Come diventare DPO?

Domandina frequente: come posso diventare un professionista della dataprotection, un privacy consultant o privacy auditor, oppure un D.P.O.?

La materia è estremamente complessa, multidisciplinare ed eterogenea; occorre quindi molto studio, affiancato da molta “esperienza sul campo”; non sono certamente sufficienti i molteplici corsi che sono spuntati ovunque come funghi.

In riferimento al “framework” delle competenze necessarie, direi che una buona base di partenza (relativamente all’ambito italiano ) siano le recenti norme UNI 11697:2017; vi sono classificati quattro diversi profili professionali:

  • Responsabile della Protezione dei Dati (RPDP);
  • Manager Privacy;
  • Specialista Privacy;
  • Valutatore Privacy;

anche se, a mio parere, questi profili molto diversificati inducono varie perplessità sulla opportunità di riunire nello stesso framework funzioni notevolmente diverse.

Inoltre, coloro che avranno ruoli come DPO di aziende multinazionali, dovranno avere anche competenze ulteriori, relative alle Nazioni estere nelle quali esse operano.

Corso Privacy GDPR

Sono aperte le iscrizioni per il prossimo corso privacy GDPR relativo alla formazione degli addetti (ex incaricati) autorizzati al trattamento dei dati personali.

Si ricorda che la formazione è un obbligo, pre-esistente già nel D.Lgs. 196/03, poi abrogato nel 2012 dal famigerato Governo Monti, ed adesso reintrodotto dalla normativa GDPR; essa (formazione) dovrebbe essere fatta prima dell’inserimento nel ruolo.

I prossimi corsi sono previsti in maggio (due effettuati) e giugno, si terranno presso la nostra aula di formazione, in orario lavorativo oppure al di fuori (il sabato mattina o in tarda serata) per venire incontro alle varie esigenze delle organizzazioni.

Sono già previste due tipologie di “corso di formazione privacy” secondo il regolamento GDPR:

  • per addetti (ex incaricati) al trattamento di dati personali GDPR (2 ore);
  • per responsabili e titolari del trattamento di dati personali GDPR (4 ore).

I relativi corsi partiranno al raggiungimento del numero minimo di partecipanti (6 persone) e saranno organizzati per mansioni compatibili (non metteremo assieme impiegati ed operatori sanitari).

Contattateci per i costi e le date calendarizzate; per le organizzazioni che hanno aderito al servizio di consulenza privacy GDPR, la formazione dei loro incaricati è già prevista e compresa nel costo globale.

A seguito del corso verrà rilasciato attestato di partecipazione, valido a dimostrare formalmente la formazione svolta, ai termini del GDPR; sarà messo a disposizione il materiale utilizzato ed un apposito manuale degli incaricati al trattamento, aggiornato al nuovo regolamento 2016/679 GDPR.

Informiamo altresì che si realizzano corsi di formazione ad-hoc per le organizzazioni che dispongono di una struttura in-house oppure che vogliono organizzare un evento riservato, in tutta la Toscana e nelle regioni limitrofe.

Ignoranti Digitali

L’ultimo scandalo FaceBook-Cambridge Analytica riporta ancora una volta all’attenzione la scarsa consapevolezza generale del parco-utenti delle piattaforme social.

Nessuno ha mai letto le condizioni di utilizzo proposte durante l’iscrizione, nessuno legge gli aggiornamenti che vengono periodicamente proposti, nessuno ha idea di chi sia la proprietà delle informazioni che vengono inserite, nessuno sa quali dati comportamentali vengano raccolti, nessuno sa per quali scopi potranno essere usate, nessuno sa … e pochi si interessano delle conseguenze.

Importa solo che il giochino funzioni; scova i vostri ex compagni di classe elementari, i vostri ex compagni di squadra, i vostri ex allievi, ex amici, ex fidanzate; ma anche past psichiatra, escort ecc…

Gli utenti pubblicano qualsiasi cosa gli passi in mente; fanno foto e video di maggiorenni e minorenni in ogni luogo, anche privato; identificano luoghi e frequentazione di persone; mettono “mi piace” e “non mi piace” ovunque, in un’orgia quotidiana di miliardi di byte personali.

