IL NUOVO REGOLAMENTO PRIVACY: Regolamento sulla protezione dei dati personali 679/2016: Certificazione e Codici di Condotta

Transcript

1 TÜV Italia Slide IL NUOVO REGOLAMENTO PRIVACY: Regolamento sulla protezione dei dati personali 679/2016: Certificazione e Codici di Condotta TÜV ITALIA Management Services Division Relatori: Sabrina Bruschi Business Unit Manager

2 Di cosa parliamo 1 Inquadramento 2 L accreditamento 3 Introduzione del concetto di certificazione 4 Ruolo degli audit TÜV SÜD Italia Italia Slide 2

3 Inquadramento Il Regolamento Europeo UE : Milestones Pubblicazione del Regolamento sulla Gazzetta Ufficiale L119 dell Unione Europea del Parlamento Europeo e del Consiglio il 04/05/2016 a fronte dell approvazione del 27/04/2016 E relativo alla: Protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) da cui era disceso il D.lgs 196/2003 Diventerà applicabile in tutti i paesi dell Unione Europea a partire dal 25 maggio 2018, data in cui dovrà essere garantito il perfetto allineamento fra normativa nazionale e quella Europea (Recepimento) Armonizza la normativa della privacy in tutti i paesi dell Unione Europea TÜV SÜD Italia Italia Slide 3

4 Inquadramento Le considerazioni nel regolamento a proposito di CERTIFICAZIONE e CODICI DI CONDOTTA (77) dimostrare la conformità da parte del titolare del trattamento o dal responsabile del trattamento in particolare per quanto riguarda l'individuazione del rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l'individuazione di migliori prassi per attenuare il rischio, potrebbero essere forniti in particolare mediante codici di condotta approvati, certificazioni approvate, linee guida fornite dal comitato o indicazioni fornite da un responsabile della protezione dei dati. (81) L'applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento. (100) Al fine di migliorare la trasparenza e il rispetto del presente regolamento dovrebbe essere incoraggiata l'istituzione di meccanismi di certificazione e sigilli nonché marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi. TÜV SÜD Italia Italia Slide 4

5 Inquadramento Gli articoli del regolamento a proposito di CERTIFICAZIONE : la RESPONSABILITA Art RESPONSABILITA DEL TITOLARE DEL TRATTAMENTO L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento. Art PROTEZIONE DEI DATI FIN DALLA PROGETTAZIONE E PROTEZIONE PER IMPOSTAZIONE PREDEFINITA Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo. Art RESPONSABILITA DEL TRATTAMENTO L Adesione da parte del responsabile del trattamento ad un codice di condotta approvato da cui all art. 40 o a un meccanismo di certificazione approvato di cui all art. 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1-4 del presente articolo Art SICUREZZA DEL TRATTAMENTO L'adesione Ad un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti al paragrafo 1 del presente articolo. TÜV SÜD Italia Slide 5

6 Codici di condotta e certificazione Art. 40 e 41 Riferimento Obiettivo: Destinatari Market leader Obblighi Note Commento: Codici di condotta Codice di CONDOTTA Corretta applicazione del Regolamento (Efficacia) su molti argomenti (l elenco è esemplificativo e non esaustivo) Titolari e Responsabili Associazioni di riferimento rappresentative e soggetti di controllo (Le Autorità) Prevista approvazione e pubblicità Aperto anche a soggetti non obbligati alla sottoscrizione Articoli difficili da applicare senza chiarimenti. Si evidenzia l attività di controllo su questi strumenti da parte del soggetto pubblico europeo (Vedi l aspetto monitoraggio dell art. 41)

