Una nuova cabina di regia: il Data Protection Officer.

Transcript

1 NUOVO REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI QUALE IMPAT TO SULLE AZIENDE, ENTI PUBBLICI E PROFESSIONISTI? S E M I N A R I O A C U R A D E L L O R D I N E D E G L I I N G E G N E R I D E L L A P R O V I N C I A D I B O LO G N A Una nuova cabina di regia: il Data Protection Officer. BIAGIO LAMMOGLIA C O O RDINATO RE E U ROP RIVACY. I NFO

2 Europrivacy.info Iniziativa di Aused, Clusit e Oracle Community for Security. Blog collettivo aperto a collaboratori qualificati ed esperti in Sicurezza e Compliance. Osservatorio sul nuovo Regolamento Europeo sulla Data Protection e sulle sue evoluzioni. Comunica nei social e tramite le conferenze. Si rivolge ad una platea Europea (post in inglese e italiano). Riferimento per aziende e professionisti nel percorso di adeguamento alla nuova normativa.

3 Argomenti trattati Descrizione dell iter legislativo. Inquadramento del Data Protection Officer nella versione definitiva del Regolamento Europeo sulla Protezione dei Dati. Criteri di designazione obbligatoria. Posizione all interno dell organizzazione aziendale. Compiti. Competenza professionali. Il quadro normativo italiano delle certificazioni professionali. Il processo di certificazioni professionali accreditate.

4 Procedura legislativa ordinaria Prima Lettura Parlamento Europeo cv Seconda Lettura Parlamento Europeo Atto Non Adottato cv Terza Lettura Parlamento Europeo Testo Approvato Testo Approvato Comitato di Conciliazione Testo Approvato Proposta della Commissione Europea Testo Originale Emendato Prima Lettura Consiglio Emendata Testo Emendato Atto Non Adottato Seconda Lettura Parlamento Respinta Prima Lettura Consiglio dell Unione Europea Seconda Lettura Consiglio dell Unione Europea Terza Lettura Consiglio dell Unione Europea Durata illimitata 3+1 mesi PE / 3+1 mesi CONS 6+2 settimane 6+2 settimane

5 ENTRATA IN VIGORE APPLICAZIONE Regolamento sulla Protezione dei Dati Iter approvazione Parlamento Europeo Emendato Prima Lettura cv Seconda Lettura Parlamento Europeo Proposta emendata Commissione Parlamentare LIBE Comitato di Conciliazione (Trilogo) 17/12/2015 Testo Consolidato Testo Approvato 20gg 2 anni Proposta della Commissione Europea Siamo QUI! 18/12/2015 Consiglio dell Unione Europea Emendato Orientamento Generale Prima Lettura Consiglio dell Unione Europea Durata illimitata 3+1 mesi PE / 3+1 mesi CONS

6 La figura del DPO nel Regolamento DIRECTIVE 95/46/EC Article 18 (2): "Member States may provide for the simplification of or exemption from notification (...) where the controller, in compliance with the national law which governs him, appoints a personal data protection official (...)"

7 Criterio di designazione obbligatoria del Data Protection Officer European Parliament s First Reading Conciliation Committee (TRILOGOUE) European Commission s Proposal The controller and the processor shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body; or (b) the processing is carried out by an enterprise employing 250 persons or more; The controller and the processor shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body; or (b) the processing is carried out by a legal person and relates to more than 5000 data subjects in any consecutive 12-month period Council s General Aapproach The controller or the processor may, or where required by Union or Member State law shall, designate a data protection officer ( ). Outcome of the inter-institutional negotiations The controller and the processor shall designate a data protection officer in any case where: (a) the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; or (b) the core activities of the controller or the REGULAR AND SYSTEMATIC MONITORING processor consist of processing operations which, by virtue Recital of their (24) nature, their scope and/or ( ) it their should purposes, be ascertained require regular whether and natural persons systematic are tracked monitoring the of Internet data subjects on a large including scale; potential or subsequent LARGE use of data SCALE processing techniques which consist Recital of (91) (c) the core activities of the controller or the processor profiling a natural (...) which person aim ( )". to process a considerable consist of processing on a large scale of amount special categories of personal of data pursuant at regional, to national or Article supranational 9 and personal data level relating and which to criminal could affect a convictions large and number offences referred data subjects".. to in Article 10.

