CORSO AiFOS “I PROFESSIONISTI DELLA PRIVACY”

Una bellissima esperienza la nostra partecipazione come docenti al Corso organizzato da AiFOS Associazione Italiana Formatori ed Operatori della Sicurezza sul lavoro  e progettato da Privacy in Chiaro.

Molta partecipazione in classe e corsisti che mostrano un grande interesse per la materia.  Il prossimo incontro via webinar, poi di nuovo in aula.

Grazie ai partecipanti per la loro energia e ad AiFOS per l’organizzazione impeccabile!

 

GDPR – I Responsabili interni – Nomina SI o NO?

Gli obblighi di nomina del Responsabile.

La nomina del Responsabile del Trattamento illustrata all’articolo 28 del GDPR è una nomina obbligatoria che attribuisce al Responsabile una gran quantità di compiti e oneri.  Le indicazioni fornite nell’articolo in questione descrivono perfettamente le caratteristiche del Responsabile esterno del trattamento.

I Responsabili interni e gli incaricati.

In Italia, l’applicazione della normativa Privacy è stata caratterizzata negli anni anche dalla figura del Responsabile interno del trattamento. A questa, il Titolare poteva delegare una serie di responsabilità in merito al trattamento dei dati personali effettuati dall’impresa. Trattandosi di una tipicità italiana, non è strano che il GDPR non ne faccia alcun cenno.

Dal punto di vista della normativa europea, chiunque, all’interno di una organizzazione, effettui operazioni di trattamento è «persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare».

Il GDPR non fa alcun riferimento alla necessità di «nominare» formalmente queste persone, tra le quali sono compresi anche gli incaricati (secondo la definizione del Codice Privacy).

In merito alle operazioni di trattamento dei dati personali, tutto quello che avviene dentro un’impresa si colloca nell’ambito del rapporto di lavoro instaurato tra il Titolare e i propri dipendenti e/o collaboratori e fa riferimento alle mansioni assegnate a questi ultimi.  Sono ovviamente esclusi fatti di rilevanza penale, per i quali la responsabilità è individuale.

L’accountability del Titolare e le nomine interne.

Il Titolare ha l’obbligo di formare e informare dipendenti e collaboratori (di qualunque livello e grado) in merito alla protezione dei dati personali trattati dall’impresa e alle misure tecniche e organizzative implementate per garantire la sicurezza del trattamento. Poiché può essere chiamato a render conto delle proprie scelte, affiderà i compiti – ai propri dipendenti, ai dirigenti e ai collaboratori – in modo consapevole e ragionato.

La nomina formale di un incaricato o di un responsabile interno non diminuisce in alcun modo la responsabilità del Titolare.

Ad esempio, il direttore dell’Ufficio del Personale di un’impresa è ovviamente responsabile del trattamento dei dati personali effettuato all’interno della direzione organizzativa affidatagli; si tratta di un compito insito nel ruolo svolto e non di un dovere discendente da una nomina scritta.

La nomina dell’articolo 28.

La nomina del Responsabile ai sensi dell’articolo 28 del GDPR può implicare, tra le altre cose, la tenuta di un Registro dei trattamenti o l’implementazione di misure di sicurezza e richiede inoltre, obbligatoriamente, la sottoscrizione di uno specifico contratto.

Ma il contratto tra Titolare e dipendente o tra Titolare e dirigente già esiste. È il contratto di lavoro. Come è possibile pensare che la protezione dei dati personali trattati dal Titolare – ovviamente implicita in qualsiasi contratto di lavoro – possa richiedere un contratto ad hoc? Sarebbe un paradosso.

Per tutto quello che abbiamo detto, l’unica nomina obbligatoria, formalizzata ed espressamente richiamata dalla normativa, è quella relativa alla designazione dei Responsabili esterni del trattamento.

Assegnazione di responsabilità in realtà complesse.

Esistono però realtà più complesse di quelle a cui abbiamo fatto riferimento.

