Articoli

Obiettivo Data Protection Officer: Hedya presenta i percorsi formativi più adeguati

Chi è il Data Protection Officer?

 

Con l’entrata in vigore del nuovo Regolamento 2016/679/Ue (articoli 37 – 39) è stata introdotta, per tutti gli Stati membri, la figura del Data Protection Officer. Si tratta di una figura che richiama il cd. “Privacy Officer”, precedentemente previsto dall’articolo 18 della direttiva europea 1995/46/Ce, che istituiva semplificazioni o agevolazioni in caso di designazione di un soggetto indipendente, teso a garantire l’applicazione della normativa.

Pertanto, la codificazione della figura del Data Protection Officer (in seguito “DPO”) ha acquisito un’indiscussa centralità e dirompenza, tanto a livello statuale, quanto a livello europeo:

  • le comunicazioni dei dati di contatto dei responsabili della protezione dei dati siano state più di 48mila.
  • secondo uno studio condotto dall’IAPP (International Association of Privacy Professionals), il numero delle nomine a livello europeo supererebbe le soglie delle 500 mila unità.

 

Il DPO è dunque un soggetto indipendente, che non sostituisce, ma affianca il titolare o il responsabile del trattamento nella corretta gestione del trattamento dei dati personali.

La funzione del DPO è nettamente distinta da quelle del Titolare del trattamento:

  • spetta al Titolare la determinazione delle modalità e finalità del trattamento, oltre che all’ottemperanza degli adempimenti (come, ad esempio, il registro dei trattamenti);
  • il DPO assolve, ai sensi dell’articolo 39 GDPR, una funzione controllo e monitoraggio degli adempimenti e del rispetto delle prescrizioni previste dal Regolamento, ad esempio per l’esecuzione della valutazione d’impatto, la definizione del registro dei trattamenti, o la gestione delle terze parti.

Quale formazione?

 

Il DPO non richiede, tra i requisiti, il necessario possesso di certificazioni. L’articolo 37 del GDPR non fornisce un elenco analitico delle qualità professionali che dovrebbero essere considerate al momento della designazione del DPO. Pertanto, come affermato nella pronuncia del TAR Friuli Venezia Giulia, sent. 13/9/2018 n. 287  la certificazione di Auditor/Lead Auditor ISO/IEC/27001 non costituisce un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati.

Il Garante privacy ha specificato che è opportuno privilegiare i soggetti in possesso di approfondita conoscenza:

  • della normativa e delle prassi in materia di privacy nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento;
  • dei rischi propri di ciascun trattamento dati e delle più appropriate misure di sicurezza;

Inoltre, il DPO deve possedere evidenti e concrete qualità professionali e gestionali, adeguate alla complessità del compito da svolgere, che possono essere supportate da esperienze formative.

 

Per tali motivi, Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Installazione cookie: la Corte di giustizia “detta” nuove regole

I cookie sotto la lente del GDPR

Come osservato nel precedente articolo, i cookie sono informazioni immesse sul browser ogniqualvolta si compia un’operazione in rete. Si pensi, ad esempio, alla navigazione in rete e visita di un sito web, oppure all’utilizzo di un social network dal proprio pc, smartphone tablet.

Dal punto di vista informativo, ogni cookie può contenere diversi dati, imponendo in tal caso il rispetto dei principi sulla protezione dati.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR), sono stati rafforzati i requisiti sulla validità del consenso: come risulta dall’art. 7 comma 1 del GDPR e del Considerando 32 il consenso dovrà essere espresso mediante un atto positivo con cui l’interessato esprime la propria intenzione libera, specifica, informata ed inequivocabile di accettare il trattamento dei dati personali che lo riguardano.

Di conseguenza, per poter essere validamente conferito, l’interessato:

  • deve essere in grado di intendere quali trattamenti verranno effettuati;
  • può decidere liberamente se accettare o meno (senza alcuna conseguenza negativa) il trattamento indicato;
  • può modificare la propria scelta in maniera altrettanto libera e agevole.

 

Quale consenso? La Corte di giustizia dell’Unione europea detta le regole

 

Alla luce delle novità introdotte dal GDPR, l’aspetto più problematico riguarda le modalità di prestazione del consenso per l’installazione dei cookies.

Il quesito è stato sottoposto alla Corte di giustizia dell’Unione europea, per ottenere un’interpretazione uniforme sull’intero territorio dell’Unione europea.

Con la sentenza emanata lo scorso 1 Ottobre, la Corte ha dichiarato che il consenso che l’utente di un sito Internet deve prestare ai fini dell’installazione e della consultazione di cookie sulla sua apparecchiatura terminale non è validamente espresso mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso.