8 Posizione nell organizzazione aziendale Deve riportare direttamente ai massimi superiori gerarchici del responsabile del controller o del processor. Deve beneficiare delle risorse necessarie per adempiere ai propri compiti e per mantenere l'aggiornamento professionale. Non deve ricevere alcuna direttiva per quanto riguarda l'esercizio dei propri compiti. Deve essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali. Può svolgere altri compiti a patto che questi non generino conflitto di interessi. Non può essere sollevato dall incarico in conseguenza dello svolgimento delle sue attività. È tenuto al segreto o alla riservatezza in merito all'adempimento dei propri compiti. Alto livello gerarchico Copertura economica Autonomia Trasversalità Flessibilità Tutela del ruolo Confidenzialità

9 Compiti del Data Protection Officer Informare e consigliare tutte le figure coinvolte nel trattamento in merito agli obblighi derivanti dal Regolamento. Contribuire alla Data Protection Impact Assessment e tenere nella debita considerazione i rischi associati alle operazioni di trattamento. Vigilare sull'osservanza del Regolamento, l'attribuzione delle responsabilità, la formazione del personale e gli audit connessi. Fungere da punto di contatto per gli interessati per tutte le questioni relative al trattamento dei loro dati o all esercizio dei loro diritti (art. 38 comma 4). Fungere da punto di contatto per l Autorità di Controllo per questioni connesse al trattamento di dati personali. Cooperare con l Autorità di Controllo. Azienda Autorità di controllo

10 COMPETENZE del Data Protection Officer ARTICOLO 37, COMMA 5 (TESTO IN VIGORE) The data protection officer shall be designated on the basis of professional qualities and, in particular, expert KNOWLEDGE of data protection law and practices and the ABILITY to fulfil the tasks referred to in Article 39. Recital (73) (...) The necessary level of expert knowledge should be determined in particular according to the data processing operations carried out and the protection required for the personal data processed by the controller or the processor. ARTICOLO 35, COMMA 11 (PROPOSTA COMMISSIONE EUROPEA) Alla Commissione è conferito il potere di adottare atti delegati conformemente all articolo 86 al fine di precisare i criteri e i requisiti concernenti le attività principali del responsabile del trattamento o dell incaricato del trattamento di cui al paragrafo 1, lettera c), e i criteri relativi alle qualità professionali del responsabile della protezione dei dati di cui al paragrafo 5.

11 Designazione del Data Protection Officer Un gruppo di imprese può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento. Il responsabile della protezione dei dati può essere un membro del personale del responsabile del trattamento o dell'incaricato del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi.

12 Regolamentazione della figura professionale DATA PROTECTION OFFICER Figura professionale attualmente non regolamentata dalle leggi italiane. Non esiste un albo professionale specifico a garanzia della qualità delle attività svolte dal singolo professionista. LEGGE N. 4/ DISPOSIZIONI IN MATERIA DI PROFESSIONI NON ORGANIZZATE Disciplina la le professioni qualificazione nondelle organizzate competenze in ordini dei professionisti o collegi. che esercitano attività NON riservate per legge a soggetti iscritti in albi o elenchi. Prevede che tali competenze possano essere valutate: o dalle Associazioni Professionali presso le quali sono iscritti i professionisti; o attraverso il ricorso alla CERTIFICAZIONE delle competenze professionali in conformità alla norma tecnica UNI (se definita) per la singola professione rilasciata da Organismi di Certificazione accreditati da ACCREDIA.

13 Attestazioni rilasciate dalle Associazioni Professionali Al fine di tutelare i consumatori e di garantire la trasparenza del mercato dei servizi professionali, le Associazioni Professionali possono rilasciare ai propri iscritti, previe le necessarie verifiche, sotto la responsabilità del proprio rappresentante legale, una ATTESTAZIONE relativa: agli standard qualitativi e di qualificazione professionale (formazione, aggiornamento, rispetto del codice deontologico); all'eventuale possesso da parte del professionista iscritto di una certificazione, rilasciata da un organismo accreditato, relativa alla conformità alla norma tecnica UNI; alle garanzie fornite dall'associazione all'utente (sportello per il consumatore). (LEGGE 4/2013 ART. 7, COMMA 1)

14 Certificazione in conformità alla norma tecnica UNI DEFINIZIONE DI NORMA «Una specifica tecnica, adottata da un organismo di normazione riconosciuto, per applicazione ripetuta o continua, alla quale non è obbligatorio conformarsi.» - (Regolamento UE 1025 sulla normazione europea) INQUADRAMENTO GIURIDICO Riferimento DIRETTO Il legislatore dichiara le norme necessarie il requisito della norma diventa il requisito legale obbligatorio. Riferimento INDIRETTO Il legislatore dichiara le norme sufficienti il requisito della norma non è l unico mezzo per soddisfare il requisito legale obbligatorio.

