2° CONGRESSO ANNUALE ASSO DPO 2016 | ACCREDITATO ANCHE DALL’ORDINE DEGLI AVVOCATI DI MILANO

su 30 marzo 2016 da Matteo Colomboin DPO, Regolamento UELascia un commento

Il 2° Congresso Annuale di ASSO DPO è alle porte e, pur essendo terminati i posti disponibili per il Pre-Congresso del 18 Aprile, sono ancora aperte le iscrizioni per il Congresso Internazionale del 19 Aprile 2016 a Milano.

CLICCA QUI PER LEGGERE IL PROGRAMMA

Ecco perché non puoi mancare:

assistere ad un confronto sulla riforma europea Privacy | GDPR tra la Commissione Europa, il Garante Europeo e le Autorità Garanti Privacy di alcuni tra i più importanti Stati Europei (Gran Bretagna, Germania, Grecia e Italia);
ascoltare gli interventi anche di Data Protection Officer (DPO) di multinazionali italiane ed estere su temi importanti quali: Data Privacy Impact Assessment, misure di sicurezza, trasferimento dati all’estero, data breach e sanità;
avere l’opportunità di avere un confronto diretto con i massimi esperti italiani ed europei in tema di Data Protection;

Il Congresso è stato accreditato presso l’Ordine degli Avvocati di Milano (4 crediti) ed è in attesa di ricevere l’accreditamento anche da parte dell’Ordine dei Dottori Commercialisti e degli Esperti Contabili di Milano (ODCEC) e dall’Ordine dei Consulenti del Lavoro di Como.

CLICCA QUI PER ISCRIVERTI

Autorità Garanti e Principali Relatori:

Bruno Gencarelli | Head Unit Data Protection presso la Commissione Europea
Giovanni Buttarelli | Garante Europeo Protezione Dati Personali
Antonio Caselli | Autorità Garante per la Protezione dei Dati Personali
Iain Bourne | ICO – Autorità Garante Privacy Regno Unito
Stephen Eckersley | ICO – Autorità Garante Privacy Regno Unito
Michael Kaiser | Autorità Garante Privacy Tedesca (Assia – HDSB)
Dimitris Zografopoulos | Autorità Garante Privacy Greca
Steve Wright | Former Chief Privacy Unilever
Ernst O. Wilhelm | DPO GFT Technologies AG
Gennaro Vecchione | Comandante delle Unità Speciali della Guardia di Finanza
Anna Pouliou | Executive Lead Attorney for European Privacy & Data Protection di GE Corporate
Gianni Cattaneo | Avvocato e Docente Universitario presso Supsi
Prof. Mauro Moruzzi | Università di Bologna
Sabrina Salvaterra | Sr Manager Quality & Governance Biogen Italia
Riccardo Giannetti | Esperto in certificazioni Privacy
Raffaele Provolo | DPO Comune di Milano
Ricard Martínez | Presidente di APEP
Caroline Olstedt Carlstrom | Presidentessa Data Protection Forum – Svezia.

Moderatori:

Alexis Kateifides | DataGuidance Global Privacy Director
Alice Marini | DataGuidance Privacy Analyst
Stewart Dresner | Director Privacy Laws&Business
Gonca G. Dhont | CEO DPO Network Europe
Comitato Scientifico di ASSO DPO

Per maggiori informazioni

segreteria@assodpo.it | www.congressoassodpo.it

2° CONGRESSO ANNUALE ASSO DPO 2016

su 18 gennaio 201618 gennaio 2016 da Matteo Colomboin DPO, Regolamento UELascia un commento

Dopo il successo della prima edizione del Congresso Annuale di ASSO DPO, l’Associazione Data Protection Officer si presenta con un nuovo evento che conferma la propria posizione all’interno del panorama Internazionale in materia di Privacy e Data Protection Officer.

Il programma quest’anno prevede due giornate:

18/04 Pre-Congresso con Tavola Rotonda

19/04 Congresso Annuale

Nel pomeriggio del 18 aprile 2016 presso il Museo di Storia Naturale di Milano organizzeremo una Tavola Rotonda con le principali Associazioni Privacy Europee e alcuni DPO italiani per discutere del Ruolo del Data Protection Officer in Europa.