Pensiamo per esempio alle aziende di una Regione, diverse tra loro per ambito e finalità di trattamento (diciamo per mercato di riferimento) in cui le responsabilità sono assegnate e ripartite in funzione degli statuti del singolo ente.

Il Regolamento lascia intravedere la possibilità di trovare valide alternative per dirimere situazioni più complesse. Il criterio della contitolarità, ad esempio, potrebbe in alcune situazioni essere utilmente impiegato per assegnare in modo trasparente le rispettive responsabilità e la titolarità del trattamento (o parte di essa) all’interno di realtà organizzative molto articolate.

Diverse valutazioni sono attualmente in corso. Alcuni Titolari sceglieranno di mantenere in qualche modo una continuità con il passato e «rinfrescheranno» le nomine interne esistenti. Non è questa la sede per approfondire il tema e attendiamo di sapere se fonti autorevoli rilasceranno indicazioni pratiche nel merito.

Si fa presente a questo proposito che la recente legge 167/2017, all’articolo 28, ha modificato l’art. 29 del Codice Privacy e ha stabilito che il Garante predisporrà schemi tipo di atti giuridici che i Titolari potranno adottare per la stipula del rapporto con i responsabili del trattamento.

Si spera che dalla pubblicazione di tali schemi tipo emergano elementi di maggiore chiarezza.

Semplicità e buon senso.

In linea generale, è bene che siano la semplicità e il buonsenso a guidare le scelte dei Titolari.

Incamminarsi in un percorso “formalizzato” senza che ve ne sia un reale motivo produrrà solo un aumento di carta (e di burocrazia interna) e non diminuirà in alcun modo il livello di responsabilità del Titolare in merito ai trattamenti effettuati dall’organizzazione.

Come bisogna comportarsi, quindi, con le attuali nomine dei responsabili interni? Devono essere riviste? Con quali criteri?

Posto che, come abbiamo detto, non ci sono obblighi, ciascuno sceglierà la strada che meglio si adatta alle proprie esigenze.

Conclusioni.

Se un’impresa ritiene di voler aggiornare le nomine interne attualmente esistenti può farlo ma deve considerarle solo un modo per trasmettere informazioni e focalizzare l’attenzione del personale sull’importanza di proteggere i dati personali oggetto di trattamento.

Lo stesso obiettivo, come abbiamo già detto, può essere raggiunto con altri strumenti: la pubblicazione di una politica sulla protezione dei dati personali, un regolamento interno, un disciplinare che fornisce istruzioni e assegna compiti alle funzioni organizzative.

Quello che dev’essere chiaro è che il ruolo del Responsabile esterno è del tutto diverso da quello di un eventuale Responsabile interno: mentre il primo è un’entità – fisica o giuridica – “altra” rispetto al Titolare e da questo autonoma, il secondo ne è diretta emanazione e, in merito al trattamento dei dati personali, è una “persona autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare”.

Se questo è assodato, il Titolare è padrone di scegliere in piena libertà la modalità più adatta per trasmettere le istruzioni al proprio personale.

CONOSCERE E IMPLEMENTARE LA PRIVACY

Il video racconta come è strutturata la guida pensata  per  imprese, consulenti, enti e responsabili della protezione dei dati e spiega come è possibile ordinarla.

Ricordiamo che  la prima parte del volume può essere richiesta, a titolo gratuito, a: www.privacyinchiaro.it/conoscere-e-implementare-la-privacy/  

GDPR: La gestione del rischio associato al trattamento dei dati personali

Il rischio è un evento incerto o un insieme di eventi che, se si verificassero, potrebbero avere un effetto sul raggiungimento degli obiettivi aziendali; è perciò opportuno stimarlo e, successivamente, sviluppare strategie per governarlo.