15 Schema e-cf per la descrizione delle Competenze dei Professionisti ICT E-COMPETENCE FRAMEWORK - OVERVIEW Lo European e-competence Framework (e-cf) fornisce un linguaggio condiviso per la descrizione delle COMPETENZE, CONOSCENZE, Abilità e Attitudini dei Professionisti ICT, delle professioni e delle organizzazioni. Conoscenza (Knowledge) Insieme di elementi del sapere. Abilità (Skill) Capacità di espletare funzioni tecniche o manageriali. Attitudine (Attitude) Capacità cognitiva e relazionale. Competenza (Competence) Capacità dimostrata nell applicare conoscenza, abilità ed attitudini per raggiungere risultati osservabili.

16 Schema e-cf 2.0 struttura E-COMPETENCE FRAMEWORK - STRUTTURA DIMENSIONE 1 5 aree di e-competence, derivate dai processi business dell ICT (PLAN BUILD RUN ENABLE - MANAGE). DIMENSIONE 2 36 Competenze (40 nella versione 3.0) complessive, con una descrizione generica per ciascuna competenza. DIMENSIONE 3 5 Livelli di capacità per ciascuna Competenza (da e-1 a e-5 e messi in relazione con i livelli EQF da 3 a 8). DIMENSIONE 4 Esempi di Conoscenze e Abilità collegati alla Dimensione 2 che descrivono il contesto aggiungendo valore al framework (non devono ritenersi esaustivi).

17 Fonte: European e-competence Framework v2.0 - CWA Parte I - Settembre Schema e-cf 2.0 visione d insieme

18 Fonte: European e-competence Framework v2.0 - CWA Parte I - Settembre Schema e-cf esempio competenza (E8)

19 Dallo schema e-cf alla Norma UNI UNI 11506: Elementi per la valutazione e convalida dei risultati dell'apprendimento. + Aspetti etici e deontologici applicabili.

20 Fonte: European ICT Professional Profiles based on the e-cf DRAFT CWA CEN Workshop ICT Skills January 2012 CWA dalle e-competence ai profili ICT

21 Fonte: European ICT Professional Profiles based on the e-cf DRAFT CWA CEN Workshop ICT Skills January 2012 CWA esempio di profilo EUROPRIVACY

22 PROFILI PROFESSIONALI DI 3 GENERAZIONE Dal CWA alla Norma (multiparte) UNI CWA UNI Metodologia per la costruzione di profili professionali. UNI Profili professionali di seconda generazione. UNI Profili professionali relativi alle professionalità operanti nel Web UNI Profili professionali relativi alla sicurezza delle informazioni ICT Security Manager (2 generazione) Responsabile della sicurezza delle informazioni (CISO) Responsabile della sicurezza dei sistemi per la conservazione digitale ICT Security Specialist (2 generazione) Analista di processo per la sicurezza delle informazioni Analista tecnico per la sicurezza delle informazioni UNI X (Profilo professionale relativo a ) UNI N Profili professionali relativi alla Privacy

23 ASPETTI GIURIDICI Progetto Profili Professionali relativi alla Privacy (nuove) Conoscenze (esempi) + (nuove) Abilità (esempi) Principi di Privacy by Design I diritti degli interessati ed il diritto all'oblio Le responsabilità connesse al trattamento dei dati personali Applicare i principi di Privacy by Design ai sistemi informativi Gestire reclami e richieste da parte dei Clienti Gestire le richieste provenienti dalle autorità ( ) PROFILI DI 3ª GENERAZIONE ( ) Competenze RELATIVI ALLA PRIVACY PROGETTO UNINFO E14D00036 (IPOTESI NON ESAUSTIVE) ICT Security Manager (2 generazione) ICT Security Specialist (2 generazione) DPO Data Protection Officer Manager Privacy Legal Manager Privacy IT Auditor Privacy Specialista Privacy IT Specialista Privacy Legal

24 Processo di certificazione accreditato LEGGE n.4 del 14/1/2013 Gli organismi di certificazione accreditati dall'organismo unico nazionale di accreditamento (ACCREDIA) (...) possono rilasciare ( ) il certificato di conformità alla norma tecnica UNI (se definita) per la singola professione. (art. 9 comma 2) LEGGE n.4 del 14/1/2013 "(...) le associazioni professionali (...) collaborano all'elaborazione della normativa tecnica UNI relativa alle singole attività professionali." (art. 9 comma 1) UNINFO Progetto E14D00036 Profili professionali relativi alla privacy Processo di accreditamento Organismo di Certificazione 1 Organismo di Certificazione 2 Organismo di Certificazione N ACCREDITATO ACCREDITATO ACCREDITATO Certificazione di conformità alla norma UNI rilasciata da Organismo Accreditato

25 biagio.lammoglia [at] gmail [dot] com