente la nuova normativa.

1. Avere consapevolezza del nuovo quadro normativo;

2. Individuare il Garante di riferimento per i Gruppi multinazionali;

3. Individuare Ruoli e Responsabilità interne;

4. Identificare i fondamenti di liceità di ciascun trattamento;

5. Revisionare le informative a dipendenti, clienti, consumatori, pazienti, ecc.;

6. Predisporre consenso per marketing, profilazione, scelte automatizzate, ecc.;

7. Redazione di policy per la conservazione dei dati per le modalità di risposta agli interessati;

8. Redigere ed aggiornare un Registro dei trattamenti di dati;

9. Accountability: predisporre documenti e politica di gestione della privacy;

10. Filiera di trattamento del dato: nomina Responsabili e sub responsabili;

11. Data breach: definizione di una policy “ad hoc” e flussi informativi;

12. Data protection by default, by design;

13. DPIA: Data protection impact assessment per i trattamenti “rischiosi”;

14. Data Protection Officer: una nuova figura di garanzia;

15. Regolamentare i data transfer per Paesi extra UE;

16. Regolamentare gli strumenti idonei al controllo dei dipendenti;

17. Formare gli incaricati;

18. Audit di verifica e certificazioni;

19. Sicurezza dei dati: implementare misure di sicurezza idonee (es. crittografia);

20. Sanzioni fino a 20 milioni di Euro o sino al 4% del fatturato globale.

Il team di Labor Project, forte di un’esperienza ultradecennale nella consulenza Privacy in Italia e in Europa, affianca Titolari e Responsabili del trattamento nell’adempimento delle prescrizioni normative derivanti dal Regolamento Privacy UE che si applicherà dal 25 maggio 2018.

Matteo Colombo