7 Codici di condotta e certificazione Art. 42 e 43 Riferimento Obiettivo: Destinatari Market leader Obblighi Note Commento: Certificazione Meccanismi di certificazione, sigilli e Marchi Protezione dei dati e dimostrazione della conformità Titolari e Responsabili Associazioni di riferimento rappresentative e soggetti di controllo (Le Autorità) Prevista approvazione e pubblicità Azione VOLONTARIA Anche questi Articoli necessitano di chiarimenti anche se ci sono già esempi. Si parla di accreditamento tramite due opportunità (alternative e congiunte): Autorità di controllo competente (art. 55 e 56) Ente di Accreditamento sulla base della ISO e dei requisiti aggiuntivi previsti espressamente dalle autorità di controllo competente e del Regolamento (già contenuti nella Iso 17065)

8 Partiamo dal concetto di accreditamento Art. 43 Organismi di certificazione Gli Stati membri garantiscono che tali organismi di certificazione siano accreditati da uno o entrambi dei seguenti organismi: a) dall'autorità di controllo competente ai sensi degli articoli 55 o 56; b) dall'organismo nazionale di accreditamento designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio (1) conformemente alla norma EN-ISO/IEC 17065/2012 e ai requisiti aggiuntivi stabiliti dall'autorità di controllo competente ai sensi degli articoli 55 o 56. TÜV Italia Slide 8

9 Partiamo dal concetto di accreditamento Cos è l accreditamento: «Attestazione da parte di un organismo nazionale di accreditamento che certifica che un determinato organismo di valutazione della conformità soddisfa i criteri stabiliti da norme armonizzate e, ove appropriato, ogni altro requisito supplementare, compresi quelli definiti nei rilevanti programmi settoriali, per svolgere una specifica attività di valutazione della conformità» REG (CE) N. 765/2008 ACCREDIA valuta e accerta la competenza di un Organismo [ ] applicando i più rigorosi standard di verifica del loro comportamento e monitorando continuativamente nel tempo le loro prestazioni, e aderisce agli Accordi internazionali di mutuo riconoscimento. Fonte: Accredia 10/10/ TÜV Italia Slide 9

10 Quale la norma di riferimento L'accreditamento attesta il livello di qualità del lavoro di un Organismo (di certificazione e di ispezione) o di un Laboratorio (di prova e di taratura), verificando la conformità del suo sistema di gestione e delle sue competenze a requisiti normativi internazionalmente riconosciuti, nonché alle prescrizioni legislative obbligatorie. Fonte: Accredia 10/10/ Norma di riferimento per gli Organismi di Certificazione : CEI UNI EN ISO/IEC Valutazione della conformità Requisiti per Organismi che certificano prodotti, processi e servizi TÜV Italia Slide 10

11 Presupposti per l accreditamento L'accreditamento è pertanto garanzia di: Imparzialità: rappresentanza di tutte le Parti interessate all'interno dell'organismo/laboratorio. Indipendenza: gli auditor e i comitati preposti al rilascio della certificazione/rapporto garantiscono l'assenza di conflitti di interesse con l'organizzazione da certificare. Correttezza: le norme europee vietano la prestazione di consulenze sia direttamente che attraverso società collegate. Competenza: l'accreditamento attesta in primo luogo che il personale addetto all'attività di verifica sia culturalmente, tecnicamente e professionalmente qualificato. Fonte: Accredia TÜV Italia Slide 11

12 Accreditamento Tuv Italia TÜV Italia Slide 12

13 Il concetto di certificazione Fonte: CEI UNI EN ISO/IEC : INTRODUZIONE Il fine complessivo della certificazione di prodotti, processi o servizi consiste nell infondere fiducia a tutte le parti interessate che un prodotto, processo o servizio soddisfa requisiti specificati. Il valore della certificazione è il grado di fiducia e di credito che si stabilisce mediante una dimostrazione imparziale e competente, effettuata da una terza parte, di soddisfacimento di requisiti specificati. TÜV Italia Slide 13

