I meccanismi di certificazione ex artt. 42 e 43 del Regolamento UE 679/2016

L’art. 42 del GDPR recita: “Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese”.

Non vi è chiarezza su quali siano questi meccanismi di certificazione, ma ciò che si evince dal dettato normativo è il riferimento:

  • a più meccanismi di certificazione lasciando alle organizzazioni, ovvero ai Titolari e ai Responsabili del trattamento, la discrezionalità sulla loro scelta;
  • agli Organismi di certificazione (OdC), così come identificati dall’art. 43 quali soggetti legittimati al rilascio della certificazione in discorso, accreditati in conformità della norma UNI CEI EN ISO/IEC 17065/2012 “Valutazione della conformità – Requisiti per organismi che certificano prodotti, processi e servizi” [v. art. 43 § 1 lett. b)];
  • all’organismo nazionale di accreditamento, Accredia, designato in virtù del regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio [v. art. 43/679 § 1 lett. b) e art. 2-septiesdecies/196].

Va da sé che siffatti meccanismi di certificazione devono essere del tutto conformi al GDPR ed alla normativa nazionale di riferimento.
Ciò implica, e non è cosa da poco, che non è sufficiente che gli OdC siano accreditati secondo la ISO 17065. E’ necessario che anche il meccanismo di certificazione implementato sottenda ai principi propri della suddetta norma rispetto ai sistemi di gestione (9001, 14001, 18001, 27001, ecc.) che, facendo riferimento alla UNI CEI EN ISO/IEC 17021 “Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione”, si basano su presupposti diversi.

Tenendo quindi fede a quanto sopra sottolineato ricordo, a Titolari e Responsabili del trattamento, l’esistenza di standard volontari che normano, da un punto di vista sistemico, la protezione dei dati personali.
Mi riferisco in particolare agli schemi proprietari ISDP 10003:2018 e DPMS 44001:2016, alle prassi di riferimento UNI/PdR 43.1 e 43.2 emesse nel mese di settembre del 2018 nonché al BS10012.

Lo schema ISDP 10003:2018 è uno schema di certificazione volontario, di cui Inveo Srl è owner, accreditato da Accredia per determinare la conformità al GDPR.
Unico schema italiano ad essere vagliato e promosso, dalla Commissione europea, ISDP 10003:

  • ha una struttura HLS il che consente una facile integrazione, per esempio, con la ISO 27001;
  • copre tutti gli aspetti delle conformità GDPR in un unico schema;
  • è semplice ed estremamente accessibile anche per le PMI …

… e ancora:

  • consente l’acquisizione di un punteggio più alto nella partecipazione ai bandi di gara;
  • trova credito, apprezzamento e applicazione anche negli altri paesi UE;
  • ha una validità internazionale oltre che europea.

Il DPMS 44001:2016 è, nel rispetto del dettato di cui ai §§ 1 e 2 dell’art. 40 del Regolamento Ue, il codice di condotta elaborato da FEDERMANAGER Roma e UNIQUALITY (Stakeholders) con il coinvolgimento del CODACONS.
Il codice di condotta DPMS 44001:2016 è stato presentato via PEC il 2016-07-07 ed è stato depositato al Garante per la Protezione Dati Personali, cui è stato assegnato il Fascicolo n. 109762.

Le PdR 43.1 e 43. 2 hanno una valenza squisitamente nazionale; sono linee guida UNI per la gestione dei dati personali in ambito ICT secondo il regolamento UE 679/2016 (GDPR) che fanno riferimento:

  • alla Gestione e monitoraggio dei dati personali in ambito ICT
  • ai Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT.

Debitamente allineate al Regolamento queste prassi di riferimento forniscono strumenti utili per conformarsi alla normativa. Ciò premesso, tuttavia, si ricorda che un’eventuale certificazione basata su di esse è invalida e non conforme al GDPR venendo meno il soddisfacimento del requisito ex art. 43, § 1, lett. b).

