Pubblicato il

FAQ: Organismo di vigilanza 231 e DPO sono ruoli compatibili?

FAQ: Organismo di vigilanza 231 e DPO sono ruoli compatibili?

L’associare la  figura dell’ Organismo di vigilanza 231 a quella del Data Protection Officer (DPO) è un dibattito che spesso si ritrova in molte aziende.

Vediamo di fare chiarezza una volta per tutte! 🙂

L’ODV, ha il ruolo di controllare e vigilare sul funzionamento e sull’applicazione corretta del Modello di Organizzazione, Gestione e Controllo adottato dall’azienda (art. 6 del Decreto Legislativo 231/2001)

Il D.Lgs 231/2001 non fornisce indicazioni riguardo la composizione dell’ODV  (monocratico o collegiale) e su eventuali  incompatibilità dei suoi componenti.
Su tale argomento si limita a specificare, sempre all’art. 6 ma comma 1 lett. b) che deve avere “autonomi poteri di iniziativa e di controllo” i quali garantiscano una vigilanza effettiva.

La figura di  Data Protection Officer, è stata introdotta dal GDPR (Regolamento UE 2016/679), e ha il compito di informare e fornire consulenza al titolare del trattamento sugli obblighi derivanti dalla normativa in materia di protezione dei dati personali e di sorvegliare l’osservanza della normativa applicabile e delle politiche del titolare in materia di protezione dei dati.

L’art. 39 del Reg Ue 2016/679 sottolinea come il DPO si deve occupare di responsabilizzare, sensibilizzare e formare il personale che partecipa ai trattamenti; di fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati; di cooperare con l’autorità di controllo e di fungere da punto di contatto per essa (art. 39 GDPR).

Il tutto in piena indipendenza e autonomia (considerando 97 del Reg. Ue 2016/679), riferendo soltanto all’alta direzione.

Quindi gli elementi comuni del DPO e dell’Organismo di vigilanza sono:
_ autonomia
_ indipendenza
_ attività di supervisione e controllo nei loro ambiti

La domanda è quindi: può la medesima figura occupare contemporaneamente il ruolo di DPO e di Membro Organismo di vigilanza?


CORSO ON LINE AGGIORNAMENTO DPO

Dal punto di vista normativa non vi è alcun divieto! Vi sono però due elementi da considerare.

1) Competenze specifiche
Al DPO sono richieste specifiche competenze in ambito privacy e data protection. Il membro dell’organismo di vigilanza deve possedere competenze diverse, più gestionali e pluri-settoriali (es. tecniche e giuridiche).

2) Conflitto d’interessi del DPO
Come emerge dalle linee guida del WP29 (WP 243 rev.01),  il DPO può ricoprire altre funzioni all’interno dell’organizzazione purchè queste non diano luogo a conflitti di interesse. Ovvero il DPO non può ricoprire posizioni che comportino la determinazione di finalità e modalità di trattamento di dati personali.
Il Garante ha  poi indicato nelle FAQ disponibili sul sito del Garante stesso, che il DPO non può ricoprire ruoli manageriali e direzionali, ruoli assimilabili per chi scrive anche all’Organismo di vigilanza 231.

Pertanto non è consigliabili fare ricoprire il ruolo di DPO e di membro organismo di vigilanza al medesimo soggetto.

Autore: Dr.  Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu

Guarda il profilo su Linkedin

Pubblicato il

FAQ Risolte – Organismo di vigilanza – D.lgs 231/01 E’ configurabile una responsabilità penale da condotta omissiva a carico dell’organismo di vigilanza 231?

FAQ Risolte – Organismo di vigilanza – D.lgs 231/01 E’ configurabile una responsabilità penale da condotta omissiva a carico dell’organismo di vigilanza 231?

In considerazione che in presenza di violazioni del modello organizzativo, l’Organismo di vigilanza non è dotato di mezzi paragonabili a quelli  previsti dal Codice Civile dal collegio sindacale, non è configurabile alcuna responsabilità penale per i componenti dell’Odv dovuta a condotta omissiva.

E’ configurabile  al componente dell’organo di vigilanza una responsabilità a titolo di concorso del reato nel caso in cui ometta volontariamente di vigilare sul funzionamento del modello 231, per agevolare la commissione di un reato da parte dell’ente.

 

Pubblicato il

FAQ risolta – D.lgs 231/01 – Qual’è la durata ottimale dell’incarico come membro Organismo di vigilanza 231?

FAQ risolta – D.lgs 231/01 – Qual’è la durata ottimale dell’incarico dell’ Organismo di vigilanza 231?

 

Per quanto riguarda la durata ottimale in carica dell’organismo di vigilanza, è preferibile definire un periodo di tre anni, in modo tale da consentire lo svolgimento ottimale dell’incarico.

Pubblicato il

FAQ – Privacy DPO – Quali qualità professionali e titoli deve avere il DPO?

FAQ – Privacy DPO – Quali qualità professionali e titoli deve avere il DPO?

 

Al momento della definizione dei requisiti in base ai quali individuare il soggetto da incaricare quale DPO, l’ente pubblico deve evitare restrizioni all’accesso alle selezioni che possano risultare sproporzionate e ingiustificate rispetto alla figura
ritenuta necessaria, ma tenere in debita considerazione l’attinenza e la proporzionalità tra quanto richiesto (le qualità professionali di cui all’art. 37, par. 5, del Regolamento) e la complessità del compito da svolgere nel caso concreto (come il contesto in cui il DPO  sarà chiamato ad operare o le caratteristiche dei trattamenti effettuati dall’ente designante).

