Nell\u2019ultima versione del Regolamento Europeo, la figura del\u00a0 Responsabile della Protezione dei dati personali (DPO) non \u00e8 obbligatoria per i Titolari, ma \u00e8 un\u2019opzione.<\/p>\n
Il DPO \u00e8 obbligatorio per tutte le organizzazioni dell\u2019Unione Europea (Agenzie comprese).<\/p>\n
L\u2019ultima versione del Regolamento prevede la certificazione come opzione. Un\u2019organizzazione che intende certificarsi dovrebbe nominare un project manager per seguire il progetto per ottenere e mantenere la certificazione.<\/p>\n
Molte delle certificazioni (per esempio la ISO 9001) richiedono una qualche forma di audit interno e normalmente questo compito \u00e8 assegnato al project manager per la certificazione (Quality Assurance Manager nell\u2019esempio).<\/p>\n
Il rispetto delle leggi e del regolamento \u00e8 uno dei compiti normalmente assegnato all\u2019Internal Audit (vedi https:\/\/it.wikipedia.org\/wiki\/Internal_auditing<\/a>) e l\u2019indipendenza e l\u2019obiettivit\u00e0 sono pietre miliari\u00a0 degli standard professionali applicabili.<\/p>\n Secondo lo \u201cEnterprise Risk Management Framework\u201d di COSO, i rischi di compliance dovrebbero essere gestiti nel quadro della Gestione dei Rischi con\u00a0 un approccio olistico.<\/p>\n Pertanto il rispetto della Privacy dovrebbe essere affrontata con un approccio basato sulla gestione del rischio e pi\u00f9 precisamente accanto ai rischi della Sicurezza Informativa. Infatti il punto 18.1.4 “Privacy and protection of personally identifiable information” parla esplicitamente di Privacy.<\/p>\n Quindi si pu\u00f2 riassumere che nella maggior parte dei casi il responsabile della certificazione\u00a0 della Privacy (chiamiamolo il Privacy Assurance Manager) dovrebbe essere collocato come ruolo organizzativo all\u2019interno dell\u2019internal audit e molto vicino al Responsabile della Sicurezza Informativa.<\/p>\n Il Regolamento 45\/2001<\/a> della comunit\u00e0 Europea nella Sezione 8 (articolo 24) prescrive che \u201cOgni istituzione ed organismo della Comunit\u00e0 nomina almeno un responsabile della protezione dei dati personali\u201c per garantire il rispetto del Regolamento stesso in stretta collaborazione con il Garante Europeo per la Protezione dei dati personali. Quest\u2019ultima figura \u00e8 prevista come un\u2019autorit\u00e0 indipendente dal Regolamento 45\/2001 al Capo V (art. 41) con poteri vicini a quelli dei Garanti Privacy nazionali. Infatti queste ultime sono istituite dal Capo VI (art.28) della Direttiva Privacy \u201cOgni Stato membro dispone che una o pi\u00f9 autorit\u00e0 pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della presente direttiva, adottate dagli Stati membri\u201d.<\/p>\n Non essendo la direttiva di per se non\u00a0 strettamente applicabile agli organi della Comunit\u00e0 Europea, essa stessa ha provveduto a individuarne uno.<\/p>\n Il regolamento 45\/2001, sempre all\u2019articolo 24 specifica le caratteristiche personali del Responsabile della Protezione dei dati (DPO), il suo ruolo organizzativo, la sua indipendenza, i suoi doveri e i suoi rapporti con il Garante Europeo (EDPS).<\/p>\n Il Garante Europeo ha promosso la stesura di un documento che precisa l\u2019indipendenza e i doveri dei DPO dei diversi organismi e lo ha pubblicato sul suo sito.<\/p>\n Penso che molti dei contenuti di questo documento si possano applicare alla figura del DPO di altre entit\u00e0: le conoscenze e capacit\u00e0 si possono applicare a tutte le organizzazioni, mentre le relazioni con il Garante Europeo, o pi\u00f9 generalmente con i Garanti degli stati membri si pu\u00f2 concretamente applicare solo a entit\u00e0 pubbliche quali i ministeri, le regioni e le agenzie pubbliche.<\/p>\n Un cittadino pu\u00f2 facilmente cambiare uno dei suoi fornitori di servizi se non \u00e8 contento di come quello scelto gestisce la Privacy, ma per cambiare regione devi emigrare. Quindi queste entit\u00e0 senza una logica di profitto devono tutelare maggiormente i cittadini e, in tali contesti la possibilit\u00e0 del DPO di ricorrere al Garante per segnalare cattive condotte dell\u2019organizzazione di appartenenza, ha pi\u00f9 senso.<\/p>\n Le aziende di mercato possono fallire a causa di pesanti multe e della cattiva immagine aziendale dei clienti e quindi un DPO deve pensarci 2 volte prima di rivelare alle autorit\u00e0 le cattive condotte aziendali.<\/p>\n L\u2019articolo 22 del nuovo regolamento Privacy ha diverse formulazioni nelle sue versioni (Commissione, Parlamento, Consiglio) ma tutte prevedono che almeno in alcuni casi il Titolare debba adottare politiche ed approntare procedure per assicurare e poter dimostrare che il trattamento sia svolto secondo i dettami del Regolamento.<\/p>\n La norma italiana di recepimento dell\u2019attuale direttiva (il Dlgs. 196\/2003) all\u2019art. 15 richiede il pagamento dei danni all\u2019interessato con le modalit\u00e0 dell\u2019art. 2050 del codice civile, la cosiddetta prova diabolica, dimostrando quindi in tribunale che esso abbia fatto ogni ragionevole sforzo per evitare il danno.<\/p>\n Penso che la certificazione sia la migliore (e forse l\u2019unica) soluzione per obbedire all\u2019art. 22 del nuovo Regolamento e il DPO (o un ruolo organizzativo molto simile) sia la via migliore per conseguire detta certificazione.<\/p>\n Quindi concludo esponendo il mio punto di vista sul ruolo del DPO e della relativa indipendenza:<\/p>\n <\/p>","protected":false},"excerpt":{"rendered":" Nell\u2019ultima versione del Regolamento Europeo, la figura del\u00a0 Responsabile della Protezione dei dati personali (DPO) non \u00e8 obbligatoria per i Titolari, ma \u00e8 un\u2019opzione. Il DPO \u00e8 obbligatorio per tutte le organizzazioni dell\u2019Unione Europea (Agenzie comprese). L\u2019ultima versione del Regolamento prevede la certificazione come opzione. Un\u2019organizzazione che intende certificarsi dovrebbe nominare un project manager per\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":30,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,5,3],"tags":[77,9,10,76],"class_list":["post-724","post","type-post","status-publish","format-standard","hentry","category-data-protection-officer","category-impact-risk-and-measures","category-roles-and-liabilities","tag-certification","tag-data-protection-officer","tag-dpo","tag-duties"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/724","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/30"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=724"}],"version-history":[{"count":16,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/724\/revisions"}],"predecessor-version":[{"id":1091,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/724\/revisions\/1091"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=724"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=724"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=724"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n