Il 19 aprile 2016 dalle ore 9.00 alle 17.00, la prestigiosa sede di Palazzo Mezzanotte a Milano – London Stock Exchange Group accoglierà invece il Congresso Internazionale.

Nel centro nevralgico della città si confronteranno come relatori i più importanti Referenti Privacy/DPO di Multinazionali e Autorità Garanti. Un panel di interlocutori a livello Europeo che riconferma l’importanza e l’impatto del nuovo Regolamento Privacy UE.

Visti i posti limitati, soprattutto per il pre-congresso con solo 120 posti disponibili, per premiare i nostri associati sino al 01 febbraio 2016 le iscrizioni saranno concesse in prelazione solo ai soci ASSO DPO.

CLICCARE QUI PER ISCRIVERSI

Quindi vi invito ad iscriverVi entro tale data al fine di evitare di perdere la possibilità di partecipare a questo evento fondamentale e imperdibile per tutti i professionisti della Privacy.

SERVIZIO DI TRADUZIONE SIMULTANEA ITALIANO/INGLESE E INGLESE/ITALIANO

Per maggiori informazioni: www.congressoassodpo.it

Matteo Colombo
Presidente di ASSO DPO

2nd ANNUAL CONGRESS ASSO DPO 2016

su 18 gennaio 2016 da Matteo Colomboin DPO, Regolamento UELascia un commento

After the successful first edition of the ASSO DPO Congress, the Italian Association of Data Protection Officer ASSO DPO is deligthed to announce the next ASSO DPO Annual Congress which confirms our position in the international field of Privacy and Data Protection.

This year the Program is divided in two days:

18/04 Pre-Congress Workshop with the Round Table

19/04 Main Annual Congress

On 18^th April 2016 afternoon at Natural History Museum we are going to organize a Round Table with the main European Privacy Associations to discuss the Role of the Data Protection Officer in Europe.

On 19^thApril 2016 from 09:00 a.m. to 17:00 p.m, Palazzo Mezzanotte – the Italian Stock Exchange Headquarter (London Stock Exchange Group – http://www.lseg.com/it/palazzo-en) will be the location of our International Congress.

In the heart of the city, European Data Protection Authorities, Italian and European DPOs will discuss and share their insights on Data Protection. A panel of Speakers at european level will confirm the importance and the impact of the new Regulation in Privacy field.

SIMULTANEOUS TRANSLATION SERVICE ITALIAN / ENGLISH AND ENGLISH / ITALIAN

For more information: www.congressoassodpo.it

Matteo Colombo
ASSO DPO PRESIDENT

Il DPO dopo l’accordo del Trilogo sul Regolamento Europeo Privacy

su 17 dicembre 20157 gennaio 2016 da Matteo Colomboin DPO, Regolamento UE, Unione EuropeaLascia un commento

Il 15 dicembre 2015, è stato raggiunto un accordo in sede di Trilogo sul testo del Regolamento Europeo sul trattamento dei dati personali.

Cliccare qui per leggere il testo del Regolamento

Il Regolamento, agli artt. 35, 36 e 37, ha definito quale dovrà essere il ruolo del Data Protection Officer all’interno delle nostre organizzazioni.

Cliccare qui per leggere la traduzione non ufficiale degli artt. 35, 36 e 37.

Qui di seguito vi forniamo una breve sintesi rispetto a quanto previsto per questa figura:

LA DESIGNAZIONE

La designazione del D.P.O. è obbligatoria quando:

(a) il trattamento è effettuato da un’autorità o un ente pubblico, fatta eccezione per i tribunali che esercitano l’attività giudiziaria; o
(b) le attività principali del Data Controller o Data Processor consistono in operazioni di trattamento che, in virtù della loro natura, del loro scopo e/o della loro finalità, richiedono un monitoraggio regolare e sistematico delle persone interessate su larga scala; o
(c) le attività principali del Data Controller o Data Processor consistono nel trattamento su larga scala di categorie speciali di dati (dati sensibili) ai sensi dell’Articolo 9 e di dati relativi alle condanne penali e reati di cui all’Articolo 9a;
(d) se previsto dal diritto dell’Unione o dal diritto dello Stato membro (comma 4). Un gruppo di imprese può designare un unico D.P.O., a condizione che sia facilmente raggiungibile da parte di ciascuno stabilimento. Più autorità o enti pubblici possono designare un unico D.P.O., tenendo conto della loro struttura e dimensione organizzativa.