L’attività di risk management relativa alla protezione dei dati personali è solo una declinazione della gestione del rischio aziendale e della sua governance; i rischi individuati dovranno quindi essere opportunamente valutati e successivamente inseriti, alla pari degli altri, all’interno della mappa dei rischi aziendali.

Nel caso specifico, poiché stiamo trattando il tema dei rischi associati alla protezione dei dati personali, i beni da proteggere – o asset primari – sono per l’appunto i dati personali e i processi impiegati per il loro trattamento.

Una corretta valutazione dei rischi non può prescindere dall’analisi dello specifico contesto in cui opera l’organizzazione.

Questo passo preliminare dev’essere compiuto anche per la valutazione dei rischi connessi al trattamento dei dati personali, perché è indispensabile avere una chiara rappresentazione degli asset a supporto del trattamento dei dati personali.  Ci riferiamo, per esempio, ad architetture hardware, piattaforme, software, reti ICT, ma anche a persone, documenti cartacei e modalità di distribuzione, conservazione e distruzione di questi ultimi.

Gli eventi incerti da cui è necessario proteggersi al fine di garantire l’integrità, la disponibilità e la riservatezza dei dati personali trattati possono essere legati a:

  • indisponibilità dei processi, ovvero i processi non esistono più o non funzionano più;
  • accesso illegittimo ai dati personali da parte di persone non autorizzate;
  • alterazioni o modifiche accidentali dei dati personali;
  • indisponibilità dei dati personali;
  • trattamento difforme da quello inizialmente previsto (deviazione dalla finalità definita, eccessiva o scorretta raccolta dei dati …).

Si procede quindi con l’identificazione dei rischi, che è possibile suddividere secondo le seguenti categorie:

  • rischi legati al comportamento delle persone;
  • rischi relativi agli strumenti di lavoro;
  • rischi relativi al contesto in cui si opera.

A ciascun rischio identificato sarà successivamente assegnato il valore relativo di probabilità e impatto per determinarne il peso e compilare la matrice probabilità-impatto.

Per maggiori informazioni sulla gestione del rischio inerente il trattamento dei dati personali e sul GDPR 2016/679 in generale si rimanda al libro “Conoscere e implementare la privacy”.

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

 

Sebastiano Plutino relatore al seminario formativo SAEV sul GDPR

Sebastiano Plutino ha partecipato in veste di relatore al seminario di approfondimento sulle novità introdotte dal Regolamento europeo 679/2016.

Il seminario, rivolto alla pubblica amministrazione locale, è stato organizzato da SAEV in collaborazione con l’Anci e con il patrocinio della Regione Marche e si è tenuto il giorno 22 settembre 2017 presso la Residenza Domus Stella Maris di Ancona.

Al link seguente è possibile richiedere i materiali del seminario: https://www.saev.biz/eventi-seminari/82-seminario-formativo-sul-nuovo-regolamento-europeo-679-16-in-materia-di-protezione-dei-dati-personali.

 

 

IL REGISTRO DEI TRATTAMENTI

Secondo il Regolamento Europeo sulla protezione dei dati personali (GDPR), Titolari e Responsabili del Trattamento, e se del caso i loro Rappresentanti, ciascuno per la propria parte, hanno l’obbligo di compilare in forma scritta, anche elettronica, il Registro delle attività di trattamento svolte dall’organizzazione. È prevista una deroga per le organizzazioni con meno di 250 dipendenti, se:

  • le attività di trattamento effettuate non presentano un rischio per i diritti e le libertà dell’interessato;
  • il trattamento è occasionale o non include particolari categorie di dati (tutti quelli atti a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, ovvero informazioni relative alla salute o alla vita sessuale o all’orientamento sessuale della persona) e non includa dati genetici o biometrici;
  • il trattamento è occasionale o non include dati personali relativi a condanne penali e a reati.

Il Registro contiene una serie di informazioni che differiscono leggermente tra di loro a seconda che il compilatore sia il Titolare o il Responsabile. Esso, su richiesta, deve essere messo a disposizione dell’Autorità Garante.