La norma BS10012, infine, è il Sistema di gestione delle informazioni personali che, emessa dal BSI nel 2009, è stata revisionata nel 2017 appositamente per adeguarsi al GDPR.
Essa fornisce una molteplicità di input di adeguamento al Regolamento. Si ricordi tuttavia che in questo caso si parla di una norma di certificazione riferita ai sistemi di gestione conformemente alla ISO 17021 e non ai prodotti, processi e servizi di cui alla ISO 17065 il che determinerebbe, ancora una volta, una non conformità al GDPR.

Da quanto sopra è di tutta evidenza il differenziale competitivo rappresentato dallo schema ISDP 10003 la cui applicazione fornisce anche ragionevoli garanzie circa il soddisfacimento dei requisiti  del Regolamento UE 679/2016.

Marcello Colaianni
Certified DPO e DP Auditor UNI 11697

Certified DP Auditor ISDP 10003:2018 Scheme

Non solo Coaching … di Colaianni Consulting

 

La parola COACHING richiama quella di COACH, carrozza ….  e come la carrozza trasporta il passeggero da un luogo ad un altro, il Coach porta il Cliente (Coachee) dalla situazione attuale a quella desiderata, da uno stato di malessere psico-fisico ad uno di ben-essere, dalla definizione di propri obiettivi fino al loro raggiungimento.

Questa professione, di affiancamento alla persona, E’ UTILE sia nella vita privata sia nel lavoro, innanzitutto per se stessi, per la famiglia, per le relazioni di coppia, per i rapporti con i figli, piuttosto che per un eventuale cambio di mansioni o per una re-invenzione professionale di se stessi.

 

Si parla, rispettivamente, di LIFE COACHING e BUSINESS COACHING scoprendo che il primo è trasversale al secondo quando, per esempio, la persona si sorprende di come la ri-scoperta di sé e la ritrovata sintonia con sé porti ad entusiasmanti, euforici e coinvolgenti benefici in Azienda.

 

In tutto ciò é importante il contesto, l’ambiente nel quale si è, si vive e si convive nella condivisione di esperienze in continuo movimento ed evoluzione.

GDPR versus ISO 27001

È ormai noto a tutti che la certificazione di un sistema di gestione della sicurezza delle informazioni (SGSI) non è valida quale evidenza circa la conformità dell’organizzazione alla normativa per la Data Protection.

Al contrario si può affermare che, pur soddisfatti gli altri requisiti, laddove non si abbia riscontro circa le dovute assicurazioni in merito alla privacy ed alla protezione dei dati  personali, la certificazione del SGSI non è garantita.
Lo si evince dal combinato disposto di cui all’obiettivo A.18.1.4 dell’appendice A ed al punto 6.1.3 “Trattamento del rischio relativo alla sicurezza delle informazioni” della ISO 27001.

Una lettura trasversale nei suddetti termini suggerisce quanto diventi fondamentale, oltre che opportuna, una certificazione di 3a parte di un meccanismo conforme agli articoli 42 e 43 del Regolamento UE 679.

È, in altre parole, quasi come dire che occorre verificare l’esistenza di una certificazione pro GDPR, o almeno la presenza dei presupposti di conformità al GDPR, per poter avviare l’iter per la certificazione ISO 27001 . È come, mi si permetta il parallelismo, quando le SOA devono verificare preliminarmente l’esistenza della certificazione ISO 9001 per il rilascio delle attestazioni richieste.

Se così è, appaiono evidenti le molteplici considerazioni che ne conseguono.

È conditio sine qua non che gli auditor 27001 coinvolti nell’audit, o almeno l’OdC, siano depositari di adeguate conoscenze in materia di data protection. In questo caso alcuni OdC potrebbero decidere di avvalersi, in alternativa agli esperti tecnici, di auditor che abbiano anche una certificazione secondo la norma UNI 11697. Ciò anche per dare ancora più peso e valore alla certificazione rilasciata.

