Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
1
Fulvia Emegian - Monica Perego
Le attività di audit con il nuovo Regolamento Europeo sulla protezione dei dati Roma, 13 ottobre 2016 VI Privacy Day Forum Fulvia Emegian - Monica Perego
2
Obiettivo dell’intervento:
focalizzare gli aspetti riguardanti l'audit presenti nel Regolamento Europeo sulla Protezione dei Dati
3
Considerando e lettura trasversale del Regolamento
"Considerando" - suggeriamo ai fini della comprensione del tema, la lettura dei seguenti: 74, 75, 76, 77, 78, 79, 81 e 100 “Lettura trasversale” – ricerca di temi ricorrenti (es. «audit» nella versione in inglese)
4
Qualche riflessione sulla traduzione
La scelta di confrontarci con la versione inglese del GDPR è motivata : il concetto di «audit» e quello di «privacy» hanno entrambe origine nella cultura e nell'etica anglosassoni la versione italiana è stata ufficialmente tradotta a partire da quella inglese.
5
Qualche riflessione sulla traduzione
Alcuni aspetti rispetto alla traduzione del termine audit presenti nel Regolamento: Nella versione inglese del Regolamento il termine audit è citato in 4 articoli (28, 39, 47 e 58). Nella versione italiana del Regolamento il termine “audit” non è mai citato. Confrontando le traduzioni si può verificare che il termine “audit” è stato tradotto con tre diversi termini: “revisione”, “controllo” e “verifica”.
6
Articolo - titolo Versione in italiano Versione in inglese Art. 28 Responsabile del trattamento attività di revisione, comprese le ispezioni contribute to audits, including inspections Art. 39 Compiti del Responsabile della protezione dei dati sorvegliare (...) la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo to monitor (...) the training of staff involved in processing operations, and the related audits Art. 47 Norme vincolati di impresa verifiche sulla protezione dei dati data protection audit Art. 58 Poteri (dell’autorità di controllo capofila) Condurre indagini sotto forma di attività di revisione sulla protezione dei dati to carry out investigations in the form of data protection audits
7
cini boeri ghost
8
Il Ruolo del Titolare nelle attività di audit
Riferimenti Art. 24, comma Responsabilità del Titolare del trattamento “..Titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario..” “” L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione “”
9
Protezione dei dati dalla progettazione e per default
Riferimenti Art. 25, comma Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita “.. il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la …” “..Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.”
10
Riferimenti Art. 28, comma 1-2-3 Il Responsabile del trattamento
“ Il contratto o altro atto giuridico prevede, in particolare, che il Responsabile del trattamento: a) tratti i dati personali soltanto su istruzione documentata… b) garantisca che le persone autorizzate al trattamento dei dati personali si siano … … h) metta a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, («audit» nella versione in inglese) comprese le ispezioni, realizzati dal Titolare del trattamento o da un altro soggetto da questi incaricato.
11
Riferimenti Art. 37, comma 1-2-3-4-5-6-7 Designazione del Responsabile della protezione dei dati
“…Il Responsabile della protezione dei dati può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.”
12
Riferimenti Articolo 38, comma 1-2-3-4-5-6 Posizione del responsabile della protezione dei dati
1. Il Titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. 2. Il Titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica. 3. Il Titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del Titolare del trattamento o del responsabile del trattamento. “
13
Riferimenti Art. 39, comma 1-2 I Compiti del Responsabile della protezione dei dati
1.Il Responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: … “..b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;”
14
Riferimenti Art. 47, comma 2 (j) Le Norme vincolanti d'impresa
2. Le norme vincolanti d'impresa di cui al paragrafo 1 specificano almeno: “.. i meccanismi all'interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune per garantire la verifica della conformità alle norme vincolanti d'impresa. Tali meccanismi comprendono verifiche sulla protezione dei dati e metodi per assicurare provvedimenti correttivi intesi a proteggere i diritti dell'interessato. I risultati di tale verifica dovrebbero essere comunicati alla persona o entità di cui alla lettera h) e all'organo amministrativo dell'impresa controllante del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune e dovrebbero essere disponibili su richiesta all'autorità di controllo competente…”
15
vico magistretti nuvola rossa
16
L’audit ai processi a carico del Responsabile della Protezione dei Dati
In un sistema di gestione della privacy, che si basa sul Regolamento, è possibile effettuare degli audit sui processi gestiti sotto il governo del Responsabile della protezione dei dati, in particolare, quelli elencati nell’Articolo 39?
17
La risposta è positiva! il Regolamento nulla indica in merito a tali audit e quindi non li vieta in modo esplicito; prevedere audit su tutti i processi aziendali è un elemento di garanzia del sistema di gestione applicato; l’audit, in ogni caso, non è svolto sulla persona, ma suoi processi presidiati da una funzione (Art. 39); l’effettuazione di audit anche sui processi aziendali di competenza del DPO non mina la sua autonomia, ma permette di avere informazioni ulteriori sul grado di presidio dei processi di sua competenza;
18
l’effettuazione di audit anche sui processi aziendali di competenza del DPO non mina la sua autonomia, ma permette di avere informazioni ulteriori sul grado di presidio dei processi di sua competenza; … per risolvere eventuali conflitti è auspicabile che l’audit sui processi a carico del DPO, sia condotto da un soggetto esterno all’organizzazione, ovviamente qualificato.
19
bruno munari cubovo
20
L’audit sulla funzione del Responsabile della Protezione dei Dati
Durante l’audit al Responsabile della Protezione dei Dati occorre cercare evidenze che egli: sia effettivamente, tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali; sia fornito, dal Titolare e dal Responsabile, delle risorse necessarie per assolvere ai sui compiti, accedere ai dati personali e ai trattamenti e per mantenere la conoscenza specialistica; non riceva alcuna istruzione per quanto riguarda l'esecuzione dei compiti assegnati, non sia rimosso o penalizzato per l'adempimento dei propri compiti; riferisca direttamente al vertice gerarchico del Titolare o del Responsabile del trattamento ….. (vedi Art. 38)
21
In conclusione: La figura del DPO si deve ancora diffondere, confrontare con la realtà. Ciò permetterà di dirimere le questioni sollevate. Ci siamo limitate, in questa sede, a segnalare la problematica ed a sostenere le motivazioni a favore dell’audit come misura universale di mitigazione dei rischi.
22
di Emegian F. e Perego M., Wolters Kluwer , Milano 2016.
Per approfondire: “Privacy & Audit” di Emegian F. e Perego M., Wolters Kluwer , Milano 2016. In pubblicazione con un capitolo specifico sul Regolamento Europeo “Manuale’’ per conoscere e condurre audit della privacy: taglio didattico ampio utilizzo di esempi concreti commentati interamente basato sulle Linee Guida per l’audit di Sistemi di gestione (ISO 19011:2012)
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.