Di seguito spieghiamo brevemente quale sia l’utilità di questo documento e quali sono i benefici derivanti dalla sua compilazione.

Costruire il Registro dei Trattamenti significa comporre una mappa che contiene tutte le informazioni in merito a:

  • le operazioni che l’organizzazione effettua sui dati personali;
  • le caratteristiche dei dati personali oggetto di trattamento;
  • le entità coinvolte nel trattamento dei dati personali.

Un Registro ben scritto, ben tenuto e mantenuto, è il primo passo verso la conformità e un’ottima occasione per fare ordine.

Molte organizzazioni non sono consapevoli della quantità di informazioni personali di cui sono in possesso e, spesso, non sanno neanche con certezza dove e a quale scopo siano conservate.

Per questo, decidere di dedicare del tempo a reperire le informazioni e a metterle ordinatamente su carta o su un foglio elettronico permetterà di:

  • avere una chiara rappresentazione di come i dati personali sono elaborati, protetti, archiviati ed eliminati;
  • disporre di un patrimonio sempre aggiornato di conoscenza condivisa;
  • intervenire in modo mirato soltanto dove ce ne sia un effettivo bisogno;
  • apportare migliorie ai processi, ottimizzando tempo e risorse.

Il Registro dei Trattamenti può  quindi essere un’ottima base di partenza nella gestione dei dati personali per ogni tipo di organizzazione, qualunque siano le sue dimensioni e il suo giro d’affari.


Per maggiori informazioni sul Registro dei trattamenti e sul GDPR 2016/679 in generale si rimanda al libro “Conoscere e implementare la privacy

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

DATA PROTECTION MANAGEMENT SYSTEM: IL MODELLO PDCA

In questo terzo e ultimo articolo dedicato al Data Protection Management System (DPMS), illustriamo brevemente i passi principali necessari a implementare il DPMS utilizzando come riferimento le quattro fase del ciclo di Deming (PDCA).

PLAN 

Nella fase di pianificazione si fissano gli obiettivi, si individuano le risorse e si definiscono gli strumenti e i processi indispensabili per garantire il raggiungimento del risultato atteso.

In sostanza, in questa fase si “scrivono le specifiche” del sistema che saranno realizzate nella fase di DO.

  • Analisi del contesto: è l’analisi dell’ambiente (interno ed esterno) in cui opera l’organizzazione, compresi processi, procedure e sistemi di gestione già presenti. È parte fondamentale dell’analisi del contesto la comprensione delle necessità e delle aspettative degli stakeholder.
  • Leadership e impegno: è il punto di partenza per ogni attività relativa al DPMS. La direzione deve identificare gli obiettivi del DPMS in coerenza con la politica dell’organizzazione e impegnarsi per il suo sviluppo attraverso l’attribuzione di risorse, ruoli e responsabilità e la nomina del project manager da dedicare al progetto.
  • Policy e campo di applicazione del DPMS: è lo step in cui si definiscono i confini e il campo di applicazione del DPMS e la Policy della protezione dei dati personali.
  • Risk management: è l’insieme di attività, metodologie e risorse necessarie per individuare e gestire i rischi aziendali legati al trattamento dei dati personali.

DO

Nella fase di attuazione si implementano le specifiche del sistema secondo quanto definito e pianificato nella fase precedente.