14 Il concetto di certificazione Certificazione: Verifica indipendente Organismo di certificazione: Organismo di valutazione della conformità di terza parte che attua schemi di certificazione. Schema di certificazione: Sistema di certificazione relativo a prodotti specificati, ai quali si applicano gli stessi requisiti specificati, specifiche regole e procedure. Proprietario dello schema: Persona od organizzazione responsabile per l elaborazione ed il mantenimento di uno specifico schema di certificazione Campo di applicazione della certificazione: Identificazione di: - prodotto(i), processo(i), o servizio(i) per cui è rilasciata la certificazione; - schema di certificazione applicabile; e - norma(e) ed altro(i) documento(i) normativo(i), compresa la loro data di pubblicazione, ai quali il(i) prodotto(i), processo(i) o servizio(i) è(sono) giudicato(i) conforme(i). TÜV SÜD Italia Italia Slide 14

15 Facciamo il punto L adozione e l applicazione del Regolamento UE 2016/679 dal maggio 2018 è obbligatorio. Mancano ad oggi le linee guida che spieghino adeguatamente come comportarci (ci sono ancora molte questioni che devono essere chiarite da parte degli organi competenti) La certificazione di un ORGANIZZAZIONE è VOLONTARIA Per essere riconosciuta deve essere erogata da un ente accreditato TÜV SÜD Slide 15

16 I riferimenti per gli organismi di certificazione oggi CIRCOLARE ACCREDIA 23/2016 Lo schema di certificazione ISDP 10003:2015 risponde ai requisiti di cui all art. 42 e 43 del Reg. 679/2016 ed è applicabile a tutte le tipologie di organizzazioni soggette a norme vigenti in tema di Tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati. Lo schema di certificazione specifica ai Titolari e Responsabili del trattamento, soggetti a vincoli normativi vigenti nel territorio UE, i requisiti necessari per la corretta valutazione della conformità alle norme stesse. Il meccanismo di certificazione, pur essendo non obbligatorio, viene richiamato come elemento per la dimostrazione della conformità utilizzabile dai titolari e responsabili ed è previsto fra le attenuanti in caso di sanzione (art. 83 Reg. 679/2016) TÜV SÜD Italia Italia Slide 16

17 Le responsabilità e la figura del DPO L articolo 24 definisce le responsabilità del TITOLARE del trattamento: deve mettere in atto politiche adeguate in materia di protezione dei dati L articolo 28 introduce la figura del RESPONSABILE del trattamento che agisce per conto del Titolare e che deve presentare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate. Il RESPONSABILE della protezione dei dati (definito anche DPO)è una figura di cui sono tenute a dotarsi le aziende pubbliche e private che ricadono nella definizione dell art. 37 TÜV Italia Slide

18 Il ruolo di Data Protection Officer (DPO) Il Regolamento UE 2016/679 introduce una nuova figura chiamata Data Protection Officer (DPO) e la sua nomina è obbligatoria per i soggetti pubblici e facoltativa per i soggetti privati ad eccezione di alcuni trattamenti dei dati a rischio e fatto salvo da una diversa disposizione legislativa. I suoi compiti sono quelli di: informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento dei dati in riferimento agli obblighi che derivano dal Regolamento UE 2016/679 verificare l applicazione ed attuazione del Regolamento UE 2016/679 e di tutti gli adempimenti ad esso collegati fornire un parere in merito alla valutazione d impatto sulla protezione dei dati e sorvegliarne lo svolgimento cooperare ed interloquire con l Autorità Garante TÜV SÜD Italia Slide Jan 2017

19 Tra i compiti del DPO. Gli audit interni, gli assessment e il monitoraggio del proprio sistema organizzativo rispetto alla privacy assumeranno nel nuovo sistema di protezione dei dati un ruolo molto importante. Il Regolamento europeo per la privacy, infatti, prevede di aver attuato le misure organizzative e di sicurezza adeguate alla particolare tipologia di dati. Best practice, codici di condotta e certificazioni possono, di conseguenza, essere utilizzati come elementi di prova anche dai titolari o responsabili del trattamento non soggetti all applicazione del Regolamento. TÜV Italia Slide

