La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Fulvia Emegian - Monica Perego

PubblicatoAnnalisa Bevilacqua Modificato 7 anni fa

Presentazioni simili

Presentazione sul tema: "Fulvia Emegian - Monica Perego"— Transcript della presentazione:

1 Fulvia Emegian - Monica Perego
Le attività di audit con il nuovo Regolamento Europeo sulla protezione dei dati Roma, 13 ottobre 2016 VI Privacy Day Forum Fulvia Emegian - Monica Perego

2 Obiettivo dell’intervento:
focalizzare gli aspetti riguardanti l'audit presenti nel Regolamento Europeo sulla Protezione dei Dati

3 Considerando e lettura trasversale del Regolamento
"Considerando" - suggeriamo ai fini della comprensione del tema, la lettura dei seguenti: 74, 75, 76, 77, 78, 79, 81 e 100 “Lettura trasversale” – ricerca di temi ricorrenti (es. «audit» nella versione in inglese)

4 Qualche riflessione sulla traduzione
La scelta di confrontarci con la versione inglese del GDPR è motivata : il concetto di «audit» e quello di «privacy» hanno entrambe origine nella cultura e nell'etica anglosassoni la versione italiana è stata ufficialmente tradotta a partire da quella inglese.

5 Qualche riflessione sulla traduzione
Alcuni aspetti rispetto alla traduzione del termine audit presenti nel Regolamento: Nella versione inglese del Regolamento il termine audit è citato in 4 articoli (28, 39, 47 e 58). Nella versione italiana del Regolamento il termine “audit” non è mai citato. Confrontando le traduzioni si può verificare che il termine “audit” è stato tradotto con tre diversi termini: “revisione”, “controllo” e “verifica”.

6 Articolo - titolo Versione in italiano Versione in inglese Art. 28 Responsabile del trattamento attività di revisione, comprese le ispezioni contribute to audits, including inspections Art. 39 Compiti del Responsabile della protezione dei dati sorvegliare (...) la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo to monitor (...) the training of staff involved in processing operations, and the related audits Art. 47 Norme vincolati di impresa verifiche sulla protezione dei dati data protection audit Art. 58 Poteri (dell’autorità di controllo capofila) Condurre indagini sotto forma di attività di revisione sulla protezione dei dati to carry out investigations in the form of data protection audits

7 cini boeri ghost

8 Il Ruolo del Titolare nelle attività di audit
Riferimenti Art. 24, comma Responsabilità del Titolare del trattamento “..Titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario..” “” L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione “”

9 Protezione dei dati dalla progettazione e per default
Riferimenti Art. 25, comma Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita “.. il Titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la …” “..Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.”

10 Riferimenti Art. 28, comma 1-2-3 Il Responsabile del trattamento
“ Il contratto o altro atto giuridico prevede, in particolare, che il Responsabile del trattamento: a) tratti i dati personali soltanto su istruzione documentata… b) garantisca che le persone autorizzate al trattamento dei dati personali si siano … h) metta a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, («audit» nella versione in inglese) comprese le ispezioni, realizzati dal Titolare del trattamento o da un altro soggetto da questi incaricato.

11 Riferimenti Art. 37, comma 1-2-3-4-5-6-7 Designazione del Responsabile della protezione dei dati
“…Il Responsabile della protezione dei dati può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.”

12 Riferimenti Articolo 38, comma 1-2-3-4-5-6 Posizione del responsabile della protezione dei dati
1. Il Titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. 2. Il Titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell'esecuzione dei compiti di cui all'articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica. 3. Il Titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l'esecuzione di tali compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del Titolare del trattamento o del responsabile del trattamento. “

13 Riferimenti Art. 39, comma 1-2 I Compiti del Responsabile della protezione dei dati
1.Il Responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: “..b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;”

14 Riferimenti Art. 47, comma 2 (j) Le Norme vincolanti d'impresa
2. Le norme vincolanti d'impresa di cui al paragrafo 1 specificano almeno: “.. i meccanismi all'interno del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune per garantire la verifica della conformità alle norme vincolanti d'impresa. Tali meccanismi comprendono verifiche sulla protezione dei dati e metodi per assicurare provvedimenti correttivi intesi a proteggere i diritti dell'interessato. I risultati di tale verifica dovrebbero essere comunicati alla persona o entità di cui alla lettera h) e all'organo amministrativo dell'impresa controllante del gruppo imprenditoriale o del gruppo di imprese che svolgono un'attività economica comune e dovrebbero essere disponibili su richiesta all'autorità di controllo competente…”

15 vico magistretti nuvola rossa

16 L’audit ai processi a carico del Responsabile della Protezione dei Dati
In un sistema di gestione della privacy, che si basa sul Regolamento, è possibile effettuare degli audit sui processi gestiti sotto il governo del Responsabile della protezione dei dati, in particolare, quelli elencati nell’Articolo 39?

17 La risposta è positiva! il Regolamento nulla indica in merito a tali audit e quindi non li vieta in modo esplicito; prevedere audit su tutti i processi aziendali è un elemento di garanzia del sistema di gestione applicato; l’audit, in ogni caso, non è svolto sulla persona, ma suoi processi presidiati da una funzione (Art. 39); l’effettuazione di audit anche sui processi aziendali di competenza del DPO non mina la sua autonomia, ma permette di avere informazioni ulteriori sul grado di presidio dei processi di sua competenza;

18 l’effettuazione di audit anche sui processi aziendali di competenza del DPO non mina la sua autonomia, ma permette di avere informazioni ulteriori sul grado di presidio dei processi di sua competenza; per risolvere eventuali conflitti è auspicabile che l’audit sui processi a carico del DPO, sia condotto da un soggetto esterno all’organizzazione, ovviamente qualificato.