I REQUISITI

Il D.P.O. deve essere designato sulla base dell’approfondita conoscenza della normativa sulla protezione dei dati e sulla capacità di svolgere i compiti di cui all’Articolo 37. Può essere un soggetto interno (ossia un membro dello staff del Data Controller o Processor), oppure un soggetto esterno che assolve i propri compiti sulla base di un contratto di servizi.

LA POSIZIONE

Il D.P.O. deve essere correttamente e tempestivamente coinvolto in tutte le tematiche che riguardano la protezione dei dati personali. Il Data Controller o Processor deve fornirgli le risorse necessarie per svolgere i propri compiti, per mantenersi aggiornato, nonché l’accesso ai dati personali e alle operazioni di trattamento. Gli interessati possono contattarlo in merito a tutte le questioni relative al trattamento dei dati nonché per l’esercizio dei propri diritti. Il D.P.O. non deve ricevere alcuna istruzione per quanto riguarda l’esercizio dei propri compiti, non deve venire dimesso o penalizzato in ragione dell’esecuzione delle proprie funzioni, e riferisce direttamente al più alto livello di gestione del Data Controller o Processor. Può svolgere altre attività, purché non siano in conflitto d’interessi. Dev’essere vincolato al segreto o alla riservatezza in merito alla prestazione dei suoi compiti, nel rispetto del diritto dell’Unione o dello Stato membro.

I COMPITI

Il D.P.O. deve:

(a) informare e consigliare il Data Controller o Processor e gli impiegati che trattano i dati personali circa i loro obblighi ai sensi della normativa in materia di protezione dei dati;
(b) controllare il rispetto della normativa in materia di protezione dei dati e delle regole del Data Controller o Processor in materia di protezione dei dati personali;
(c), (d), (e): …. (non riproposti nel testo)
(f) fornire consulenza ove richiesto per quanto riguarda il P.I.A.: Privacy Impact Assessment e monitorare i relativi adempimenti;
(g) cooperare con l’autorità di vigilanza (Autorità Garante Privacy);
(h) agire come punto di contatto per l’autorità di vigilanza sulle questioni relative al trattamento dei dati personali. Deve prendere in debito considerazione i rischi associati alle operazioni di trattamento, avuto riguardo alla natura, allo scopo, al contesto ed alle finalità del trattamento.

Fonte: www.statewatch.org

Autori: Matteo Colombo e Laura Asnaghi

REGOLAMENTO PRIVACY UE: ULTIMI PASSI

su 30 novembre 201530 novembre 2015 da Matteo Colomboin DPO, Regolamento UELascia un commento

Oggi, 30 novembre 2015, si è tenuta la Commissione LIBE (Libertà civili, giustizia e affari interni), nel corso della quale gli attori coinvolti hanno sintetizzato lo stato dei lavori relativi al futuro Regolamento Privacy UE.

La negoziazione sul futuro Regolamento dovrebbe terminare nei prossimi due Triloghi, che si terranno uno il 10 dicembre e l’altro il 15 dicembre 2015.

I relatori, tra i quali vi è Jan Philipp Albrecht, hanno riferito che sono stati raggiunti accordi pressoché definitivi sul Capo 1 (Disposizioni Generali), ad eccezione dell’ambito di applicazione, Capo 2 (Principi), Capo 3 (Diritti dell’interessato), Capo 6 (Autorità di Controllo indipendenti), Capo 7 (Cooperazione e Coerenza), Capo 8 (Ricorsi, Responsabilità e Sanzioni), Capo 9 (Disposizioni relative a specifiche situazioni di trattamento dati: stato di salute, rapporti di lavoro, ricerca scientifica) e Capo 10 (Atti delegati).