  • Organigramma e documentazione: è lo step di redazione dei contenuti della documentazione relativa al DPMS, un elemento fondamentale per comprovare l’aderenza al Regolamento.
  • Comunicazione e formazione: sono strumenti indispensabili per diffondere nell’organizzazione i principi ed i metodi del DPMS, per renderlo operativo e garantirne il successo.
  • I controlli: è lo step in cui sono implementati i processi di misurazione che servono a tenere sotto controllo il DPMS e i rischi inerenti la protezione dei dati personali. Essi sono scelti in funzione dei risultati prodotti dall’attività di risk management.
  • La gestione degli incidenti: in questo step sono implementati i processi e le procedure operative per gestire gli incidenti che potrebbero causare una violazione dei dati personali.
  • L’attivazione del DPMS: nel caso di implementazione ex-novo del DPMS, questo è il momento della sua introduzione operativa, in cui si mette in pratica quanto pianificato e implementato; se l’organizzazione ha già un DPMS attivo, successivamente alla verifica delle rilevazioni di funzionamento contestualizzate, si introducono le migliorie e le ottimizzazioni pianificate.

CHECK

Nella fase di controllo del DPMS si misura lo “stato di salute” del sistema per mezzo di appositi indicatori progettati nella fase di PLAN.

  • Monitoraggio e Audit interno: questa fase del ciclo di Deming ha l’obiettivo di verificare l’efficacia e la conformità del DPMS implementato e di programmare le azioni necessarie per migliorarlo.
  • Riesame di Direzione: i risultati del monitoraggio e dell’audit e le possibilità di miglioramento sono oggetto del riesame di direzione. In questo step il vertice dell’organizzazione ribadisce la propria volontà di mantenere e migliorare il DPMS

ACT

Nella fase di manutenzione e miglioramento, si perfeziona il DPMS, apportando i miglioramenti necessari per ottenere risultati di misurazione più soddisfacenti.

  • Non conformità e miglioramento continuo: la quarta ed ultima fase del ciclo di Deming affronta le tematiche del miglioramento del DPMS e individua le azioni correttive che permettono di risolvere eventuali non conformità emerse nel corso dell’audit interno.

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

DATA PROTECTION MANAGEMENT SYSTEM: APPROCCIO METODOLOGICO

In questo secondo articolo dedicato al Data Protection Management System (DPMS) ci soffermiamo sugli obiettivi che si intendono raggiungere con l’implementazione del DPMS.

È, infatti, necessario definire con chiarezza:

  • il campo di applicazione del DPMS (per esempio una porzione dei trattamenti o tutti i trattamenti effettuati dall’organizzazione);
  • le tempistiche entro le quali si vogliono ottenere i risultati;
  • il livello di maturità del sistema che si desidera raggiungere;
  • i controlli di sicurezza ad esso associati.

Ipotizziamo che a dover affrontare l’implementazione di un DPMS sia un’organizzazione di dimensioni e complessità medie. Se si utilizzasse una metodologia di lavoro di tipo tradizionale, ovvero sequenziale, non è irragionevole ipotizzare che l’implementazione, a partire dal suo concepimento e fino al completamento del primo ciclo PDCA, richiederebbe un arco temporale di alcuni mesi.

In genere, i principali ostacoli percepiti in merito a questo approccio sono relativi alla quantità di tempo e di risorse che devono essere coinvolte per la pianificazione, l’analisi, l’approvazione e la realizzazione del sistema, sottraendole alla normale attività di business.

Questi ostacoli possono essere superati se decide di procedere per passi successivi e per raggiungere obiettivi più vicini nel tempo, scegliendo, tra quelli che seguono, l’approccio che meglio sposa le proprie esigenze e le proprie priorità.

  • Approccio orientato al business: l’implementazione del sistema riguarda solo una funzione o aree limitate dell’organizzazione, in relazione a specifiche necessità di business (esempio: call center).
  • Approccio orientato all’integrazione: l’organizzazione ha già un sistema di gestione operativo (per esempio quello relativo alla sicurezza delle informazioni) nel quale decide di integrare il DPMS
  • Approccio iterativo: si procede all’implementazione del sistema (definendo un campo di applicazione inziale) – con attori identificati e coinvolti e processi ben definiti – e si lavora al suo miglioramento nel tempo.

