Fulvia Emegian - Monica Perego

Slides:



Advertisements
Presentazioni simili
Il nuovo portale del TT B. Checcucci A. Alaimo F. Cantini Bruno Checcucci Roma, 5/6/2013.
Advertisements

Lunedì Pomeriggio della Qualità 21 marzo maggio luglio settembre novembre 2016.
Progettare e programmare PROF.SENAREGA. Progettazione nella scuola  Processo mirato a definire e descrivere le finalità e le caratteristiche o modalità.
Verso un sistema universitario di convalida dell'apprendimento non formale e informale. Il caso del CdL FSRU – Roma Tre Paolo Di Rienzo Firenze, 23 novembre.
L’avvio della valutazione del sistema educativo di istruzione, secondo il procedimento previsto dall’art. 6 del D.P.R. n. 80/2013, costituisce un passo.
1 L’insieme delle regole, delle procedure, delle strutture organizzative volte a consentire - attraverso un adeguato processo di identificazione, misurazione,
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
“Semplificazione della P.A.C.” Analisi dettagliata della proposta della Commissione Riunione del 1° marzo 2007 Ente Nazionale Risi.
SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D
Il procedimento amministrativo è
Il Responsabile della protezione dei dati:
LE VARIAZIONI DI BILANCIO
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (7)
LIBERA CIRCOLAZIONE DEI DATI E PUBBLICO INTERESSE
Management e Certificazione della Qualità
 I contratti pubblici sono soggetti a collaudo per i lavori e a verifica di conformità per i servizi e per le forniture, per certificare che l'oggetto.
LA GESTIONE DELLE RISORSE UMANE
Il comitato europeo per la protezione dei dati
Gestione dei sistemi qualità, applicabili a qualunque tipo di azienda
PROCEDURE DI AFFIDAMENTO
CORSO DI FORMAZIONE PER PREPOSTI [ex D.Lgs ]
Sportello autismo CTS Parma
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (6)
Tutela della privacy: la trasmissione dei Dati personali nella gestione dei sistemi complessi in medicina Convegno ITC- Privacy e Tutela dei dati in sanità.
 I contratti pubblici sono soggetti a collaudo per i lavori e a verifica di conformità per i servizi e per le forniture, per certificare che l'oggetto.
PROCEDURE DI AFFIDAMENTO
Dott.ssa Marisa Bertacca
Seminario Le Autorità di Certificazione nella programmazione 2007/2013
DIRITTO DELL’UNIONE EUROPEA I diritti fondamentali
DIRITTO DELL’UNIONE EUROPEA
DIRETTIVA mifid II NOVEMBRE 2017.
PEDAGOGIA SPERIMENTALE
Consulenza legale, fiscale e strategica alle imprese
Utilizzo del lavoro di altri Revisori
Aggiornato al D. Lgs. n. 185 del 2016
G.D.P.R. – Sintesi e proposizione
Diritto dell’Unione europea XXIV Lezione
Avv. Umberto Fantigrossi
Il nuovo Regolamento Generale UE 2016/679
IL NUOVO REGOLAMENTO PRIVACY: ADEMPIMENTI PER GLI AVVOCATI
Il ruolo del tutor aziendale nei percorsi di Alternanza Scuola Lavoro
GDPR – IL COME R.EU 2016/679 Andrea Chiozzi, Warrant Group
La struttura ricorsiva dell’ordinamento giuridico e sua «originarietà»
Corso di Diritto Tributario - Prof. Stefano Mazzocchi.
La Riforma Del Diritto Fallimentare
Prof. Avv. Alberto Gambino
RIVOLUZIONE PRIVACY 2018.
CREDITO DI IMPOSTA PER LE SPESE DI FORMAZIONE industria 4.0.
Il Codice etico nei modelli ex D.Lgs. n. 231/2001
PROGRAMMAZIONE ATTIVITA’ DICEMBRE 2013 – LUGLIO 2015 INVITI 2 – 3/2013
Prevenzione e contrasto del fenomeno del cyberbullismo
Bullismo e cyberbullismo Obblighi ed iniziative previsti dalla legge per la prevenzione ed il contrasto del fenomeno da parte delle Scuole.
Il preposto.
PROCEDURE DI AFFIDAMENTO
BROCHURE COMPLIANCE.
Lezione N° 6 L’organizzazione
IL DIRITTO ALLA PRIVACY
Il Conflitto di Interesse negli Appalti
Lezione N° 6 L’organizzazione
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a
Camera di Commercio di Fermo
Aspetti normativi del D.Lvo n. 196 del 2003
DECRETO LEGISLATIVO 13 aprile 2017, n. 62
Le strutture organizzative del
Lezione N° 6 L’organizzazione
Lezione N° 6 L’organizzazione
Comunicazione d’impresa e Responsabilità Sociale d’Impresa
La tutela della Privacy al triage Dott.ssa Assunta De Luca
QUALITA’ ED ACCREDITAMENTO
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