Ben immaginabili possono essere le conseguenze di un siffatto ragionamento.
Si pensi ad un’organizzazione che abbia sia la certificazione ISO 27001 sia quella ex GDPR.

Quali potrebbero essere gli effetti qualora, in sede di verifica annuale, la stessa organizzazione si vedesse revocare il certificato di conformità al Regolamento? Oltre alla revoca del certificato, debitamente motivata, che l’OdC deve obbligatoriamente trasmettere al Garante privacy, c’è anche il rischio di vedersi, conseguentemente, revocare la certificazione ISO 27001 data la sopraggiunta inosservanza alla normativa privacy? E laddove l’Organismo coinvolto fosse lo stesso per entrambi gli schemi?

E cosa dire riguardo alla verifiche ispettive di 2a parte effettuate dalle aziende clienti?
Si pensi, per esempio, ad una multinazionale le cui paghe dei dipendenti sono gestite in outsourcing.
In sede di qualificazione dell’azienda appaltatrice verrà richiesto il soddisfacimento dei requisiti della ISO 27001, del Regolamento Ue e di quanto ad esso correlato, o di entrambe le normative o altro ancora come ulteriori evidenze in materia di Disaster Recovery o di Business Continuity Management? E quanto approfondite saranno queste verifiche?
Forse, “più semplicemente”, basterà fornire l’evidenza di una doppia certificazione di 3a parte?

Non spetta al sottoscritto dettare comportamenti univoci, questi competono sicuramente ad altri ma, se vogliamo essere allineati al dettato normativo – e in questa sede è significativa la relazione che viene a porsi fra norme di legge con valenza europea, oltre che nazionale, e norme di sistema con valenza internazionale, oltre che italiana – non vedo molte alternative alla suddetta interpretazione, almeno fino ad oggi.

A questo punto, come si suol dire, ai posteri l’ardua sentenza.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
DPO UNI11697, Privacy Consultant e DP Auditor Certified

 

Autorità di controllo, Ente di accreditamento e Organismi di certificazione nella normativa Privacy

Negli articoli 40 a 43 del GDPR si affrontano i temi relativi ai codici di condotta ed ai meccanismi di certificazione la cui adozione è incoraggiata dagli Stati membri, dalle autorità di controllo, dal comitato e dalla Commissione.

Dalla lettura dell’art. 43 del GDPR, in particolare, erano sorte incertezze su chi dovesse essere il referente, fra l’organismo nazionale di accreditamento e l’autorità di controllo, per l’accreditamento degli Organismi di certificazione (OdC) titolati a certificare le organizzazioni secondo determinati meccanismi e in conformità al Regolamento.

Dubbi fugati con il novellato Codice in materia di protezione dei dati personali che, all’art. 2-septiesdecies recita: <<L’organismo nazionale di accreditamento di cui all’articolo 43, paragrafo 1, lettera b), del Regolamento è l’Ente unico nazionale di accreditamento, istituito ai sensi del regolamento (CE) n. 765/2008, del Parlamento europeo e del Consiglio, del 9 luglio 2008, fatto salvo il potere del Garante di assumere direttamente, con deliberazione pubblicata nella Gazzetta Ufficiale della Repubblica italiana e in caso di grave inadempimento dei suoi compiti da parte dell’Ente unico nazionale di accreditamento, l’esercizio di tali funzioni, anche con riferimento a una o più categorie di trattamenti>>.

Quanto sopra fissa quindi le aree e i margini di manovra dei due organismi riconoscendo Accredia come il referente per antonomasia per l’attività di accreditamento e il Garante Privacy quale organismo di accreditamento in presenza di presupposti e garante circa l’operato di Accredia stessa.

Da un’attenta lettura delle disposizioni in discorso, tuttavia, è significativo il fatto che il Garante Privacy possa direttamente rilasciare la certificazione, al pari degli OdC accreditati, in base a criteri personalmente approvati [v. artt. 42 § 5 e 58 § 3 lett. f)].