Qualunque sia la strada che l’organizzazione decide di seguire, è opportuno tener conto delle seguenti indicazioni,

  1. Avere la leadership della direzione aziendale: il pieno supporto e il coinvolgimento della direzione è un pre-requisito per la realizzazione del DPMS.
  2. Nominare un Project Manager: è opportuno individuare e nominare un responsabile per il progetto d’implementazione del sistema di gestione e non è necessario che l’incarico sia assegnato al Privacy manager o al DPO.
  3. Coinvolgere gli stakeholder: è fondamentale definire i ruoli e le responsabilità di tutte le parti interessate e adoperarsi per coinvolgerle e motivarle fin dalle fasi iniziali del progetto.
  4. Integrare il DPMS nei sistemi esistenti: è opportuno progettare il sistema tenendo conto dei sistemi di gestione già implementati dall’organizzazione.
  5. Costruire il DPMS sui processi esistenti: è buona norma riutilizzare tutto ciò che è già patrimonio dell’organizzazione (ciò che esiste ed è formalizzato) ed è conforme, evitando di inserire nuovi processi che necessiterebbero di un periodo di adattamento o che, semplicemente, non rispecchiano la realtà in cui devono essere inseriti.
  6. Limitare l’integrazione di nuove tecnologie: è opportuno progettare il sistema di gestione sulla base della tecnologia già in uso.
  7. Applicare il principio del miglioramento continuo: il principio del miglioramento continuo può essere applicato con utilità fin nelle fasi iniziali, per esempio tenendo conto dei suggerimenti e delle indicazioni ricevute dalle parti interessate e coinvolte nel progetto.

L’ultimo consiglio che vogliamo dare è quello di usare il buon senso: non è affatto necessario progettare sistemi complessi per gestire questioni complesse.

 

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

IL DATA PROTECTION MANAGEMENT SYSTEM

Questo è il primo di tre articoli dedicati al Data Protection Management System (DPMS) descritto nel libro “Conoscere e implementare la privacy”, pensato per consulenti, imprese, enti e responsabili della protezione dei dati che, entro il mese di maggio 2018, dovranno adeguare i trattamenti dei dati personali alle prescrizioni del Regolamento europeo UE 2016/679.

Il DPMS proposto è basato sulle indicazioni della norma ISO 29100 ed è modellato tenendo sempre presenti gli obblighi imposti dal Regolamento ai Titolari o ai Responsabili.

La norma ISO 29100 non fa riferimento esplicito alla necessità di implementare un sistema di gestione; tuttavia, al fine di adottare un modello (“framework”) per la protezione dei dati personali efficace e in grado di migliorare nel tempo, abbiamo scelto di affrontare questo tema con l’approccio usualmente utilizzato per implementare un sistema di gestione aziendale.

La trattazione si basa sul processo “Plan-Do-Check-Act” (PDCA) (ciclo di Deming), impiegato per strutturare e definire di tutti i processi necessari a un sistema di gestione.

Se l’Input del processo sono le esigenze e le aspettative delle parti interessate (stakeholder) – quali ad esempio clienti, dipendenti, fornitori, azionisti – dopo l’implementazione delle azioni e dei processi necessari a soddisfarle (Attività), avremo come Output il controllo della sicurezza delle informazioni personali che soddisferà appieno le esigenze e le aspettative degli stakeholder.

Le quattro fasi dell’approccio PDCA sono:

Plan (definizione del sistema di gestione): partendo dall’analisi del contesto, si definiscono le politiche, gli obiettivi del sistema e si procede all’analisi dei rischi correlati al trattamento dei dati personali al fine di individuare il perimetro di implementazione del DPMS.

Do (implementazione del sistema di gestione): è la fase in cui si si rappresentano i processi, si stabiliscono i ruoli e le responsabilità, si descrivono le procedure e si definiscono i controlli e le evidenze oggettive (documenti e registrazioni).