****** CORSO ON LINE AGGIORNAMENTO DPO ***********

Preliminarmente, si rende necessario che l’ente pubblico valuti le
qualità professionali, le conoscenze specialistiche e l’esperienza in materia di protezione dei dati
personali in capo alla figura da incaricare quale RPD, tenendo conto dei trattamenti che effettua,
prestando particolare cura, ad esempio, alla complessità dei trattamenti stessi, alla qualità e
quantità di dati personali trattati, all’esistenza di trasferimenti sistematici ovvero occasionali di
dati personali al di fuori dell’Unione europea.

Ciò comporta che, in ambito pubblico, il RPD debba certamente conoscere la normativa e le prassi nazionali ed europee in materia di protezione dei dati (a partire da un’approfondita conoscenza del Regolamento), nonché possedere
un’adeguata conoscenza anche delle norme e procedure amministrative che caratterizzano lo
specifico settore, in quanto la liceità del trattamento dei dati personali in questo ambito dipende
dalla corretta applicazione delle regole di volta in volta previste dalla disciplina di settore.

Per quanto concerne la conoscenza di norme e prassi in materia di protezione dei dati personali, essa può essere dimostrata, in primo luogo, attraverso una documentata esperienza professionale e/o anche attraverso la partecipazione ad attività formative specialistiche (ad esempio, master, corsi di studio e professionali, specie se risulta documentato il livello di
acquisizione delle conoscenze). Rientra in questo contesto anche la certificazione volontaria acquisita sulla base della norma tecnica italiana UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che può rappresentare un elemento utile di
valutazione della preparazione del candidato, ma non un’abilitazione di per sé aprioristica.

******* CORSO ON LINE ESPERTO DPO *****

Analogamente, la conoscenza specialistica sarà dimostrata dalle attività, dalle esperienze lavorative e professionali svolte, risultanti, ad esempio, dal curriculum e dalle autocertificazioni presentate. Particolare valore potrà assumere l’eventuale esperienza del candidato in organizzazioni simili a quella del titolare.

In tale contesto, preme in ogni caso evidenziare che la competenza a ricoprire il ruolo di RPD non può essere astrattamente riconosciuta in capo ad una qualsiasi figura per effetto del semplice possesso di specifici titoli (laurea, iscrizione ad un albo professionale, certificazione). Il titolare del trattamento è infatti tenuto a valutare nel complesso gli elementi previsti dall’art. 37, par. 5, del Regolamento e, qualora intenda richiedere un titolo di studio specifico, è chiamato a tenere in dovuta considerazione la proporzionalità tra quanto richiesto e la complessità del compito da svolgere nel caso concreto, comprovando le proprie scelte ai sensi degli artt. 5, par. 2, e 24 del Regolamento, a partire da un’adeguata motivazione nel provvedimento di assegnazione formale dell’incarico.

Fonte: Linee guida Garante Privacy – Documento di indirizzo su designazione, posizione e compiti del
Responsabile della protezione dei dati (RPD) in ambito pubblico

Pubblicato il

FAQ – ISO 27001 – Per quanto tempo un’azienda può conservare il log dei visitatori?

FAQ – ISO 27001 – Per quanto tempo un’azienda deve conservare il log dei visitatori?

La durata di conservazione del registro (log) dei visitatori, dipende dall’organizzazione, dalle parti interessate e da ciò di cui è necessario per fornire il grado di sicurezza richiesto.
Quindi per determinarlo è necessario verificare questi criteri e definirlo nella documentazione del SGSI

 

Pubblicato il

FAQ Risolte – ISO 13485 – Come implementare la gestione del rischio in un’azienda “solo distributore” di dispositivi medici?

ISO 13485 Quesito – Come implementare la gestione del rischio in un’azienda “solo distributore” di dispositivi medici?

Occorre considerare gli aspetti che possono influenzare il dispositivo in termini di condizioni di conservazione e trasporto, che a loro volta possono influenzare direttamente l’utente / paziente.

E’ necessario ottenere informazioni dal produttore del dispositivo su questi elementi essenziali, che possono essere presenti nelle informazioni sull’uso del dispositivo  o in altre informazioni tecniche disponibili presso il produttore.

Sono quindi da considerare nella  documentazione di gestione del rischio e definire le più adeguate misure di controllo.

Per la valutazione dei rischi è consigliabile fare riferimento alla norma ISO 31000

Pubblicato il

FAQ risolte – Valutazione clinica – Si tratta di un requisito ISO 13485:2016

 

Quesito: Valutazione clinica – Si tratta di un requisito ISO 13485:2016?

Il requisito 7.3.7 della norma (Convalida della progettazione e dello sviluppo) prevede di eseguire una valutazione clinica ogniqualvolta vi sia un requisito normativo applicabile per farlo, per cui il processo di valutazione clinica è un processo specifico per tipologia di dispositivo medico. La norma richiede che vi sia un report/procedura specifica, ma non indica la procedura perchè questa è in funzione del dispositivo medico e delle relative norme anche cogenti di riferimento.