Data Protection Officer

Транскрипт

1 Il ruolo del Data Protection Officer Conferenza sul GDPR - Milano, 30 marzo 2017

2 Federprivacy: Chi siamo Nata nel 2008, Federprivacy è la principale associazione professionale in Italia di addetti ai lavori della data protection, iscritta nel Registro del Ministero dello Sviluppo Economico ai fini della Legge 4/2013 L Associazione ha delegati in 19 regioni e 69 province, e attualmente, conta iscritti, di cui circa soci, e più di lettori della nostra newsletter settimanale Dal 2010 Federprivacy è promotrice del Privacy Day Forum con partecipanti in sei edizioni, e la partecipazione regolare di rappresentanti del Garante e molti relatori autorevoli Dal 2011, Federprivacy ha promosso la certificazione della figura professionale del Privacy Officer e Consulente della Privacy basata sul proprio disciplinare, che viene rilasciata dal Tϋv Examination Institute. A fine 2016, i professionisti che hanno ottenuto la certificazione erano già più di [email protected] - Web: -

3 Responsabile della Protezione dei dati (Data Protection Officer) Mentre in Italia Federprivacy sta promuovendo la certificazione del Privacy Officer con TÜV, nel 2012 la Commissione Europea presenta una proposta di riforma della normativa sulla protezione dei dati personali, che prevede la figura del Data Protection Officer Dopo 4 anni di iter legislativo, entra in vigore il 24 maggio 2016 il nuovo Regolamento UE 2016/679 sulla protezione dei dati: 2 anni di tempo per adeguarsi alle nuove regole, compresa quella relativa alla previsione del Data Protection Officer, che nel testo italiano viene tradotto in "Responsabile della protezione dei dati". (RPD) Per conformarsi al nuovo Regolamento Europeo per ciò che riguarda il Data Protection Officer, occorre tracciare un quadro delle specifiche previsioni sulla materia questa figura, e rispondere ad alcune domande:

4 Responsabile della Protezione dei dati (Data Protection Officer) DOMANDE A CUI RISPONDERE PER FARE PER TRACCIARE IL QUADRO SUL DPO (RPD): Quali caratteristiche e quali requisiti deve avere il Data Protection Officer? In quali casi è obbligatorio, e in quali è comunque opportuno? Quali sono i compiti che deve assolvere?

5 Caratteristiche e requisiti del Data Protection Officer Il soggetto che viene designato come "Responsabile della protezione dei dati" (DPO), deve: possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali nazionali ed europee (art.37, par.5) adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse (art.38, par.6) operare alle dipendenze del titolare oppure sulla base di un contratto di servizio (art.37, par.6) Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati le risorse umane e finanziarie necessarie all adempimento dei suoi compiti (art.38, par.2)

6 Adeguata conoscenza della normativa Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento. Linee Guida WP 243 del 13 dicembre 2016 "Il livello di conoscenza specialistica richiesto non trova una definizione tassativa; piuttosto, deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento. Per esempio, se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il DPO avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto. Occorre anche distinguere in base all esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell Unione europea. Ne consegue la necessità di una particolare attenzione nella scelta del DPO, in cui si tenga adeguatamente conto delle problematiche in materia di protezione dei dati con cui il singolo titolare deve confrontarsi."

7 Non esiste un unico livello di competenze ogni Data Protection Officer Considerazioni: NON ESISTE UN PROFILO DEL DPO CON LE STESSE COMPETENZE IDONEE PER TUTTE LE AZIENDE IL LIVELLO DI COMPETENZE E DI CONOSCENZE DIFFERISCE IN BASE ALLA REALTA' IN CUI DEVE OPERARE MULTINAZIONALE Il DPO che opera in un gruppo multinazionale in cui ci sono trasferimenti di dati personali all'estero frequenti o addirittura sistematici, dovrà conoscere le norme sul trasferimento dei dati extra UE. (Privacy Shield, Binding Corporate Rules, clausole contrattuali standard, decisioni di adeguatezza, consenso, etc.) AZIENDA ITALIANA Viceversa, se il DPO opera in una realtà che opera esclusivamente sul territorio nazionale, non sarà richiesto lo stesso livello specialistico della norma sui trasferimenti dei dati all'estero, ma dovrà probabilmente conoscere bene le normative nazionali collegate alla protezione dei dati. (Provvedimenti del Garante, Statuto dei Lavoratori, reati informatici, etc)