Check (monitoraggio e revisione del sistema di gestione): è la fase in cui si valutano e si misurano, attraverso il monitoraggio e gli audit, i processi inerenti la protezione dei dati personali, gli obiettivi e le esperienze pratiche. I risultati sono raccolti e riportati al management per il riesame periodico della direzione.

Act (manutenzione e miglioramento del sistema di gestione): con lo scopo di migliorare continuamente il sistema di gestione, si intraprendono azioni correttive sulla base dei risultati della revisione interna e del riesame della direzione o con l’ausilio di altre informazioni rilevanti.

L’implementazione di un DPMS può produrre benefici all’organizzazione non solo in termini di conformità alle norme e di governance ma anche dal punto di vista del business.

Elenchiamo alcuni di questi benefici.

Conformità: prerequisito indispensabile di un sistema di gestione della protezione dei dati personali è la conformità alle leggi e alle normative nazionali ed europee.

Governance: la definizione di politiche, di processi e di momenti di controllo supporta la creazione di una cultura condivisa e favorisce la sensibilizzazione del personale e la responsabilizzazione del management in materia di protezione dei dati personali.

Business: l’esistenza di un sistema di gestione consolida la fiducia di clienti, fornitori e partner e aumenta il loro grado di soddisfazione nei confronti dell’organizzazione.

Conoscere e implementare la Privacy” può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/

Le responsabilità del Data Protection Officer.

Il Data Protection Officer è una figura di garanzia che opera in autonomia e non riceve dal Titolare o dal Responsabile che lo ha designato alcuna istruzione per quanto riguarda la protezione dei dati personali.

È tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti e, nel loro svolgimento, si interfaccia con il Titolare e/o il Responsabile, con gli interessati, con i dipendenti dell’organizzazione e con l’Autorità Garante.

È importante chiarire che dal ruolo di controllo assegnato al DPO in merito al rispetto del Regolamento non deriva una sua responsabilità personale nel caso in cui sia riscontrata un’inosservanza o una violazione del Regolamento a carico della organizzazione in cui il DPO opera. È infatti il Titolare ad avere la responsabilità di adottare le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alla legge.

Il DPO informa e fornisce consulenza al Titolare o al Responsabile, vigilando sull’applicazione delle norme e delle relative politiche aziendali, collaborando ad eventuali attività di audit, svolgendo attività di formazione, supportando l’organizzazione con informazioni e consigli mirati e fornendo, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati. Riceve, inoltre, la collaborazione delle funzioni organizzative che sono coinvolte a pieno titolo nel tema della protezione dei dati personali.

Gli interessati possono contattare il DPO per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti. Essi possono essere sia esterni all’organizzazione (clienti o associati) sia interni alla stessa (dipendenti): i dati di contatto del DPO sono perciò riportati nelle Informative cartacee e/o elettroniche (sito web).

Per quanto riguarda l’interazione con dipendenti e collaboratori del Titolare o del Responsabile, il DPO vigila sull’osservanza della norma in merito all’attribuzione dei ruoli e delle responsabilità all’interno dell’organizzazione, della formazione del personale che partecipa ai trattamenti e delle connesse attività di controllo.

È inoltre compito del DPO cooperare e fungere da punto di contatto per l’Autorità per le questioni connesse al trattamento, per rispondere a eventuali richieste del Garante o per effettuare, se del caso, opportune consultazioni relativamente a qualunque altra questione, come nel caso in cui si renda necessaria una consultazione preventiva in conseguenza del risultato della valutazione d’impatto preliminare.

 

Per approfondimenti si rimanda al libro “Conoscere e implementare la Privacy”.

Il libro può essere ordinato in formato cartaceo al link http://www.youcanprint.it/fiction/business-ed-economia-generale/conoscere-e-implementare-la-privacy-9788892665354.html.

In formato e-pub è disponibile al link www.amazon.it/dp/B071X2V3HR

La prima parte del libro in formato pdf può essere invece richiesta direttamente a: www.privacyinchiaro.it/conoscere-implementare-la-privacy/