Fulvia Emegian - Monica Perego Le attività di audit con il nuovo Regolamento Europeo sulla protezione dei dati Roma, 13 ottobre 2016 VI Privacy Day Forum Fulvia Emegian - Monica Perego

Obiettivo dell’intervento: focalizzare gli aspetti riguardanti l'audit presenti nel Regolamento Europeo sulla Protezione dei Dati

Considerando e lettura trasversale del Regolamento "Considerando" - suggeriamo ai fini della comprensione del tema, la lettura dei seguenti: 74, 75, 76, 77, 78, 79, 81 e 100 “Lettura trasversale” – ricerca di temi ricorrenti (es. «audit» nella versione in inglese)

Qualche riflessione sulla traduzione La scelta di confrontarci con la versione inglese del GDPR è motivata : il concetto di «audit» e quello di «privacy» hanno entrambe origine nella cultura e nell'etica anglosassoni la versione italiana è stata ufficialmente tradotta a partire da quella inglese.

Qualche riflessione sulla traduzione Alcuni aspetti rispetto alla traduzione del termine audit presenti nel Regolamento: Nella versione inglese del Regolamento il termine audit è citato in 4 articoli (28, 39, 47 e 58). Nella versione italiana del Regolamento il termine “audit” non è mai citato. Confrontando le traduzioni si può verificare che il termine “audit” è stato tradotto con tre diversi termini: “revisione”, “controllo” e “verifica”.

Articolo - titolo Versione in italiano Versione in inglese Art. 28 Responsabile del trattamento attività di revisione, comprese le ispezioni contribute to audits, including inspections Art. 39 Compiti del Responsabile della protezione dei dati sorvegliare (...) la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo to monitor (...) the training of staff involved in processing operations, and the related audits Art. 47 Norme vincolati di impresa verifiche sulla protezione dei dati data protection audit Art. 58 Poteri (dell’autorità di controllo capofila) Condurre indagini sotto forma di attività di revisione sulla protezione dei dati to carry out investigations in the form of data protection audits

cini boeri ghost

Il Ruolo del Titolare nelle attività di audit Riferimenti Art. 24, comma 1-2-3 Responsabilità del Titolare del trattamento “..Titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario..” “” L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione “”  

Protezione dei dati dalla progettazione e per default Riferimenti Art. 25, comma 1-2-3 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita “.. il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la …”   “..Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.”

Riferimenti Art. 28, comma 1-2-3 Il Responsabile del trattamento “ Il contratto o altro atto giuridico prevede, in particolare, che il Responsabile del trattamento: a) tratti i dati personali soltanto su istruzione documentata… b) garantisca che le persone autorizzate al trattamento dei dati personali si siano … … h) metta a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, («audit» nella versione in inglese) comprese le ispezioni, realizzati dal Titolare del trattamento o da un altro soggetto da questi incaricato.