Mancano, ad oggi, accordi sui seguenti principali istituti:

Data Protection Officer: l’obiettivo è di non lasciare ai singoli Stati la facoltatività della nomina, ma di ricercare uno standard, seppur minimo, di obbligatorietà della nomina per settori specifici;
Data Breach: si deve trovare un accordo sugli indicatori di rischio che ne facciano scattare l’obbligatorietà;
Consenso: si sta cercando un accordo su come debba essere espresso, quando debba essere ripetuto e su quale debba essere l’informativa minima;
Ricerca scientifica: si sta discutendo su quale debba essere la tutela, soprattutto per dati sensibili raccolti in occasione di ricerche epidemiologiche;
Sanzioni: si è trovato un accordo generale sulla percentuale di sanzione, che dovrebbe pari nel massimo al 2% del fatturato mondiale annuo, ma si sta ancora discutendo su come raggiungere un’armonizzazione da parte di tutte le Autorità Garanti nazionali nella relativa applicazione.

Si è raggiunto un importante accordo per quanto riguarda l’anonimizzazione dei dati, la portabilità dei dati ed il principio generale dell’approccio basato sul rischio (P.I.A.).

Rimane un tema che, seppur questo Regolamento permetterà un’armonizzazione importante e necessaria per il mercato digitale europeo, vi sono ben 68 casi di apertura alle singole normative statali che potranno derogare al Regolamento (Es. diritto del lavoro, sicurezza pubblica, salute, ecc.).

Il Regolamento sarà approvato all’inizio del 2016 ed avrà efficacia decorsi due anni (inizio 2018).

Autori: Matteo Colombo e Laura Asnaghi

Regolamento Privacy UE | A che punto siamo sul Data Protection Officer?

su 13 novembre 201513 novembre 2015 da Matteo Colomboin DPO, Regolamento UE, Senza categoria, Unione EuropeaLascia un commento

In questi giorni ho avuto modo di leggere un interessante articolo pubblicato da IAPP (International Association of Privacy Professionals) e di confrontarmi con alcuni colleghi DPO che lavorano a Bruxelles.

La domanda che tutti ci poniamo è:

Alla fine del Trilogo la figura del DPO sarà obbligatoria o solo suggerita ?

Come sapete negli ultimi 3 anni sono state redatte 3 diverse versioni di bozze di Regolamento Privacy UE ed in particolare quelle di: Commissione Europea, Parlamento Europeo e Consiglio d’Europa.

Se inizialmente le bozze di Regolamento della Commissione e del Parlamento parlavano di DPO obbligatorio per una serie di aziende, l’ultima versione del Consiglio d’Europa (CDE) ha rivisto sostanzialmente l’articolo 35 prevedendo la figura del DPO facoltativa ad eccezione di disposizioni specifiche dei singoli Stati membri.

In questi mesi, in sede di Trilogo, la divisione delle parti è rimasta, ma entro fine dicembre 2015 dovranno terminare i lavori e gli Stati arriveranno ad una posizione comune che, sia pure di compromesso, dovrà essere trovata.

I “rumors” dicono che un accordo potrebbe essere trovato rendendo la figura del DPO obbligatoria in due casi:

Numero di persone interessate. Dalle iniziali 5.000 si dovrebbe passare ad una cifra compresa fra 50.000 e 500.000 (quindi grandi DB – si pensi al marketing o alla P.A.);
Tipologia dei dati trattati. Ossia nel caso in cui l’attività principale del Data Controller riguardasse il trattamento di dati speciali (ex dati sensibili e giudiziari) ed in particolare dati sanitari. A ciò si aggiungano i Data Controller che trattano dati finanziari o dati di minori.

13 novembre 2015

Autore: Matteo Colombo

Italia: l’arrivo del Data Protection Officer

su 18 giugno 201516 luglio 2015 da Matteo Colomboin DPO, Garante Privacy, Regolamento UELascia un commento

Con l’arrivo dell’estate 2015 ha avuto inizio il Trilogo fra Commissione Europea, Parlamento UE e Consiglio UE per arrivare al più presto (si spera entro dicembre 2015) all’approvazione del nuovo Regolamento Privacy UE, all’interno del quale è prevista l’introduzione della nuova figura Privacy del Data Protection Officer (DPO).

Infatti anche in due documenti ufficiali dell’Autorità Garante Italiana viene già citata la figura del DPO, smentendo quindi chi negli ultimi mesi era scettico su questa figura già presente in 15 Stati UE.