Non solo. Le suddette riflessioni trovano applicazione con specifico riferimento agli artt. 42 e 43, ovvero in materia di Certificazione e Organismi di certificazione, rispettivamente, senza estendersi al dettato ex artt. 40 e 41 che stabiliscono comportamenti in materia di codici di condotta.

L’art. 41, infatti, a proposito di monitoraggio dei codici di condotta approvati si riferisce, in senso lato, a “organismi accreditati” (v. §§ 1 e 2) lasciando intendere che fra questi vi possano essere anche altri soggetti oltre agli OdC ex art. 43.
Allo stesso modo non è specificato che, anche in questa sede, Accredia debba essere intesa come l’Ente unico nazionale di accreditamento (v. art. 2-septiesdecies/196).

La legittimità di queste considerazioni è supportata dalle previsioni dell’art. 57/679 che fra i compiti dell’autorità di controllo annovera quello di:

  • definire e pubblicare i criteri per l’accreditamento di un organismo per il controllo dei codici di condotta ai sensi dell’articolo 41 …
  • … e di un organismo di certificazione ai sensi dell’articolo 43;

sottolineando la chiara e differente specificità dei 2 contesti; quello cioè per il monitoraggio dei codici di condotta e quello per la certificazione dei Titolari e Responsabili del trattamento.

Marcello Colaianni
Privacy Consyultant e DP Auditor Certified
DPO UNI11697 Certified

GDPR e WHISTLEBLOWING (2^ parte)

Ops! Come non detto.
E mi appresto a correggere il tiro …

… Perché in piena calura estiva, è stato emanato il D. Lgs. 10 agosto 2018 n. 101 che, in vigore dal 19 settembre p.v., modifica e integra il Codice in materia di protezione dei dati personali cosicché l’istituto del whistleblowing lo si trova anche nel D. Lgs. 15 giugno 2003 n. 196 oltre che nel D. Lgs. 231/01.

In particolare, in tema di Limitazione ai diritti dell’interessato, l’art. 2-undecies, c. 1, lett. f), recita: I diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 del Regolamento qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto: f) alla riservatezza dell’identità del dipendente che segnala ai sensi della legge 30 novembre 2017, n. 179, l’illecito di cui sia venuto a conoscenza in ragione del proprio ufficio.

Attenzione, però!
La L. 179 contempla si il dipendente MA anche il collaboratore privato (Art. 2/179. Tutela del dipendente o collaboratore che segnala illeciti nel settore privato), quali autori di segnalazione mentre il decreto 101 fa riferimento ai soli dipendenti per poi prevedere, all’art. 144, che: “Chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’articolo 58 del Regolamento“.
Quindi: tutti possono segnalare ma la tutela alla riservatezza al solo dipendente (???).

Certo è che, come anticipato in luglio, nell’adozione del modello organizzativo conforme alla normativa europea e nazionale in materia di Data Protection, i Titolari del trattamento dovranno tener in debito conto anche l’istituto del whistleblowing.

Un istituto richiamato e disciplinato, tanto in ambito pubblico quanto in quello privato, sia da norme di legge che di sistema negli ambiti:

  • dell’ANTICORRUZIONE: L. 190/2012 (anticorruzione nel settore pubblico), D. Lgs. 15/03/2017 n. 38: Attuazione della decisione quadro 2003/568/GAI del Consiglio, del 22 luglio 2003, relativa alla lotta contro la corruzione nel settore privato e UNI ISO 37001:2016: Sistemi di gestione per la prevenzione della corruzione. Requisiti e guida all’utilizzo.
  • della RESPONSABILITA’ AMMINISTRATIVA DELLE PERSONE GIURIDICHE: D. Lgs. 8 giugno 2001 n. 231 e smi (Artt. 2-bis, 2-ter e 2-quater);
  • della DATA PROTECTION – PRIVACY: D. Lgs. 196/03 e smi modificato e integrato dal D. Lgs. 10 agosto 2018 n. 101.