Una ricerca svolta da accademici americani ha evidenziato come, senza avere nessuna informazione sul profilo di una persona, sia possibile ricostruirne tutte le caratteristiche (età, sesso, nazionalità, inclinazioni sessuali, livello di studio, professione …) solo analizzando i suoi post e la sua rete di contatti, con una accuratezza dell’87%.
Ma come è possibile collegare persone che usano numeri diversificati per lavoro e vita personale, proprio per motivi di privacy ? In molti modi, uno dei quali è la condivisione delle informazioni tra WhatsApp e FaceBook, introdotta lo scorso anno, ovviamente solo “per migliorare le esperienze con le inserzioni e i prodotti di Facebook”.

Ragazzi, ma se ve la danno gratis (la partecipazione al social network) non vi viene in mente la domanda: chi paga al posto di miliardi di utenti?

Qualcuno ha appositamente coniato il termine “somari digitali”; io ritengo più adatto il termine “ignoranti digitali”, nel senso di ignorare; spesso si tratta anche di colpevole distrattezza.

Le famiglie consegnano uno smartphone ai loro figli ad un’età sempre più bassa, senza nulla insegnare loro, onere che quindi si traferisce completamente a carico della scuola italiana.

Mi rivolgo quindi al prossimo Ministro della Pubblica Istruzione Italiana: Sig. Ministro, vogliamo pensare a colmare questa “irrilevante” lacuna dei nostri futuri cittadini digitali?

Anche iniziando con poco, un piccolo progetto co-finanziato dalla Comunità Europea, magari come alternativa allo Stretching in Classe?

Formazione incaricati al trattamento dei dati personali: obbligo o no?

Fra le domande che più spesso mi vengono rivolte, “ma è vero che la formazione privacy non è più obbligatoria?” ; vediamo di chiarire.

Dall’introduzione del D.Lgs. 196/03, viene previsto l’obbligo formativo degli Incaricati al trattamento dei dati personali, nella regola n. 19.6 dell’allegato B, relativo alle misure di sicurezza.
Successivamente il Governo Monti, nel mese di Aprile 2012, con il decreto “Semplifica Italia” ha soppresso tale regola, lasciando tuttavia invariato l’obbligo del Titolare di rendere edotti Responsabili ed Incaricati.
Il testo abrogato indicava la previsione di “interventi formativi degli incaricati del trattamento (da effettuarsi prima dell’ingresso nel ruolo), per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare”.

L’obbligo quindi, ad Aprile 2012, è venuto meno.

Dato che la gran parte dei rischi che incombono sui dati personali derivano proprio da come gli incaricati li trattano, in questi anni è successo di tutto; forse abbiamo semplificato troppo.

Il nuovo codice G.D.P.R. prescrive all’art. 29 che chiunque tratta dati personali deve essere stato preliminarmente istruito dal Titolare; all’art. 32 si richiamano misure tecniche e organizzative che devono essere testate, verificate e valutate; nella Sezione 4 dedicata al D.P.O. si prescrive che esso deve avere competenze professionali qualificate e deve sorvegliare sulla formazione di tutta l’azienda; ed inoltre c’è il nuovo concetto di “accountability“.

Da tutto ciò si evince che tutte le organizzazioni, dal 25 maggio prossimo, dovranno formare il personale che tratta dati personali, ed il grado di formazione deve essere verificato e verificabile. Non solo per evitare un reato penale, a carico del Titolare del Trattamento, ma perchè rendere edotti gli incaricati delle corrette modalità del trattamento (e degli errori da non fare) è la prima e più importante misura di sicurezza.

Contattatemi per un corso di formazione per i vostri dipendenti (incaricati al trattamento dei dati personali) calibrato su misura per le vostre esigenze aziendali.

Consulenza Privacy GDPR

Il regolamento Europeo 2016/679 concernente la tutela delle persone fisiche, con particolare riguardo al trattamento dei dati personali e la libera circolazione di tali dati, è entrato in vigore il 24 maggio 2016 e diventerà direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio 2018.