Il primo documento in questione è la Relazione Annuale 2014 dell’Autorità Garante Privacy, presentata il 23 giugno 2015 alla Camera dei deputati, che a pagina 130 riporta testualmente:

[…] nella proposta di regolamentazione europea in corso di approvazione si supererà la logica della notificazione a vantaggio di nuovi strumenti più effettivi, primo fra tutti l’introduzione della nuova figura del Data Protection Officer (definito nella traduzione italiana, in maniera un po’ infelice, “Responsabile della protezione dei dati”) – i cui compiti sono ancora in definizione -, “presidio avanzato” presso il titolare del trattamento del rispetto dei principi e degli adempimenti in materia nonché interlocutore ed elemento di connessione tra il titolare del trattamento e l’Autorità.

Il secondo documento è rappresentato dall’allegato A delle linee guida sul dossier sanitario elettronico (doc. web 4084632) che al punto 7.2 prevede che chi tratta dati sanitari e costituisce dossier sanitari elettronici come di seguito riportato:

[…] In sintonia con quanto espresso nel parere sul citato schema di decreto del Presidente del Consiglio dei ministri in materia di Fascicolo sanitario elettronico, in ragione della particolare delicatezza delle informazioni trattate mediante il dossier sanitario, il Garante auspica che i titolari del trattamento individuino al loro interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (c.d. DPO – Data Protection Officer), anche in relazione ai casi di data breach precedentemente illustrati.

Quindi non un obbligo, ma la consapevolezza che senza una figura di riferimento Privacy, ovvero una sorta di “RSPP sulla Privacy”, il titolare del trattamento non potrebbe governare efficacemente la Data Protection per i trattamenti di dati speciali che prevedono misure di sicurezza ed adempimenti specifici.

Sono questi i primi passi che, anche in qualità di Presidente di ASSO DPO, mi auguro portino ad una formalizzazione di una figura indispensabile per la corretta gestione della Privacy e della Data Protection all’interno delle nostre organizzazioni o, come auspicato dalla Presidente del CNIL (Garante Francese) Isabelle Falque Pierrotin durante la Conferenza internazionale dal titolo: “Privacy in a Connected World” tenutasi a Cambridge dal 6 all’8 luglio 2015 e a cui ho avuto il piacere di partecipare, il DPO dovrà essere una figura portante della riforma: una sorta di “direttore d’orchestra” punto di riferimento indispensabile per il Data Controller (titolare del trattamento per la normativa italiana).

PRIVACY DPO

Tag: Data Protection Officer

2° CONGRESSO ANNUALE ASSO DPO 2016

SERVIZIO DI TRADUZIONE SIMULTANEA ITALIANO/INGLESE E INGLESE/ITALIANO

Per maggiori informazioni: www.congressoassodpo.it

2nd ANNUAL CONGRESS ASSO DPO 2016

SIMULTANEOUS TRANSLATION SERVICE ITALIAN / ENGLISH AND ENGLISH / ITALIAN

For more information: www.congressoassodpo.it

Il DPO dopo l’accordo del Trilogo sul Regolamento Europeo Privacy

LA DESIGNAZIONE

I REQUISITI

LA POSIZIONE

I COMPITI

REGOLAMENTO PRIVACY UE: ULTIMI PASSI

Regolamento Privacy UE | A che punto siamo sul Data Protection Officer?

Italia: l’arrivo del Data Protection Officer

Condividi:

Mi piace:

Condividi:

Mi piace:

SERVIZIO DI TRADUZIONE SIMULTANEA ITALIANO/INGLESE E INGLESE/ITALIANO

Per maggiori informazioni: www.congressoassodpo.it

Condividi:

Mi piace:

SIMULTANEOUS TRANSLATION SERVICE ITALIAN / ENGLISH AND ENGLISH / ITALIAN

For more information: www.congressoassodpo.it

Condividi:

Mi piace:

LA DESIGNAZIONE

I REQUISITI

LA POSIZIONE

I COMPITI

Condividi:

Mi piace:

Condividi:

Mi piace:

Condividi:

Mi piace:

Condividi:

Mi piace: