#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Biagio Lammoglia e Fabio Guasconi

0 %
100 %
Information about #Ready4EUdataP Data Protection Officer, consigli all’uso e...

Published on January 29, 2016

Author: EuroprivacyDataProtection

Source: slideshare.net

1. Data Protection Officer: consigli all’uso e certificazioni Biagio Lammoglia – Consulente Fabio Guasconi – Bl4ckswan Milano, 29 GENNAIO 2016 #READY4EUDATAP

2. #READY4EUDATAP Argomenti trattati  Inquadramento del Data Protection Officer (DPO) nella versione consolidata del nuovo Regolamento  Criteri di designazione obbligatoria  Posizione del DPO all’interno dell’organizzazione aziendale  Compiti del DPO  Competenza professionali  Il quadro normativo italiano  Schema e-CF e UNI 11506  Progetto PPP  Costruzione dei profili professionali  Ipotesi su profili e competenze  Ipotesi di organigramma privacy

3. #READY4EUDATAP La figura del DPO nel Regolamento DIRECTIVE 95/46/EC Article 18 (2): "Member States may provide for the simplification of or exemption from notification (...) where the controller, in compliance with the national law which governs him, appoints a personal data protection official (...)"

4. #READY4EUDATAP Designazione del Data Protection Officer European Commission’s Proposal The controller and the processor shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body; or (b) the processing is carried out by an enterprise employing 250 persons or more; Council’s General Aapproach The controller or the processor may, or where required by Union or Member State law shall, designate a data protection officer (…). European Parliament’s First Reading The controller and the processor shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body; or (b) the processing is carried out by a legal person and relates to more than 5000 data subjects in any consecutive 12-month period Conciliation Committee (TRILOGOUE) Outcome of the inter-institutional negotiations The controller and the processor shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; or (b) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or (c) the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and data relating to criminal convictions and offences referred to in Article 9a.

5. #READY4EUDATAP Posizione nell’organizzazione aziendale  Deve essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali.  Deve beneficiare delle risorse necessarie per adempiere ai propri compiti e per mantenere l'aggiornamento professionale.  Non deve ricevere alcuna direttiva per quanto riguarda l'esercizio dei propri compiti.  Non può essere licenziato in conseguenza dello svolgimento delle sue attività.  Deve riportare direttamente ad un livello manageriale superiore rispetto al controller ed al processor.  Può svolgere altri compiti a patto che questi non generino conflitto di interessi. Trasversalità Autonomia Alto livello gerarchico Tutela del ruolo Flessibilità Copertura economica

6. #READY4EUDATAP Compiti del Data Protection Officer  Informare e consigliare tutte le figure coinvolte nel trattamento in merito agli obblighi derivanti dal Regolamento.  Vigilare sull'osservanza del Regolamento, l'attribuzione delle responsabilità, la formazione del personale e gli audit connessi.  Contribuire alla Data Protection Impact Assessment e tenere nella debita considerazione i rischi associati alle operazioni di trattamento.  Cooperare con l‘Autorità di Controllo e fungere per quest’ultima da punto di contatto. Sensibilizzazione Supporto strategico Rappresentanza Controllo

7. #READY4EUDATAP Competenze del Data Protection Officer ARTICOLO 35, COMMA 5 (TESTO CONSOLIDATO)  The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 37. ARTICOLO 35, COMMA 11 (PROPOSTA COMMISSIONE EUROPEA)  Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 86 al fine di precisare i criteri e i requisiti concernenti le attività principali del responsabile del trattamento o dell’incaricato del trattamento di cui al paragrafo 1, lettera c), e i criteri relativi alle qualità professionali del responsabile della protezione dei dati di cui al paragrafo 5.

8. #READY4EUDATAP Regolamentazione della figura professionale DATA PROTECTION OFFICER LEGGE N. 4/2013 - DISPOSIZIONI IN MATERIA DI PROFESSIONI NON ORGANIZZATE  Figura professionale attualmente non regolamentata dalle leggi italiane.  Non esiste un Ordine Professionale specifico a garanzia della qualità delle attività svolte dal singolo professionista.  Disciplina la qualificazione delle competenze dei professionisti che esercitano la propria attività al di fuori di albi e collegi.  Prevede che tali competenze possano essere valutate: o dalle Associazioni Professionali presso le quali sono iscritti i professionisti; o attraverso il ricorso alla CERTIFICAZIONE delle competenze professionali in conformità alla norma tecnica UNI (se definita) per la singola professione rilasciata da Organismi di Certificazione accreditati da ACCREDIA.