Riferimenti Art. 37, comma 1-2-3-4-5-6-7 Designazione del Responsabile della protezione dei dati “…Il Responsabile della protezione dei dati può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.”

Riferimenti Articolo 38, comma 1-2-3-4-5-6 Posizione del responsabile della protezione dei dati 1. Il Titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.   2. Il Titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica. 3. Il Titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del Titolare del trattamento o del responsabile del trattamento. “

Riferimenti Art. 39, comma 1-2 I Compiti del Responsabile della protezione dei dati 1.Il Responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: … “..b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;”

Riferimenti Art. 47, comma 2 (j) Le Norme vincolanti d'impresa 2. Le norme vincolanti d'impresa di cui al paragrafo 1 specificano almeno: “.. i meccanismi all'interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune per garantire la verifica della conformità alle norme vincolanti d'impresa. Tali meccanismi comprendono verifiche sulla protezione dei dati e metodi per assicurare provvedimenti correttivi intesi a proteggere i diritti dell'interessato. I risultati di tale verifica dovrebbero essere comunicati alla persona o entità di cui alla lettera h) e all'organo amministrativo dell'impresa controllante del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune e dovrebbero essere disponibili su richiesta all'autorità di controllo competente…”

vico magistretti nuvola rossa

L’audit ai processi a carico del Responsabile della Protezione dei Dati In un sistema di gestione della privacy, che si basa sul Regolamento, è possibile effettuare degli audit sui processi gestiti sotto il governo del Responsabile della protezione dei dati, in particolare, quelli elencati nell’Articolo 39?

La risposta è positiva! il Regolamento nulla indica in merito a tali audit e quindi non li vieta in modo esplicito; prevedere audit su tutti i processi aziendali è un elemento di garanzia del sistema di gestione applicato; l’audit, in ogni caso, non è svolto sulla persona, ma suoi processi presidiati da una funzione (Art. 39); l’effettuazione di audit anche sui processi aziendali di competenza del DPO non mina la sua autonomia, ma permette di avere informazioni ulteriori sul grado di presidio dei processi di sua competenza;

l’effettuazione di audit anche sui processi aziendali di competenza del DPO non mina la sua autonomia, ma permette di avere informazioni ulteriori sul grado di presidio dei processi di sua competenza; … per risolvere eventuali conflitti è auspicabile che l’audit sui processi a carico del DPO, sia condotto da un soggetto esterno all’organizzazione, ovviamente qualificato.  

bruno munari cubovo

L’audit sulla funzione del Responsabile della Protezione dei Dati Durante l’audit al Responsabile della Protezione dei Dati occorre cercare evidenze che egli: sia effettivamente, tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali; sia fornito, dal Titolare e dal Responsabile, delle risorse necessarie per assolvere ai sui compiti, accedere ai dati personali e ai trattamenti e per mantenere la conoscenza specialistica; non riceva alcuna istruzione per quanto riguarda l'esecuzione dei compiti assegnati, non sia rimosso o penalizzato per l'adempimento dei propri compiti; riferisca direttamente al vertice gerarchico del Titolare o del Responsabile del trattamento ….. (vedi Art. 38)

In conclusione: La figura del DPO si deve ancora diffondere, confrontare con la realtà. Ciò permetterà di dirimere le questioni sollevate. Ci siamo limitate, in questa sede, a segnalare la problematica ed a sostenere le motivazioni a favore dell’audit come misura universale di mitigazione dei rischi.

di Emegian F. e Perego M., Wolters Kluwer , Milano 2016. Per approfondire: “Privacy & Audit” di Emegian F. e Perego M., Wolters Kluwer , Milano 2016. In pubblicazione con un capitolo specifico sul Regolamento Europeo “Manuale’’ per conoscere e condurre audit della privacy: taglio didattico ampio utilizzo di esempi concreti commentati interamente basato sulle Linee Guida per l’audit di Sistemi di gestione (ISO 19011:2012)

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.