La Corte ha dunque affermato che:

  • il consenso deve essere specifico;
  • il fatto che un utente attivi il pulsante di partecipazione ad un gioco a premi non è sufficiente per ritenere che l’utente abbia validamente espresso il proprio consenso all’installazione di cookie;
  • il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie rientrano tra le informazioni che il fornitore di servizi deve comunicare all’utente.

 

Quali conseguenze ?

La recente sentenza della Corte di giustizia dimostra che per poter operare correttamente sul web, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR. Si suggerisce:

 

/da

Un anno di GDPR in Italia: l’importanza della formazione come vantaggio competitivo

corso-gdpr

Cosa cambia?

L’introduzione del Regolamento europeo sulla protezione dati personali n. 679/2016/UE (“GDPR”) ha portato all’abrogazione della Direttiva 95/46/CE, che per più di venti anni ha rappresentato la pietra angolare della normativa europea in materia di protezione dei dati personali. Con il GDPR, in particolare, la protezione dei dati personali si è affermata quale presupposto necessario e indefettibile da osservare nell’ambito di tutte le operazioni di trattamento dati, effettuate:

  • non solo da operatori privati,
  • ma anche per quelle compiute dalla Pubblica Amministrazione nell’esercizio della propria attività.

 

Dal punto di vista operativo, inoltre, ciò si è tradotto nella necessità di adeguare l’impianto organizzativo italiano al nuovo approccio adottato dal legislatore dell’Unione, basato sul rispetto del principio dell’accountability e della privacy by design e by default.

L’avvento del GDPR segna così l’inizio di un vero e proprio percorso di conformità del trattamento dati per gli operatori pubblici e privati, orientato alla protezione dei dati per garantire i diritti dell’interessato.

Tale percorso non si esaurisce nella predisposizione di adeguate misure tecniche ed organizzative, ma richiede altresì un percorso di formazione adeguato per evitare provvedimenti sanzionatori da parte dell’Autorità di controllo.

Il GDPR presta molta attenzione agli obblighi formativi. Essi sono previsti, in particolare, dall’articolo 39, paragrafo 1, lett. b), il quale attribuisce, tra i compiti del Data Protection Officer, quello di “sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”. A tal fine il DPO può concordare con il Titolare e il Responsabile del Trattamento un piano per la formazione in materia di privacy, che preveda corsi periodici per personale e, più in generale, per tutti i collaboratori.

 

Perché optare per una corretta formazione?

 

A distanza di almeno un anno dalla piena entrata in vigore del GDPR, tuttavia, i risultati conseguiti in Italia non risultano soddisfacenti:

  • secondo l’Eurobarometro diffuso dalla Commissione europeai cittadini italiani figurano al penultimo posto per conoscenza dell’esistenza di una normativa in materia di protezione dati;
  • già a Settembre 2018, a distanza di soli 4 mesi dall’entrata in vigore del nuovo regolamento,le segnalazioni e i reclami pervenuti al Garante Privacy sono stati 2.547, a fronte dei 1.795 pervenuti nello stesso periodo dello scorso anno, mentre le segnalazioni di Data breach sono state 305;
  • oltre 89.000 notifiche di violazione dei dati sono state segnalate da maggio 2018, provenienti da organizzazioni sia pubbliche che private.

 

Una corretta formazione si propone, dunque, come condizione imprescindibile.  Il GDPR, tuttavia, non specifica le modalità e contenuti, richiedendo soltanto che la stessa risulti efficace.

 

Cosa fare?

Si suggeriscono, in relazione alle differenti esigenze formative, alcuni percorsi caratterizzanti:

  • Formazione breve: consente ai partecipanti di ottenere un’adeguata formazione in materia di gestione dei dati personali. Tale percorso risulta particolarmente rilevante per il settore pubblico, ove l’obbligo di formazione per le Pubbliche Amministrazioni le imprese in materia di protezione dei dati personaliper tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).
  • Formazione avanzata: fornisce ai partecipanti, che hanno già acquisito le conoscenze di base di natura giuridica e organizzativa, le nozioni pratico-applicative di base per lo svolgimento effettivo delle attività. Tale percorso è particolarmente utile per le attività che competono al Responsabile per la protezione dei dati personali (Data Protection Officer o DPO), proponendosi come approfondimento – in chiave tecnica – delle conoscenze di base già acquisite in precedenza.
/da

Elementi di portfolio

Optimization WordPress Plugins & Solutions by W3 EDGE