8 Piena indipendenza FAQ n.9 Linee Guida WP 243 Quali sono le garanzie che possono consentire al RPD (DPO) di operare con indipendenza? (art. 38, par. 3) "Vi sono numerose garanzie che possono consentire al RPD di operare in modo indipendente, come indicato al considerando 97 del regolamento: - nessuna istruzione da parte del titolare o del responsabile per quanto riguarda lo svolgimento dei compiti affidati al RPD; - nessuna penalizzazione o rimozione dall incarico in rapporto allo svolgimento dei compiti affidati al RPD; - nessun conflitto di interessi con eventuali ulteriori compiti e funzioni."

9 Assenza di conflitti di interesse FAQ n.10 Linee Guida WP 243 Quali sono gli altri compiti e funzioni del RPD (DPO) che possono comportare conflitti di interessi? (art. 38, paragrafo 6) "Un RPD non può rivestire, all interno dell organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile. A grandi linee, possono sussistere situazioni di conflitto con riguardo a ruoli manageriali di vertice (amministratore delegato, responsabile operativo, responsabile finanziario, responsabile sanitario, direzione marketing, direzione risorse umane, responsabile IT), ma anche rispetto a posizioni gerarchicamente inferiori se queste ultime comportano la determinazione di finalità o mezzi del trattamento."

10 Assenza di conflitti di interesse: la ricerca di Federprivacy Su campione aziende: 21,9% + 12,1% = 34% in conflitto d'interesse (Per approfondimenti, vedasi il Rapporto completo della Ricerca)

11 Funzione Data Protection Officer: interna o esterna? FAQ n.6 Linee Guida WP 243 Si può designare un RPD esterno? (art. 37, paragrafo 6) FUNZIONE DPO ESTERNALIZZATA= PIU' FACILE DIMOSTRARE REQUISITI INDIPENDENZA E ASSENZA CONLITTO D'INTERESSE "Sì. In base all art. 37, paragrafo 6, il RPD può far parte del personale del titolare o del responsabile del trattamento (RPD interno) ovvero assolvere i suoi compiti in base a un contratto di servizi. In quest ultimo caso il RPD sarà esterno e le sue funzioni saranno esercitate sulla base di un contratto di servizi stipulato con una persona fisica o giuridica. Se il RPD è esterno, si applicano tutti i requisiti fissati negli articoli da 37 a 39. Come indicato nelle linee-guida, se la funzione di RPD è svolta da un fornitore esterno di servizi, i compiti stabiliti per il RPD potranno essere assolti efficacemente da un team operante sotto l autorità di un contatto principale designato e responsabile per il singolo cliente. In tal caso, è indispensabile che ciascun soggetto appartenente al fornitore esterno operante quale RPD soddisfi tutti i requisiti applicabili come fissati nel RGPD. Per favorire efficienza e correttezza, le linee-guida raccomandano di procedere a una chiara ripartizione dei compiti nel team del RPD esterno, attraverso il contratto di servizi, e di prevedere che sia un solo soggetto a fungere da contatto principale e incaricato per ciascun cliente." (Per approfondimenti, vedasi le Linee Guida WP243 del 13 dicembre 2016)

12 DPO: in quali casi è obbligatorio, e in quali è comunque opportuno? PENSATE DI NON RIENTRARE NELL' OBBLIGO DEL DPO? RICORDARE CHE IL GDPR SI BASA SUL PRINCIPIO DELL' ACCOUNTABILITY (art. 24) Quando è obbligatorio designare il "Responsabile della protezione dei dati"? (art.37 GDPR) Devono designare obbligatoriamente un Responsabile della protezione dei dati (DPO): a) amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie; b) tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati; c) tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici. Un titolare del trattamento o un responsabile del trattamento possono comunque designare un DPO (Responsabile della protezione dei dati) anche in casi diversi da quelli sopra indicati. Un gruppo di imprese o soggetti pubblici possono nominare un unico Responsabile della protezione dei dati.

