Pubblicato il

Rinnovati i servizi di aggiornamento per DPO e consulenti 231

Sono stati rinnovati i servizi on line di aggiornamento:
_  www.alert231.it inerente i modelli 231 e il D.lgs 231/01
www.clubdpo.com per l’aggiornamento del DPO
con la formula dell’abbonamento LITE, una nuova formula che assicura di ricevere sui rispettivi argomenti, tutte le novità in maniera puntuale e veloce, ad un prezzo molto contenuto!

Gli abbonamenti GOLD assicurano inoltre software professionale da utilizzare per un numero illimitato di aziende.

Pubblicato il

FAQ DPO – Come svolgere il piano di monitoraggio del DPO?

FAQ DPO – Come svolgere il piano di monitoraggio del DPO?

 


CORSO ON LINE AGGIORNAMENTO DPO

Il monitoraggio dell’attività del DPO svolto dal titolare del trattamento dei dati dovrebbe essere un’attività periodica anche se non obbligatoriamente prevista dalla vigente normativa sulla privacy.

Tale monitoraggio consiste nello svolgimento di attività di verifica delle azioni intraprese dal titolare del trattamento per garantire la conformità alla normativa sulla protezione dei dati personali, la verifica  che policy,  procedure e misure di sicurezza definite dal titolare del trattamento, siano effettivamente applicate.

Tali verifiche sostanzialmente e dal punto di vista operativo riguardano: informative, designazioni, basi giuridiche, misure di sicurezza, modalità e criteri con cui è stata effettuata l’analisi dei rischi.

Autore: Dr.  Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu

Guarda il profilo su Linkedin

Pubblicato il

FAQ: Organismo di vigilanza 231 e DPO sono ruoli compatibili?

FAQ: Organismo di vigilanza 231 e DPO sono ruoli compatibili?

L’associare la  figura dell’ Organismo di vigilanza 231 a quella del Data Protection Officer (DPO) è un dibattito che spesso si ritrova in molte aziende.

Vediamo di fare chiarezza una volta per tutte! 🙂

L’ODV, ha il ruolo di controllare e vigilare sul funzionamento e sull’applicazione corretta del Modello di Organizzazione, Gestione e Controllo adottato dall’azienda (art. 6 del Decreto Legislativo 231/2001)

Il D.Lgs 231/2001 non fornisce indicazioni riguardo la composizione dell’ODV  (monocratico o collegiale) e su eventuali  incompatibilità dei suoi componenti.
Su tale argomento si limita a specificare, sempre all’art. 6 ma comma 1 lett. b) che deve avere “autonomi poteri di iniziativa e di controllo” i quali garantiscano una vigilanza effettiva.

La figura di  Data Protection Officer, è stata introdotta dal GDPR (Regolamento UE 2016/679), e ha il compito di informare e fornire consulenza al titolare del trattamento sugli obblighi derivanti dalla normativa in materia di protezione dei dati personali e di sorvegliare l’osservanza della normativa applicabile e delle politiche del titolare in materia di protezione dei dati.

L’art. 39 del Reg Ue 2016/679 sottolinea come il DPO si deve occupare di responsabilizzare, sensibilizzare e formare il personale che partecipa ai trattamenti; di fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati; di cooperare con l’autorità di controllo e di fungere da punto di contatto per essa (art. 39 GDPR).

Il tutto in piena indipendenza e autonomia (considerando 97 del Reg. Ue 2016/679), riferendo soltanto all’alta direzione.

Quindi gli elementi comuni del DPO e dell’Organismo di vigilanza sono:
_ autonomia
_ indipendenza
_ attività di supervisione e controllo nei loro ambiti

La domanda è quindi: può la medesima figura occupare contemporaneamente il ruolo di DPO e di Membro Organismo di vigilanza?


CORSO ON LINE AGGIORNAMENTO DPO

Dal punto di vista normativa non vi è alcun divieto! Vi sono però due elementi da considerare.

1) Competenze specifiche
Al DPO sono richieste specifiche competenze in ambito privacy e data protection. Il membro dell’organismo di vigilanza deve possedere competenze diverse, più gestionali e pluri-settoriali (es. tecniche e giuridiche).

2) Conflitto d’interessi del DPO
Come emerge dalle linee guida del WP29 (WP 243 rev.01),  il DPO può ricoprire altre funzioni all’interno dell’organizzazione purchè queste non diano luogo a conflitti di interesse. Ovvero il DPO non può ricoprire posizioni che comportino la determinazione di finalità e modalità di trattamento di dati personali.
Il Garante ha  poi indicato nelle FAQ disponibili sul sito del Garante stesso, che il DPO non può ricoprire ruoli manageriali e direzionali, ruoli assimilabili per chi scrive anche all’Organismo di vigilanza 231.