Il regolamento porta significative innovazioni non solo per i cittadini, ma anche per le aziende, gli enti pubblici, le associazioni, i liberi professionisti; imprese ed enti avranno più responsabilità, ma potranno anche beneficiare di diverse semplificazioni; in caso di inosservanza delle regole sono previste sanzioni, anche elevate.

Cosa posso fare per adeguare la mia azienda?
Coloro che, a suo tempo, si sono conformati al D.Lgs. 196/03, ancora in vigore sino al 24 maggio, hanno già implementato parte delle regole richieste dal nuovo regolamento; è quindi necessario un adeguamento alle nuove norme.

Possiamo fare da soli oppure abbiamo bisogno di un consulente?
Occorre valutare la struttura della organizzazione, principalmente in riferimento alla quantità e tipologia di dati trattati e alla complessità dei sistemi I.T.C. ; grandi quantità di dati, oppure alcune tipologie di dati (es. quelli sensibili o sanitari) hanno un rischio maggiore di causare effetti lesivi della dignità delle persone.
Complessi sistemi di trattamento, magari diffusi in varie sedi, sottostanno ad un elevato rischio di data-breach; il nuovo regolamento affida al Titolare del trattamento la responsabilità di definire policy, strumenti e misure atte a minimizzare il rischio di security incident.
Le grandi aziende che dispongono di una apposita “unità organizzativa privacy”, hanno le risorse per definire i percorsi per raggiungere la compliance; ritengo comunque che alcuni processi (e penso, come esempio, alle attività di valutazione Risk Management – ISO31000, alla implementazione del sistema di gestione della sicurezza delle informazioni – ISO27001 oppure alla creazione del sistema di Incident Response) dovranno essere coadiuvati da supporto specialistico. Tutte le altre aziende dovranno avvalersi di consulenti specializzati, specialmente nelle più importanti fasi di analisi, valutazione, implementazione e controllo.

Uffa, un’altra legge; ma noi dobbiamo lavorare!
Spesso è quello che mi sento dire durante il primo incontro nelle aziende; vediamo di capire bene la situazione attuale, che molti non hanno ben presente.
Dal 1 gennaio 2004, in Italia, è in vigore il D.Lgs. 196/03 , tuttora in vigore; nel febbraio 2012, all’interno di uno sciagurato Decreto Semplifica Italia, si sono introdotte modifiche alla applicazione del D.Lgs. 196/03, una delle quali eliminava l’obbligo della tenuta del D.P.S. per le aziende che trattano dati sensibili limitatamente ai propri dipendenti; molti hanno evinto che il codice sulla protezione dei dati non avesse più effetto. Non è così, il codice ha tuttora effetto e soprattutto debbono sempre essere applicate le misure di sicurezza dell’allegato B del codice. Purtroppo abbiamo visto i risultati di tutto ciò negli anni passati.

Cogliamo l’occasione per rafforzare le aziende italiane.
Il 2017 è stato il peggior anno per la sicurezza informatica delle nostre aziende; l’Italia si trova nella TOP TEN dei paesi più colpiti al mondo; nel giugno 2017, diverse importanti aziende italiane sono state coinvolte in un massiccio attacco da malware NotPetya, e alcune hanno dovuto chiudere per diversi giorni e mandare a casa i dipendenti. Era possibile evitarlo? Certamente, in questo caso occorreva aggiornare il S.O. degli elaboratori, come è reso obbligatorio dalle misure di sicurezza del codice sulla protezione dei dati personali, allegato B.

Chi è un consulente specializzato GDPR?
Non sono sufficienti perfetta conoscenza delle norme e bollini; il consulente alla protezione dei dati personali è un professionista che ha competenze, esperienza, formazione specifiche e multidisciplinari, e che da anni svolge attività di consulenza e formazione relative alla protezione dei dati personali e degli strumenti di trattamento. Rivolgetevi ad un consulente che, tra i pochi in Italia, ha svolto un seminario di formazione presso la sede del Garante per la Protezione dei Dati Personali, in piazza di Monte Citorio.

