Comitato Europeo per la protezione dei dati | European Data Protection Board – Terza sessione plenaria 2018

EDPBOARDIl 25 e il 26 settembre 2018, le autorità europee per la protezione dei dati, riunite nel comitato europeo per la protezione dei dati (EDPB) si sono incontrate per la loro terza sessione plenaria.

Durante la plenaria sono stati discussi una vasta gamma di argomenti. Segnalo fra l’altro:

Decisione di adeguatezza UE-Giappone

I membri del Board hanno discusso la bozza di decisione sull’adeguatezza UE-Giappone che hanno ricevuto dal commissario Věra Jourová.  Il Board esaminerà ora a fondo il progetto di decisione.

Elenchi di DPIA

L’EDPB ha raggiunto un accordo e adottato i 22 pareri che stabiliscono criteri comuni per gli elenchi della valutazione dell’impatto sulla protezione dei dati (DPIA).

Queste liste costituiscono uno strumento importante per l’applicazione coerente del GDPR in tutta l’UE.

La DPIA è un processo per aiutare a identificare e mitigare i rischi di protezione dei dati che potrebbero influenzare i diritti e le libertà delle persone.

Per aiutare a chiarire i tipi di trattamento che potrebbero richiedere una DPIA, il GDPR richiede alle autorità nazionali di vigilanza di creare e pubblicare elenchi di tipi di operazioni che potrebbero comportare un rischio elevato.

Il Consiglio ha ricevuto 22 liste nazionali con un totale di 260 diversi tipi di trattamento.

I 22 pareri sulle liste DPIA sono previsti dall’art. 35.4 e dall’art. 35.6 GDPR e sono in linea con le linee guida precedenti stabilite dal Gruppo di lavoro articolo 29.

Linee guida sull’ambito territoriale di applicazione GDPR

L’EDPB ha adottato una nuova bozza di linee guida, che contribuirà a fornire un’interpretazione comune dell’ambito di applicazione territoriale del GDPR e fornirà ulteriori chiarimenti sull’applicazione del GDPR in varie situazioni, in particolare laddove il Titolare del trattamento o il responsabile del trattamento è stabilito al di fuori dell’UE, anche sulla designazione di un rappresentante. Le linee guida saranno soggette a una consultazione pubblica.

Fonte: European Data Protection Board

Certificazione del DPO: occorre una norma europea (EN)

Negli ultimi mesi la discussione sul ruolo del Data Protection Officer, delle figure privacy e sulla loro certificabilità si è fatto sempre più acceso.

In Italia, oltre ad alcuni schemi proprietari sulla figura del DPO, come quello di CEPAS, sono in corso i lavori UNI (Ente nazionale italiano di unificazione) per definire una norma tecnica UNI/UNINFO Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza abilità e competenza che definisca i profili e le competenze dei professionisti che lavorano nel contesto del trattamento e della protezione dei dati personali.

In Spagna l’Autorità Garante Privacy | Agencia Española de Protección de Datos (AEPD) in collaborazione con ENAC, l’Ente di normazione nazionale, ha presentato uno schema di certificazione per i Data Protection Officer.

Seppure questi schemi sono e saranno ad adesione volontaria, sono visti come punto di riferimento per fornire al mercato contenuti ed elementi minimi per un meccanismo di certificazione che possa servire come garanzia per stabilire le qualifiche e le professionalità dei futuri Data Protection Officer.

Tuttavia, la figura del DPO dovrebbe essere europea e quindi le aziende si aspettano che i requisiti e le qualifiche siano uniformi in tutti gli Stati membri UE e non che vi siano schemi nazionali diversi; in quest’ultimo caso verrebbe meno lo spirito della riforma.

Quindi così come il WP29 (in futuro Comitato Europeo per la Protezione dei dati EDPB) è chiamato ad intervenire per assicurare, fra l’altro, un’applicazione coerente del Regolamento Privacy (UE) 2016/679; potremmo auspicare che il CEN (European Committee for Standardization), organismo di normazione europea, elabori di concerto con l’EDPB una norma EN sul Data Protection Officer.

Ricordo infatti che le norme EN devono essere obbligatoriamente recepite dai Paesi membri CEN e la loro sigla di riferimento diventa, nel caso dell’Italia, UNI EN. Queste norme servono ad uniformare la normativa tecnica in tutta Europa, quindi non è consentita l’esistenza a livello nazionale di norme che non siano in armonia con il loro contenuto.

La formalizzazione di una norma EN sarebbe quindi un modo veramente efficace per uniformare a livello europeo criteri, qualifiche caratteristiche del Data Protection Officer (DPO) e delle figure privacy a questi affiancate: la stessa filosofia del GDPR.

Matteo Colombo

NUOVO LIBRO: Regolamento Privacy UE 2016/679 | Principi generali e Ruolo del Data Protection Officer

Qual è la funzione di un DPO?

Quali cambiamenti porta in Europa e in Italia il nuovo Regolamento Privacy (UE)2016/679?

Cosa succederà a partire del 25 maggio 2018?

A queste domande cerca di dare risposta in modo sintetico e chiaro il nuovo libro di Matteo Colombo. Un contributo alla conoscenza del nuovo Regolamento UE con uno speciale approfondimento sulla figura del Data Protection Officer.

Non perdetevelo!

RegolamentoUE

 

Il libro è disponibile su Amazon in formato Kindle e cartaceo.

Cliccare qui per maggiori informazioni e per acquistarlo