19 bruno munari cubovo

20 L’audit sulla funzione del Responsabile della Protezione dei Dati
Durante l’audit al Responsabile della Protezione dei Dati occorre cercare evidenze che egli: sia effettivamente, tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali; sia fornito, dal Titolare e dal Responsabile, delle risorse necessarie per assolvere ai sui compiti, accedere ai dati personali e ai trattamenti e per mantenere la conoscenza specialistica; non riceva alcuna istruzione per quanto riguarda l'esecuzione dei compiti assegnati, non sia rimosso o penalizzato per l'adempimento dei propri compiti; riferisca direttamente al vertice gerarchico del Titolare o del Responsabile del trattamento ….. (vedi Art. 38)

21 In conclusione: La figura del DPO si deve ancora diffondere, confrontare con la realtà. Ciò permetterà di dirimere le questioni sollevate. Ci siamo limitate, in questa sede, a segnalare la problematica ed a sostenere le motivazioni a favore dell’audit come misura universale di mitigazione dei rischi.

22 di Emegian F. e Perego M., Wolters Kluwer , Milano 2016.
Per approfondire: “Privacy & Audit” di Emegian F. e Perego M., Wolters Kluwer , Milano 2016. In pubblicazione con un capitolo specifico sul Regolamento Europeo “Manuale’’ per conoscere e condurre audit della privacy: taglio didattico ampio utilizzo di esempi concreti commentati interamente basato sulle Linee Guida per l’audit di Sistemi di gestione (ISO 19011:2012)

Scaricare ppt "Fulvia Emegian - Monica Perego"

Presentazioni simili

Il nuovo portale del TT B. Checcucci A. Alaimo F. Cantini Bruno Checcucci Roma, 5/6/2013.

Il nuovo portale del TT B. Checcucci A. Alaimo F. Cantini Bruno Checcucci Roma, 5/6/2013.
Lunedì Pomeriggio della Qualità 21 marzo 2016 24 maggio 2016 04 luglio 2016 26 settembre 2016 28 novembre 2016.

Lunedì Pomeriggio della Qualità 21 marzo maggio luglio settembre novembre 2016.
Progettare e programmare PROF.SENAREGA. Progettazione nella scuola  Processo mirato a definire e descrivere le finalità e le caratteristiche o modalità.

Progettare e programmare PROF.SENAREGA. Progettazione nella scuola  Processo mirato a definire e descrivere le finalità e le caratteristiche o modalità.
Verso un sistema universitario di convalida dell'apprendimento non formale e informale. Il caso del CdL FSRU – Roma Tre Paolo Di Rienzo Firenze, 23 novembre.

Verso un sistema universitario di convalida dell'apprendimento non formale e informale. Il caso del CdL FSRU – Roma Tre Paolo Di Rienzo Firenze, 23 novembre.
L’avvio della valutazione del sistema educativo di istruzione, secondo il procedimento previsto dall’art. 6 del D.P.R. n. 80/2013, costituisce un passo.

L’avvio della valutazione del sistema educativo di istruzione, secondo il procedimento previsto dall’art. 6 del D.P.R. n. 80/2013, costituisce un passo.
1 L’insieme delle regole, delle procedure, delle strutture organizzative volte a consentire - attraverso un adeguato processo di identificazione, misurazione,

1 L’insieme delle regole, delle procedure, delle strutture organizzative volte a consentire - attraverso un adeguato processo di identificazione, misurazione,
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.

Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
“Semplificazione della P.A.C.” Analisi dettagliata della proposta della Commissione Riunione del 1° marzo 2007 Ente Nazionale Risi.

“Semplificazione della P.A.C.” Analisi dettagliata della proposta della Commissione Riunione del 1° marzo 2007 Ente Nazionale Risi.
SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D

SICUREZZA E SALUTE SUL LAVORO D. LGS 81/2008 E LAVORO ATIPICO D
Il procedimento amministrativo è

Il procedimento amministrativo è
Il Responsabile della protezione dei dati:

Il Responsabile della protezione dei dati:
LE VARIAZIONI DI BILANCIO

LE VARIAZIONI DI BILANCIO
CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (7)

CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (7)
LIBERA CIRCOLAZIONE DEI DATI E PUBBLICO INTERESSE

LIBERA CIRCOLAZIONE DEI DATI E PUBBLICO INTERESSE
Management e Certificazione della Qualità

Management e Certificazione della Qualità
 I contratti pubblici sono soggetti a collaudo per i lavori e a verifica di conformità per i servizi e per le forniture, per certificare che l'oggetto.

 I contratti pubblici sono soggetti a collaudo per i lavori e a verifica di conformità per i servizi e per le forniture, per certificare che l'oggetto.
LA GESTIONE DELLE RISORSE UMANE

LA GESTIONE DELLE RISORSE UMANE
Il comitato europeo per la protezione dei dati

Il comitato europeo per la protezione dei dati
Gestione dei sistemi qualità, applicabili a qualunque tipo di azienda

Gestione dei sistemi qualità, applicabili a qualunque tipo di azienda
PROCEDURE DI AFFIDAMENTO

PROCEDURE DI AFFIDAMENTO

Presentazioni simili

Annunci Google