Over the last few months there has been a lively debate on the role of the Data Protection Officer and of those working in the field of privacy and data protection, as well as on whether they must be certified.

In Italy, in addition to some proprietary schemes concerning the DPO, such as the CEPAS/Bureau Veritas one, the Italian Standardisation Organization UNI -Ente nazionale italiano di unificazione is working in order to establish a technical standard UNI/UNINFO “Non-regulated professional activities – Professional profiles related to Personal Data Processing and Protection – Requirements for knowledge, skills, competence” which defines profiles and skills of professionals working in the field of Personal Data Processing and Personal Data Protection.

In Spain, the Spanish Data Protection and Privacy Authority Agencia Española de Protección de Datos (AEPD) presented a certification scheme for Data Protection Officers, developed together with the Spanish National Standardisation Body ENAC.

Even if the participation in these schemes is and will be voluntary, they are seen as a point of reference providing the market with the minimum contents and information that a certification process shall have in order to be a guarantee of the professional qualifications and skills of the Data Protection Officers of the future.

Nevertheless, the DPO role should be seen at an EU-level and for this reason companies expect requirements and qualifications to be uniform in all the EU Members States without any different national schemes, this being at odds with the spirit of the reform.

As the WP29 (which will be called in the future European Data Protection Board EDPB) shall ensure a coherent application of the Privacy Regulation (EU) 2016/679, so we can hope that the European Committee for Standardisation in cooperation with the EDPB develops a standard EN on the Data Protection Officers.

As a matter of fact, I remember that the standards EN have to be transposed by the CEN Member States and in Italy their abbreviation becomes UNI EN. The purpose of these rules is to standardise the technical regulations all over Europe, and the existence of national rules which are not consistent with these standards is therefore not allowed.

The formalisation of a standard EN would hence be an effective vehicle to standardise criteria, qualifications and skills of the Data Protection Officers and of those working with them in this field at European level: the same philosophy of the General Data Protection Regulation GDPR.

Matteo Colombo
Labor Project srl

Con l’avvento del Regolamento sulla Protezione dei dati | Reg. (UE) 2016/679 le aziende dovranno affrontare il tema della “compliance privacy” avendo come area di riferimento non solo l’Italia ma tutti gli Stati dell’Unione Europea in cui operano.

A ciò si aggiunga che i dati personali e le informazioni confidenziali sui dati aziendali sono un asset fondamentale per qualsiasi tipo di attività, soprattutto per il crescente sviluppo del trattamento dati automatizzato.

A tal proposito, la nuova legge obbliga Titolari e Responsabili del trattamento a rivedere e ad aggiornare la documentazione presente in azienda, ad applicare adeguate misure di sicurezza, sia tecnologiche che organizzative, e a provarne la loro efficacia: “accountability”.

Ecco i 20 punti essenziali che le aziende dovranno considerare nei prossimi 300 giorni per adempiere correttamente la nuova normativa.

1. Avere consapevolezza del nuovo quadro normativo;

2. Individuare il Garante di riferimento per i Gruppi multinazionali;

3. Individuare Ruoli e Responsabilità interne;

4. Identificare i fondamenti di liceità di ciascun trattamento;

5. Revisionare le informative a dipendenti, clienti, consumatori, pazienti, ecc.;

6. Predisporre consenso per marketing, profilazione, scelte automatizzate, ecc.;

7. Redazione di policy per la conservazione dei dati per le modalità di risposta agli interessati;

8. Redigere ed aggiornare un Registro dei trattamenti di dati;

9. Accountability: predisporre documenti e politica di gestione della privacy;

10. Filiera di trattamento del dato: nomina Responsabili e sub responsabili;

11. Data breach: definizione di una policy “ad hoc” e flussi informativi;

12. Data protection by default, by design;

13. DPIA: Data protection impact assessment per i trattamenti “rischiosi”;

14. Data Protection Officer: una nuova figura di garanzia;

15. Regolamentare i data transfer per Paesi extra UE;

16. Regolamentare gli strumenti idonei al controllo dei dipendenti;

17. Formare gli incaricati;

18. Audit di verifica e certificazioni;

19. Sicurezza dei dati: implementare misure di sicurezza idonee (es. crittografia);

20. Sanzioni fino a 20 milioni di Euro o sino al 4% del fatturato globale.

Il team di Labor Project, forte di un’esperienza ultradecennale nella consulenza Privacy in Italia e in Europa, affianca Titolari e Responsabili del trattamento nell’adempimento delle prescrizioni normative derivanti dal Regolamento Privacy UE che si applicherà dal 25 maggio 2018.

Matteo Colombo