 

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant & DP Auditor Certified
DPO UNI 11697 Certified

 

Il DPO fra pensiero analitico e pensiero sintetico

Sulla figura del DPO si è scritto e detto tanto circa le sue competenze, il professionista che meglio ne incarna il ruolo o la sua collocazione ideale in organigramma.

Vado oltre … e mi soffermo sull’approccio utile con cui questi svolge i suoi compiti. E si evince subito, dal dettato ex art. 39, come il DPO debba focalizzarsi nelle sue attività di consulenza e formazione, di monitoraggio sull’idonea applicazione del GDPR piuttosto che nelle relazioni con l’autorità di controllo, il TTDP e i diversi stakeholder privacy dentro e fuori l’organizzazione.

L’approccio puntuale e particolareggiato che concretizza il pensiero analitico del DPO, però, da solo si rivela poco esaustivo o addirittura insufficiente per l’adempimento dei propri compiti e la migliore protezione dei dati dell’Organizzazione. Si scopre essere limitativo e persino di ostacolo al suo agire se non contestualizzato e condizionato dal pensiero sintetico.

L’adozione di un approccio sintetico è utile; no, è indispensabile a questo Responsabile.

Adottare un approccio sintetico significa avere uno sguardo ampio capace di esprimere diverse parti di sé. Avere una mappa che va oltre i consueti confini che permette di analizzare le esperienze da diverse angolazioni. Allora, fuori dagli schemi logici, si arriva ad esprimere la propria (e dell’organizzazione) visione del futuro.

Il giusto equilibrio fra pensiero, ed approccio, analitico e sintetico senza che uno prevalga sull’altro consente di raggiungere un ritmo cognitivo più produttivo permettendo di immergersi nel proprio obiettivo e raggiungerlo.

Qui, le competenze lasciano lo spazio alle abilità di ciascun DPO che opera in un alternarsi di pensiero analitico e sintetico dove l’operare del primo si inserisce nell’azione del secondo.

Non si ha buona cura dell’albero se non è contestualizzato con la foresta di cui fa parte. Il tronco, i rami, le foglie … e anche le radici visibili e no ai nostri occhi trovano un senso nella loro individualità e nell’insieme di cui sono parte.

Allo stesso modo il DPO non si accontenta di intervenire nella superficie, nella pedissequa esecuzione dei propri compiti. Egli analizza i singoli elementi ponendoli in relazione reciproca verificando le diverse prospettive da cui poter trarre e attuare le giuste azioni.

Si comprende allora perché al DPO non bastano le competenze. Insieme alle competenze, che concorrono all’acquisizione delle qualità professionali in funzione delle quali è designato, sono necessarie le abilità. Quelle abilità annoverate, per esempio, dalla norma UNI 11697 come la capacità di relazione, di analisi, di autogestione e controllo dello stress, di auto sviluppo e tenacia, di iniziativa e negoziazione e delle capacità organizzative e ancora, e non è un caso, il pensiero prospettico.

Marcello Colaianni
Compliance & Management Systems Consultant/Auditor
Privacy Consultant, DPO e DP Auditor Certified

 

Le Associazioni, il GDPR ed il RPD: quali relazioni?

Le Associazioni professionali e di categoria, con o senza scopo di lucro, riconosciute e non, sono soggette all’osservanza del Reg. UE 2016/679, noto anche con l’acronimo GDPR (General Data Protection Regulation),  in materia di protezione delle persone fisiche con riferimento al trattamento dei dati personali ed alla libera circolazione di questi.
Lo si evince, facilmente, dal presupposto dell’ambiente materiale e territoriale di cui, rispettivamente, agli artt. 2 e 3 del Regolamento.

C’è da chiedersi se le associazioni siano anche tenute alla nomina del Responsabile della protezione dei dati (RPD), normato agli artt. 37 a 39 della normativa de quo.
A parere del sottoscritto, la risposta è: << assolutamente si!>> Ecco perché.