Pertanto non è consigliabili fare ricoprire il ruolo di DPO e di membro organismo di vigilanza al medesimo soggetto.

Autore: Dr.  Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu

Guarda il profilo su Linkedin

Pubblicato il

Due nuovi bandi per incarico DPO Data Protection Officer con importi fino a 75.000 euro

Disponibili su www.preventivo.info due nuovi interessantissimi bandi per incarichi  DPO

Bando incarico DPO – Scadenza 8/6/2021 – Lombardia – Importo incarico: 75.000
Bando DPO – Regione Toscana – Scadenza 15/6/2021 – Importo: 40.000 euro

Pubblicato il

FAQ – Privacy DPO – Quali qualità professionali e titoli deve avere il DPO?

FAQ – Privacy DPO – Quali qualità professionali e titoli deve avere il DPO?

 

Al momento della definizione dei requisiti in base ai quali individuare il soggetto da incaricare quale DPO, l’ente pubblico deve evitare restrizioni all’accesso alle selezioni che possano risultare sproporzionate e ingiustificate rispetto alla figura
ritenuta necessaria, ma tenere in debita considerazione l’attinenza e la proporzionalità tra quanto richiesto (le qualità professionali di cui all’art. 37, par. 5, del Regolamento) e la complessità del compito da svolgere nel caso concreto (come il contesto in cui il DPO  sarà chiamato ad operare o le caratteristiche dei trattamenti effettuati dall’ente designante).

****** CORSO ON LINE AGGIORNAMENTO DPO ***********

Preliminarmente, si rende necessario che l’ente pubblico valuti le
qualità professionali, le conoscenze specialistiche e l’esperienza in materia di protezione dei dati
personali in capo alla figura da incaricare quale RPD, tenendo conto dei trattamenti che effettua,
prestando particolare cura, ad esempio, alla complessità dei trattamenti stessi, alla qualità e
quantità di dati personali trattati, all’esistenza di trasferimenti sistematici ovvero occasionali di
dati personali al di fuori dell’Unione europea.

Ciò comporta che, in ambito pubblico, il RPD debba certamente conoscere la normativa e le prassi nazionali ed europee in materia di protezione dei dati (a partire da un’approfondita conoscenza del Regolamento), nonché possedere
un’adeguata conoscenza anche delle norme e procedure amministrative che caratterizzano lo
specifico settore, in quanto la liceità del trattamento dei dati personali in questo ambito dipende
dalla corretta applicazione delle regole di volta in volta previste dalla disciplina di settore.

Per quanto concerne la conoscenza di norme e prassi in materia di protezione dei dati personali, essa può essere dimostrata, in primo luogo, attraverso una documentata esperienza professionale e/o anche attraverso la partecipazione ad attività formative specialistiche (ad esempio, master, corsi di studio e professionali, specie se risulta documentato il livello di
acquisizione delle conoscenze). Rientra in questo contesto anche la certificazione volontaria acquisita sulla base della norma tecnica italiana UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che può rappresentare un elemento utile di
valutazione della preparazione del candidato, ma non un’abilitazione di per sé aprioristica.

******* CORSO ON LINE ESPERTO DPO *****

Analogamente, la conoscenza specialistica sarà dimostrata dalle attività, dalle esperienze lavorative e professionali svolte, risultanti, ad esempio, dal curriculum e dalle autocertificazioni presentate. Particolare valore potrà assumere l’eventuale esperienza del candidato in organizzazioni simili a quella del titolare.

In tale contesto, preme in ogni caso evidenziare che la competenza a ricoprire il ruolo di RPD non può essere astrattamente riconosciuta in capo ad una qualsiasi figura per effetto del semplice possesso di specifici titoli (laurea, iscrizione ad un albo professionale, certificazione). Il titolare del trattamento è infatti tenuto a valutare nel complesso gli elementi previsti dall’art. 37, par. 5, del Regolamento e, qualora intenda richiedere un titolo di studio specifico, è chiamato a tenere in dovuta considerazione la proporzionalità tra quanto richiesto e la complessità del compito da svolgere nel caso concreto, comprovando le proprie scelte ai sensi degli artt. 5, par. 2, e 24 del Regolamento, a partire da un’adeguata motivazione nel provvedimento di assegnazione formale dell’incarico.

Fonte: Linee guida Garante Privacy – Documento di indirizzo su designazione, posizione e compiti del
Responsabile della protezione dei dati (RPD) in ambito pubblico