20 Cosa sono gli audit: Norma ISO 19011:2012 ISO 19011:2012 Linee guida per gli audit dei sistemi di gestione Audit, verifica ispettiva: Processo sistematico, indipendente e documentato per ottenere evidenze dell audit e valutare con obbiettività, al fine di stabilire in quale misura i criteri dell audit sono stati soddisfatti Criteri dell audit (audit criteria): Insieme di politiche, procedure o requisiti I criteri dell audit sono utilizzati come riferimento rispetto a cui si confrontano le evidenze dell audit Evidenze dell audit (audit evidence): Registrazioni, dichiarazioni di fatti o di altre informazioni, che sono pertinenti ai criteri dell audit e verificabili. Le evidenze dell audit possono essere qualitative o quantitative Risultanze dell audit (audit findings): Risultati della valutazione delle evidenze dell audit raccolte rispetto ai criteri dell audit Le risultanze dell audit possono indicare conformità o non conformità rispetto ai criteri dell audit o segnalare opportunità di miglioramento Conclusioni dell audit (audit conclusion): Esito di un audit fornito dal gruppo di audit dopo aver preso in esame gli obbiettivi dell audit e tutte le risultanze dell audit TÜV Italia Slide

21 Obiettivi dell Audit Dimostrare: la conformità: a quanto pianificato ai requisiti della norma ai requisiti stabiliti dall'organizzazione l attuazione efficace del Sistema Verificare che il Sistema sia mantenuto aggiornato (Verificare la risoluzione delle non conformità, l attuazione delle azioni correttive, Valutare opportunità di miglioramento, l andamento degli obiettivi, in relazione alla politica etc ) TÜV Italia Slide

22 Attività degli audit e degli assessment: qual è il flusso inizio dell audit riesame documentazione preparazione audit svolgimento audit in campo gestione rapporto chiusura dell audit azioni successive TÜV Italia Slide

23 Svolgimento dell audit in campo Svolgimento dell audit e degli assessment in campo: quale il flusso Fonti di informazione Raccolta per campionamento e verifica Evidenze dell audit Valutazione rispetto ai criteri Riesame Risultanze dell audit Conclusioni TÜV Italia Slide

24 Chiusura dell audit L audit può essere chiuso quando tutte le attività descritte nel piano sono state attuate ed il rapporto approvato è stato distribuito. Dall audit scaturiscono le risultanze (es: non conformità, osservazioni, etc ) Non conformità significa mancata applicazione di quanto predisposto (piani, procedure, contratti, ecc.), ciò è dovuto, nella maggior parte dei casi a: carenze formative (il Sistema non è noto oppure non è disponibile al personale) carenza di risorse (umane ed infrastrutture) mancanza di tempo (non è applicato oppure non è applicabile) attività non efficace (mancanza di valore aggiunto al processo) mix delle cause precedenti TÜV Italia Slide

25 Cosa ci racconta una NON Conformità Dove concentrare l attenzione In quali casi si è verificata Area: Ufficio Commerciale Evidenza: Offerte clienti 23/2015 e 67/2015 Entità/estensione del fenomeno Problema riscontrato Dove viene spiegato Campionamento: 6 contratti dal marzo 2015 a ottobre 2015 Non conformità: non riportano le indicazioni in merito alle modalità di trattamento dei dati Riferimenti: procedura PR.COMM/01 TÜV Italia Slide

26 Conclusioni Siamo in attesa dell uscita delle linee guida da parte del Garante. Ma il tempo passa Progettiamo ed implementiamo i nostri sistemi. Che devono essere monitorati Gli strumenti di monitoraggio esistono di già: questo intanto possiamo farlo. TÜV Italia Slide

27 Grazie per la vostra attenzione Cel Se interessato, visita il nostro sito e iscriviti alla Newsletter TÜV Italia. Sarai sempre aggiornato sulle nostre iniziative! TÜV Italia Slide 27