Dalla lettura del § 4 art. 4, per “profilazione” s’intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica. Quindi:

  • la diversa categorizzazione di soci in soci onorari, sostenitori, ordinari, Senior, Junior, ecc.;
  • il monitoraggio sull’entrata di nuovi soci;
  • il pagamento della quota da parte dei soci;
  • il rinnovo dell’iscrizione da parte dei vecchi soci;
  • l’identificazione dei soci con o senza diritti di voto;
  • l’identificazione dei soci a livello regionale e nazionale;
  • l’attribuzione, ai soci, di particolari ruoli e/o compiti in ambito associativo regionale o nazionale;

… siamo sicuri che parte o tutto questo non sia riconducibile ad un’attività di profilazione?
Nemmeno con riferimento ad aspetti riguardanti le preferenze personali, gli interessi, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica?

Ebbene, alla luce del disposto ex art. 37/679/2016, c. 1 lettera b) per cui

il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala

sembra proprio non vi siano dubbi!

Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. DPO2108
Data Protection Auditor KHC Certified n. DPO2121

La Chiesa cattolica ed il diritto alla Riservatezza dei dati

In Italia é entrata in vigore, nel dicembre 1996, la Legge 675: “Tutela delle persone e di altri soggetti rispetto alla tutela dei dati personali” a cui ha fatto seguito il D. Lgs. 30 giugno 2003 n. 196: “Codice in materia di protezione dei dati personali” che dovrà dare il giusto spazio, dal 25 maggio 2018, al Reg. Ue 679/2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.

Come si pone la Chiesa cattolica con riferimento alla legislazione de quo?
Ci sono correlazioni fra gli adempimenti in materia da parte degli enti ecclesiastici ed il suddetto regolamento?

La risposta ci viene fornita dal dettato dell’art. 9/679/2016 che al paragrafo 1 dispone: <<E’ vietato trattare dati personali che rilevino (…) le convinzioni religiose (…), nonché trattare dati (…) della persona>> ed al comma 2, lett. d) recita: <<il paragrafo 1 non si applica se il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità (…) religiose (…), a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con (…) l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato>>.

Ne consegue che l’ambiente ecclesiastico deve tenere in debito conto questa normativa tanto più che il trattamento dei dati sensibili è del tutto evidente essendo idonei “a rivelare le convinzioni religiose ovvero l’adesione a associazioni o organizzazioni a carattere religioso”.

Inoltre, l’art. 91 (Norme di protezione dei dati vigenti presso chiese e associazioni religiose) del medesimo regolamento prevede, al §1, che <<Qualora in uno Stato membro chiese e associazioni o comunità religiose applichino, al momento dell’entrata in vigore (25/05/2016) del presente regolamento, corpus completi di norme a tutela delle persone fisiche con riguardo al trattamento, tali corpus possono continuare ad applicarsi purché siano resi conformi al presente regolamento>> …

…e questo corpus è del tutto ravvisabile  nel “Decreto generale” (ed eventuali successive modifiche ed integrazioni), promulgato in data 20 ottobre 1999 dall’allora Presidente della Conferenza Episcopale Italiana Card. Camillo Ruini, che contiene “disposizioni  per la tutela del diritto alla buona fama e alla riservatezza dei dati relative alle persone dei fedeli, degli enti ecclesiastici e delle aggregazioni laicali”; diritto riconosciuto dal can. 220 del codice di diritto canonico.

Non solo. La normativa introdotta nell’ordinamento dello stato italiano (L. 675/96  e D. Lgs. 196/03) e l’osservanza alle sue disposizioni sono facilmente rinvenibili sia nel Decreto stesso sia in istruzioni comportamentali suggerite dall’Avvocato Generale Don Lorenzo Simonelli con riferimento alla “legittimità/opportunità o meno di pubblicare sui siti o social network parrocchiali le fotografie o i video dei ragazzi (anche minorenni) relativi alle attività oratoriane“.