9. #READY4EUDATAP Attestazione standard qualitativi e di qualificazione professionale Al fine di tutelare i consumatori e di garantire la trasparenza del mercato dei servizi professionali, le Associazioni Professionali possono rilasciare ai propri iscritti, previe le necessarie verifiche, sotto la responsabilità del proprio rappresentante legale, una ATTESTAZIONE relativa:  agli standard qualitativi e di qualificazione professionale (formazione, aggiornamento, rispetto del codice deontologico);  all'eventuale possesso da parte del professionista iscritto di una certificazione, rilasciata da un organismo accreditato, relativa alla conformità alla norma tecnica UNI;  alle garanzie fornite dall'associazione all'utente (sportello per il consumatore). (LEGGE 4/2013 ART. 7, COMMA 1)

10. #READY4EUDATAP Processo di certificazione accreditato LEGGE n.4 del 14/1/2013 “Gli organismi di certificazione accreditati dall'organismo unico nazionale di accreditamento (ACCREDIA) (...) possono rilasciare (…) il certificato di conformità alla norma tecnica UNI (se definita) per la singola professione.” (art. 9 comma 2) Organismo di Certificazione N Processo di accreditamento Certificazione di conformità alla norma UNI rilasciata da Organismo Accreditato "(...) le associazioni professionali (...) collaborano all'elaborazione della normativa tecnica UNI relativa alle singole attività professionali." (art. 9 comma 1) LEGGE n.4 del 14/1/2013 UNINFO – Progetto E14D00036 Profili professionali relativi alla privacy Organismo di Certificazione 1 Organismo di Certificazione 2 ACCREDITATO ACCREDITATO ACCREDITATO

11. #READY4EUDATAP Schema e-CF e UNI 11506

12. #READY4EUDATAP Schema e-CF e UNI 11506 La UNI 11506 aggiunge ad e-CF versione 2.0 gli elementi necessari per una qualificazione delle competenze ossia:  §6 Elementi per la valutazione e convalida dei risultati dell'apprendimento (metodi di valutazione e organizzazione che effettua la convalida)  §7 Aspetti etici e deontologici applicabili E’ in corso il recepimento come norma europea di e-CF versione 3.0 che prenderà il posto della UNI 11506, aggiornandola.

13. #READY4EUDATAP Progetto PPP (E14D00036) Alias "profili professionali relativi alla privacy" Obiettivo Definizione di profili professionali ed elementi collegati in materia, coerentemente con la legge 4/2013, unificati in un unico schema che rispecchi le esigenze di mercato. Struttura Impiega gli strumenti messi a disposizione dalla collegata “Metodologia per la costruzione di profili professionali basati sul sistema e-CF” Partecipanti  Commissione UNINFO APNR  Commissione UNINFO 510 per la sicurezza delle informazioni  Commissione UNI Sicurezza della società e del cittadino

14. #READY4EUDATAP Contenuto dei profili professionali Definizione sintetica Missione Deliverable • (RACI) Compiti principali Competenze • Livello Abilità Conoscenze KPI SchemadiprofiloprofessionaledaCWA16458

15. #READY4EUDATAP Costruzione dei profili professionali e-CF Framework v. 3.0 Competenze informatiche / non informatiche Elementi di creazione del GdL e-Competence (40) Conoscenze (m) Aree e-Competence (5) Competenze Livelli (5) Dimensione 1 Dimensione 2 Dimensione 3 Dimensione 4 Abilità (n) ConoscenzeAbilità

16. #READY4EUDATAP Ipotesi su profili e competenze (Chief) Privacy Officer DPO Auditor Privacy Specialista Privacy IT Specialista Privacy Legale Manager Privacy Legale Manager Privacy IT Data protection manager  Elettronica e hardware  Sistemi operativi  Applicativi  Basi di dati  Reti  Internet e web  Cloud  Web  IOT  Telecomunicazioni  Smart devices  Sensori  Tecnologie di geolocalizzazione  Tecnologie di identificazione  Firma digitale ed elettronica  Crittografia e pseudonimizzazione  Big data  Surveillance  Analisi del rischio e impact assessment  Privacy by design e by default  Copie di sicurezza, integrità dei dati, continuità operativa e resilienza  Politiche di test per la sicurezza dei trattamenti  Auditing Partenza dai profili (top down) Partenza dalle aree di competenza (bottom up)

17. #READY4EUDATAP Ipotesi di organigramma privacy Auditor Privacy Specialista Privacy IT CIO Legale o Compliance Audit Specialista Privacy Legale Manager Privacy IT Manager Privacy Legale Linee di Business Specialista Privacy Manager Privacy Profili in relazione tra loro DPO (Chief) Privacy Officer Top Management

18. #READY4EUDATAP Facci una domanda sul Blog Contattaci su Twitter

#ready4eudatap presentations

Add a comment

Related pages

Il testo del regolamento UE è definitivo: cosa fare ora ...

Data Protection Officer, consigli all’uso e certificazioni, Biagio Lammoglia – Consulente e Fabio ... data breach data management data protection ...
Read more

CLUSIT - Associazione Italiana per la Sicurezza Informatica

GUASCONI FABIO (Socio Bl4ckswan Srl ... LAMMOGLIA BIAGIO(IT Security & Compliance Officer, Casteggio ... OLIVERI AGOSTINO(Data Protection Officer, ...
Read more