13 Designazione DPO: obbligati oppure no? la ricerca di Federprivacy Risultati su campione aziende: a un anno dalla scadenza, un'azienda su tre non sa determinare se rientra o meno nell'obbligo di designazione del Responsabile della protezione dei dati (DPO) previsto dal Regolamento UE 2016/679. (art.37) (Per approfondimenti, vedasi anche l'articolo de Il Sole 24 Ore "Italiani confusi sugli obblighi per la privacy" del )

14 DPO, designarlo oppure no? la ricerca di Federprivacy Risultati su campione aziende: a circa un anno dalla scadenza, il 74% delle aziende non ha ancora designato un data protection officer

15 DPO, designarlo oppure no? attenzione prima di trarre le conclusioni! FAQ n.2 Linee Guida WP 243 Cosa significa attività principali? (art. 37, par. 1, lettere b) e c) ) Con attività principali si possono intendere le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento, comprese tutte quelle attività per le quali il trattamento dei dati è inscindibilmente connesso all attività del titolare o del responsabile. Per esempio, il trattamento di dati relativi alla salute (come le cartelle sanitarie dei pazienti) è da ritenersi una delle attività principali di qualsiasi ospedale; ne deriva che tutti gli ospedali dovranno designare un RPD. D altra parte, tutti gli organismi (pubblici e privati) svolgono determinate attività quali il pagamento delle retribuzioni al personale ovvero dispongono di strutture standard di supporto informatico. Si tratta di funzioni di supporto necessarie ai fini dell attività principale o dell oggetto principale del singolo organismo, ma pur essendo necessarie o perfino essenziali sono considerate solitamente di natura accessoria e non vengono annoverate fra le attività principali.

16 DPO, designarlo oppure no? attenzione prima di trarre le conclusioni! FAQ n.3 Linee Guida WP 243 Cosa significa su larga scala? (art. 37, paragrafo 1, lettere b) e c)) Il regolamento non definisce cosa rappresenti un trattamento su larga scala. Il WP29 raccomanda di tenere conto, in particolare, dei fattori qui elencati al fine di stabilire se un trattamento sia effettuato su larga scala: - il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; - il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; - la durata, ovvero la persistenza, dell attività di trattamento; - la portata geografica dell attività di trattamento

17 Designazione DPO: esempi di trattamenti su larga scala e non TRATTAMENTI SU LARGA SCALA - trattamento di dati relativi a pazienti svolto da un ospedale nell ambito delle ordinarie attività; - trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio); - trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food; - trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell ambito delle ordinarie attività; - trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale; - trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici. TRATTAMENTI NON SU LARGA SCALA - trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario; - trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato -...

18 DPO, designarlo oppure no? attenzione prima di trarre le conclusioni! FAQ n.4 Linee Guida WP 243 Cosa significa monitoraggio regolare e sistematico? (art. 37, par. 1, b) Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione all interno del RGPD; tuttavia, esso comprende senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. Non si tratta, però, di un concetto riferito esclusivamente all ambiente online. L aggettivo regolare ha almeno uno dei seguenti significati a giudizio del WP29: - che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; - ricorrente o ripetuto a intervalli costanti; che avviene in modo costante o a intervalli periodici. L aggettivo sistematico ha almeno uno dei seguenti significati a giudizio del WP29: - che avviene per sistema; - predeterminato, organizzato o metodico; - che ha luogo nell ambito di un progetto complessivo di raccolta di dati; - svolto nell ambito di una strategia

19 Designazione DPO: esempi di monitoraggio regolare e sistematico FAQ n.4 Linee Guida WP curare il funzionamento di una rete di telecomunicazioni; - la prestazione di servizi di telecomunicazioni; - il reindirizzamento di messaggi di posta elettronica; - profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio); - tracciamento dell ubicazione, per esempio da parte di app su dispositivi mobili; - programmi di fidelizzazione; - pubblicità comportamentale; - monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili; - utilizzo di telecamere a circuito chiuso; dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc.

