Il WP29 ha adottato il 23 Dicembre una Linea Guida allo scopo di meglio definire il ruolo del DPO nel GDPR.<\/p>\n
La Linea Guida sul DPO del WP29 al punto 3.5 stabilisce che: L\u2019articolo 38(6) consente ai DPO di \u201csvolgere altri compiti <\/u>e funzioni<\/em>.\u201d ma che tali compiti e funzioni non diano adito a un conflitto di interessi.<\/em><\/p>\n La Linea Guida sul DPO del WP29 al punto 4.1 stabilisce che: \u201cL\u2019assenza di conflitto di interessi \u00e8 strettamente connessa al fabbisogno di agire in modo indipendente. Anche se i DPO possono ricoprire altre funzioni, a questi possono essere affidati altri compiti o funzioni soltanto se questi non sollevano conflitti di interesse. Questo riguarda in particolare il fatto che i DPO non possono ricoprire una posizione nell\u2019organizzazione che comporti che lui o lei stabilisca le finalit\u00e0 e i mezzi (processi) di trattamento di dati personali.\u201d<\/em><\/p>\n Il Recital 97 del GDPR stabilisce che\u201di DPO dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente\u201d.<\/em><\/p>\n Inoltre il Recital 97 del GDPR specifica che il DPO dovrebbero assistere Titolare o Responsabile \u201cnel controllo del rispetto a livello interno del presente regolamento\u201d; <\/em>e l\u2019Articolo 39 (1) (b) affida al DPO tra gli altri compiti quello di \u201csorvegliare l’osservanza del presente regolamento\u201d(<\/em>GDPR).<\/p>\n La Linea Guida sul DPO del WP29 al punto 3.5 \u201cSorvegliare l’osservanza del presente regolamento\u201d(<\/em>GDPR) chiarificano che:<\/p>\n \u201cQuale parte dei compiti di<\/em> sorvegliare l’osservanza del presente regolamento\u201d(GDPR), il DPO pu\u00f2 in particolare:<\/em><\/p>\n Inoltre la Linea Guida sul DPO del WP29 nell\u2019Introduzione: \u201cOltre a facilitare la sorveglianza attraverso l\u2019implementazione di strumenti di \u201cresponsabilizzazione (Accountability)\u201d(quali facilitare o espletare assessment di protezione dei dati o Audit)\u201d, il DPO dovrebbe agire come intermediario tra portatori di interessi rilevanti (cio\u00e8 autorit\u00e0 di supervisione, interessati, e business unit nell\u2019azienda).<\/em><\/p>\n Il DPO dovrebbe anche avere un ruolo consultivo, come supporto all\u2019applicazione in modo consistente di regole di protezione dei dati e di policy e procedure aziendali (quali violazioni dei dati o gestione di richieste dalle Autorit\u00e0 Garanti).<\/p>\n Come conseguenza delle considerazioni sopra svolte, il Ruolo del DPO pu\u00f2 essere definito come un ruolo di Governance aziendale, simile ai ruoli di Compliance o Internal Audit,<\/u> che richiedono indipendenza, autonomia, e segregazione dei compiti rispetto a ruoli di Management o operativi.<\/p>\n Riguardo all\u2019Indipendenza\u201d in attivit\u00e0 di Audit, il framework di ISACA ITAF 3, \u201ca Professional Practices Framework for IS Audit\/Assurance\u201d definisce (al 2003 punto 2.4) che un ICT Auditor potrebbe avere \u201cNon-Audit service or roles\u201d, come \u201cadvice roles\u201d, mantenendo l\u2019Indipendenza Organizzativa e Professionale.<\/p>\n Nello specifico \u201cLa funzione di Audit dovrebbe evitare di svolgere ruoli non audit in iniziative di Sistema informativo che richiedano l\u2019assunzione di responsabilit\u00e0 di management, perch\u00e9 tali ruoli potrebbero compromettere una indipendenza futura\u201d<\/em><\/p>\n ITAF 3 fornisce esempi di come un Auditor dovrebbe comportarsi per non compromettere l\u2019Indipendenza.<\/p>\n Ulteriormente nel GDPR, altri punti significativi per gli obiettivi di attivit\u00e0 del DPO sono:<\/p>\n Il Coordinamento del DPO, in base ad una RACI Chart, con il Compliance Officer, Risk Manager, Security Officer, Chief Privacy Officer (CPO) e altri ruoli di Management e operativi \u00e8 un fattore di successo nel definire il ruolo del DPO.<\/p>\n La RACI Chart \u00e8 uno strumento importante per un\u2019azienda per definire procedure interne e interazioni reciproche tra ruoli interni sulla base di essere Accountable, Responsible, Consulted, Informed per ciascun ruolo.<\/p>\n Il framework Cobit 5 di ISACA per la Governance ed il il management dell\u2019IT aziendale \u00e8 una roadmap di eccellenza per l\u2019ottimizzazione del business e della crescita .che fa leva su prassi provate, leadership di pensiero globale e strumenti per l\u2019innovazione ed il successo aziendale.<\/p>\n In una prospettiva di RACI Chart, il framework COBIT5 di ISACA evidenzia processi e controlli rilevanti di cui pu\u00f2 essere responsabile un DPO, o un Chief Privacy Officer (CPO) in assenza di tutti i requisiti richiesti dal GDPR, su tutto il ciclo di vita di un sistema informativo.<\/p>\n I Principali processi Cobit 5 che richiedono attivit\u00e0 del DPO in un coordinamento di RACI Chart sono: Gestione della Qualit\u00e0, Gestione dei Rischi, Gestione della Sicurezza, Gestione dell’identificazione e della costruzione di soluzioni, Gestione dell’abilitazione del cambiamento organizzativo, Gestione della Conoscenza, Monitoraggio rilevazione e valutazione del sistema di controllo interno, Monitoraggio rilevazione e valutazione della conformit\u00e0 a requisiti esterni.<\/p>\n Approfondendo la RACI Chart di Cobit 5 si pu\u00f2 notare che DPO (o CPO) condividono alcune Responsabilit\u00e0 con il Security Manager per molti obiettivi di controllo Cobit 5. Le procedure interne dovrebbero definire le reciproche responsabilit\u00e0 tra i due ruoli.<\/p>\n Il framework di ISACA \u00e8 utile per definire compiti e responsabilit\u00e0 del DPO.<\/p>\n L\u2019Indipendenza Organizzativa ed operativa, con modalit\u00e0 simili a quella degli Auditor Interni e di Sistema Informativo, \u00e8 la chiave per evitare conflitti di interesse per il DPO nell\u2019espletare altri compiti e funzioni.<\/p>","protected":false},"excerpt":{"rendered":" Il WP29 ha adottato il 23 Dicembre una Linea Guida allo scopo di meglio definire il ruolo del DPO nel GDPR. La Linea Guida sul DPO del WP29 al punto 3.5 stabilisce che: L\u2019articolo 38(6) consente ai DPO di \u201csvolgere altri compiti e funzioni.\u201d ma che tali compiti e funzioni non diano adito a un\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":33,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-2132","post","type-post","status-publish","format-standard","hentry","category-data-protection-officer"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2132","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/33"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2132"}],"version-history":[{"count":2,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2132\/revisions"}],"predecessor-version":[{"id":2154,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2132\/revisions\/2154"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2132"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2132"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2132"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n