Quindi, verificata la regolare vigenza ed osservanza del corpus di norme a tutela delle persone fisiche con riguardo al trattamento, E’ l’adeguamento al Regolamento Ue a sollecitare l’attenzione di chi di dovere e considerare, per esempio:

  1. la designazione del Responsabile della protezione dei dati,
  2. la regolare predisposizione dell’informativa e la richiesta del consenso scritto
  3. e così via.

Concludendo, è del tutto evincibile come la Chiesa cattolica, latu sensu,  debba opportunamente provvedere ed intraprendere le necessarie azioni ricorrendo al combinato disposto di cui al:

  1. Codice di diritto canonico,
  2. Decreto generale della CEI,
  3. Reg. Ue 679/2016 relativo alla protezione delle persone fisiche con riferimento ai dati personali, nonché alla libera circolazione di tali dati.

 

                          Marcello Colaianni
Privacy Consultant e DP Auditor KHC Certified
DPO UNI11697 KHC Certified

 

 

 

 

 

Il Responsabile della Protezione dei Dati, il Privacy Officer e le altre figure del GDPR

A quasi un anno dalla piena applicazione del GDPR le Organizzazioni si stanno attivando per adeguarsi al Reg. UE 679/2016 che costituirà la normativa di riferimento per antonomasia con riguardo alla protezione dei dati personali e per raggiungere questo obbiettivo investono e si avvalgono di persone qualificate.

Si riconoscono vecchie e nuove figure chiamate, a vario titolo, in affiancamento all’azienda in adeguamento ai nuovi requisiti.

Si ricordano, in particolare:

il Titolare del Trattamento dei Dati Personali (TTDP): la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

il Responsabile del Trattamento dei dati personali (RTDP): la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

ai quali si aggiungono:

il Rappresentante (del TTDP/RTDP): la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento; la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

i Destinatari: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati 4.5.2016 L 119/33 Gazzetta ufficiale dell’Unione europea IT membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

i Terzi: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;

e ancora

gli Interessati: la persona fisica cui si riferiscono i dati personali:

gli Incaricati, annoverabili fra i soggetti terzi di cui sopra;

a cui si aggiunge il Responsabile della protezione dei Dati (RPD / DPO), disciplinato agli artt. 37 a 39.

Si ricorda anche la figura, ormai consolidata, dell’Amministratore di sistema, sebbene abrogata dall’art. 183 comma 1, lettera o), del D. Lgs. 196/03 nonché quelle previste dalla norma UNI, prossima alla pubblicazione:

il Manager Privacy “di taglio squisitamente manageriale, ricopre tutti gli incarichi tipicamente svolti da un RTDP”;

lo Specialista privacy che, “alle dirette dipendenze del Manager Privacy, lo supporta nel mettere a punto gli strumenti necessari a trattare i dati personali”;

il DPO, nominativamente disciplinato dalla normativa in discorso ed

il DP Auditor che, avendo le competenze per monitorare circa la regolare l’applicazione del Regolamento, può identificarsi anche nello stesso DPO rientrando, la sorveglianza dell’osservanza dei requisiti del GDPR, fra i suoi compiti.

Il suddetto elenco, naturalmente, non disconosce ulteriori figure professionali assunte nelle aziende come quelle del Privacy Consultant, del Privacy Officer o del Chief Privacy Officer (CPO) pure coinvolte nell’applicazione della normativa in materia di Data Protection. L’importante, ci ricorda il WP29, é sapere che:

“è fondamentale garantire che non vi siano ambiguità in termini di denominazione, status e compiti di queste figure; è dunque essenziale che in tutte le comunicazioni interne all’azienda e anche in quelle esterne (con l’autorità di controllo, gli interessati, i soggetti esterni in genere), queste figure o consulenti non siano indicati con la denominazione di responsabile per la protezione dei dati (RPD)”.

                          Marcello Colaianni
DPO e Privacy Consultant KHC Certified n. 2108
Data Protection Auditor KHC Certified n. 2121