20 DPO, designarlo oppure no? attenzione prima di trarre le conclusioni! Ulteriori riflessioni prima di decidere: un'azienda che commercializza al dettaglio cibi per vegani, deve nominare il DPO? un'agenzia di scommesse che tratta i dati personali dei propri clienti, è obbligata o no a nominare il DPO? Anche se ritengo di non rientrare nell'obbligo di nomina del DPO, sono certo che la mia azienda abbia messo in atto tutte le misure tecniche e organizzative richieste dal principio di "accountability"? FAQ n.1 Linee Guida WP 243 Chi è tenuto a designare un DPO (RPD)? (art. 37, paragrafo 1) "Si tenga presente che la designazione obbligatoria di un RPD può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto dell Ue. Inoltre, anche ove il regolamento non imponga in modo specifico la designazione di un RPD, può risultare utile procedere a tale designazione su base volontaria. Il Gruppo di lavoro Articolo 29 (WP29) incoraggia un approccio di questo genere."

21 DPO: quali sono i compiti che deve assolvere? Quali sono i compiti del "Responsabile della protezione dei dati"? (art.39 GDPR) a) informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell'unione o degli Stati membri relative alla protezione dei dati; b) verificare l attuazione e l applicazione del Regolamento, delle altre disposizioni dell'unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi; c) fornire, se richiesto, pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi adempimenti; d) fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all esercizio dei loro diritti; e) fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.

22 Compiti del DPO: le Linee Guida WP243 del 13 dicembre 2016 Linee Guida WP Compiti del DPO (punto 4.1) L art. 39, paragrafo 1, lettera b), affida al RPD, fra gli altri, il compito di sorvegliare l osservanza del RGPD. Nel considerando 97 si specifica che il titolare o il responsabile del trattamento dovrebbe essere assistito [dal RPD] nel controllo del rispetto a livello interno del presente regolamento. Fanno parte di questi compiti di controllo svolti dal RPD, in particolare, - la raccolta di informazioni per individuare i trattamenti svolti; - l analisi e la verifica dei trattamenti in termini di loro conformità, e - l attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile. Il controllo del rispetto del regolamento non significa che il RPD sia personalmente responsabile in caso di inosservanza. Il RGPD chiarisce che spetta al titolare, e non al RPD, mette[re] in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento (art. 24, paragrafo 1). Il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d impresa del titolare del trattamento, non del RPD. (DPO)

23 Il profilo del Data Protection Officer: Conclusioni Quello del Data Protection Officer, non è una figura professionale, bensì un ruolo previsto dal Regolamento UE 2016/679, e definito in modo esaustivo dallo stesso testo normativo, dalla scheda informativa del Garante, dalla Linee Guida WP243, e dalle relative FAQ Il ruolo deve essere svolto da un soggetto che in primo luogo deve possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali nazionali ed europee Non esiste al momento una qualche sorta di "abilitazione" che può sancire l'idoneità allo svolgimento del ruolo di DPO, anche perché le competenze richieste possono variare in base alla realtà in cui opera Le competenze devono essere quindi comprovate dal curriculum, di cui titolo di studio, corsi di formazione, esperienza maturata, ed eventuali certificazioni professionali, sono tutti tasselli che compongo le credenziali del candidato.

24 Per approfondimenti sul Data Protection Officer Scenario Regolamento UE 2016/679 Scheda informativa Data Protection Officer Linee Guida WP243 sul Data Protection Officer F.A.Q. WP243 sul Data Protection Officer Pagina informativa RPD del Garante per la protezione dei dati personali Circolare di Federprivacy sulla figura del Data Protection Officer Certificazione TÜV di Privacy Officer e Consulente della Privacy Sito web di Federprivacy

25 Responsabile della Protezione dei dati (Data Protection Officer) Con il nuovo Regolamento UE 2016/679, i titolari del trattamento devono designare come "Responsabile della protezione dei dati personali" un professionista che possieda un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, che sia in grado di adempiere alle proprie funzioni in piena indipendenza e in assenza di conflitti di interesse, operando come dipendente, oppure anche sulla base di un contratto di servizi. E' richiesto che il titolare metta a disposizione del Data Protection Officer (DPO) le risorse umane e finanziarie necessarie all'adempimento dei suoi compiti. (Vedasi anche scheda informativa Garante per la Privacy) Il DPO ha il compito di informare e consigliare il titolare o il responsabile del trattamento da lui preposto, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento Europeo e dalle altre disposizioni dell'ue o delle normative locali degli Stati membri relative alla protezione dei dati. Deve poi verificare che la normativa vigente e le policy interne del titolare siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la sensibilizzazione e la formazione del personale, ed i relativi audit. Su richiesta, deve fornire pareri in merito alla valutazione d'impatto sulla protezione dei dati, sorvegliandone poi i relativi adempimenti. Funge inoltre da punto di contatto sia con il Garante per la Privacy che con gli interessati, che possono rivolgersi a lui anche per l'esercizio dei loro diritti. Entro il 25 maggio 2018, devono nominare obbligatoriamente un Data Protection Officer tutte le pubbliche amministrazioni ed enti pubblici, eccetto le autorità giudiziarie. L'obbligo riguarda anche tutti i soggetti (enti e imprese) che trattano su larga scala dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici, oppure che nelle loro attività principali effettuano trattamenti che richiedono il controllo regolare e sistematico degli interessati. Le imprese, che non ricadono invece nell'obbligo di legge, potranno comunque decidere di dotarsi ugualmente di un data protection officer.

26 Nicola Bernardi Nicola Bernardi, è fondatore e presidente di Federprivacy. Iscritto nella sezione speciale dell'albo dei Giornalisti, scrive per varie testate, tra cui Metro News, Affaritaliani, A&S Italy, Italia Oggi, e il magazine Privacy News, edito dal Corriere della Privacy, nel quale ricopre anche l'incarico di direttore responsabile dal Ha scritto anche per la rivista SocialNews, patrocinata dal Segretariato Sociale RAI. Consulente del Lavoro, prima di dedicarsi a tempo pieno alle tematiche della data protection, ha maturato una lunga esperienza nel settore delle risorse umane e dell'amministrazione del personale come HR Manager di una azienda collegata al circuito Confindustria, e poi presso una multinazionale tedesca. Come libero professionista, ha collaborato e collabora con grandi aziende per l'adeguamento alla normativa in materia di protezione dei dati personali, curando anche gli aspetti formativi sia come organizzatore che come docente. Nel 2010, è stato il promotore della creazione dello schema di certificazione per la figura professionale di Privacy Officer e Consulente della Privacy da parte di TÜV Italia. Per tale schema di certificazione, sviluppato in accordo ai requisiti della UNI CEI EN ISO/IEC 17024:2012, è riconosciuto come grandparent. Socio onorario di Andip (Associazione Nazionale per la Difesa della Privacy), e membro del Comitato Scientifico dell'istituto Italiano per la Privacy. E' l'ideatore e fondatore dell'evento Privacy Day Forum, che si svolge dal Ha scritto e curato la pubblicazione di vari testi, tra cui il volume Il Privacy Officer, La figura chiave della data protection europea (Ipsoa), e la Guida "Privacy e regolamento europeo 2016/679" (Ipsoa) - [email protected]