Riservatezza e consulenza globale.
In molte organizzazioni, la riservatezza è un requisito fondamentale del rapporto con un consulente; motivo per il quale mi occupo personalmente di tutti gli aspetti, dal primo incontro alla valutazione finale. Qualora divenga necessario un supporto legale, abbiamo rapporti di collaborazione i migliori studi legali che si occupano di diritto informatico, anche internazionale.
Richiedete un primo incontro, informale e non vincolante, per valutare la vostra situazione attuale e definire un eventuale percorso di adeguamento.

Consulente privacy GDPR bibbiena poppi sansepolcro san giustino torrita di siena città di castello monte san savino rapolano terme sinalunga foiano cortona camucia montevarchi levane bucine figline incisa valdarno radda greve panzano in chianti

Formazione DPO Data Protection Officer

Perchè Data Protection Officer?

Il Data Protection Officer (di seguito anche D.P.O. oppure DPO) è un ruolo chiave, introdotto dal Regolamento Generale sulla Protezione dei Dati E.U. 2016/679.
Il DPO, figura peraltro già presente in alcune legislazioni europee (talvolta indicato come Chief Privacy Officer, Privacy Officer, Data Protection Officer o Data Security Officer), è un professionista che ha un ruolo determinante per migliorare la sicurezza nel trattamento di dati della organizzazione.

Chi deve obbligatoriamente nominare il DPO?

  • una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala degli interessati;
  • una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.

Le altre organizzazioni potranno comunque nominare il DPO, quale misura di maggior tutela dei propri trattamenti; in tal caso, il DPO acquisterà tutti i doveri e dovrà rispettare tutte le norme previste dal nuovo codice.

Quali sono i compiti del DPO

I compiti primari del DPO sono:

  1. informare e fornire consulenza al Titolare e al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  2. sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  4. cooperare con l’Autorità di Controllo (Garante per la Protezione dei Dati Personali);
  5. essere il punto di contatto dell’Autorità di Controllo per questioni connesse al trattamento dei dati personali, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se necessario, consultazioni relativamente a qualunque altra questione.

Chi può essere nominato DPO?

In base all’articolo 37, paragrafo 5 GDPR, il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Viene anche previsto che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.
Allo stato attuale non esiste alcun schema di certificazione, corso, percorso formativo o seminario che abiliti al ruolo di D.P.O. ; sono invece importanti (e quindi obbligatoriamente richieste) esperienza e competenze professionali, così come la conoscenza delle normative nazionali ed europee; è necessaria anche una formazione adeguata e continua.

La figura DPO esterna

Le organizzazioni pubbliche di dimensioni limitate possono incaricare una figura esterna, che abbia i requisiti previsti, di rivestire il ruolo di DPO esterno. Alcune organizzazioni complesse potranno nominare una figura giuridica esterna (team di esperti) quando i processi di trattamento dei dati necessitano di particolari competenze interdisciplinari.

Autonomia del DPO

Il regolamento GDPR indica le garanzie essenziali per consentire al DPO di operare con un grado sufficiente di autonomia nella organizzazione del titolare del trattamento. Esso non dovrà ricevere alcuna istruzione sullo svolgimento dei propri compiti, che dovrà svolgere in modo indipendente. Avrà a disposizione un budget adeguato che gestirà autonomamente per i compiti assegnati, compreso quello della propria formazione continua.

Responsabilità del DPO

La nomina del DPO non solleva le organizzazioni dalle proprie responsabilità; infatti, si tratta di una figura di consulenza e controllo, priva di responsabilità esecutive; essa esprime solo pareri, ma le decisioni finali e le conseguenti responsabilità sono assunte dal Titolare del Trattamento dei Dati Personali ed in solido, dal responsabile del Trattamento dei Dati Personali.

Sono in grado di offrire supporto alle pubbliche amministrazioni per i processi di selezione, oppure alla formazione, relative alla nomina al ruolo DPO (D.P.O.), nelle province della Toscana (Arezzo, Siena, Grosseto, Livorno, Lucca, Massa e Carrara, Pisa, Pistoia, Prato), nelle province del Lazio (Frosinone, Latina, Rieti, ROMA, Viterbo), nelle province dell’Umbria (Perugia, Terni), nelle province della Emilia Romagna (Bologna, Ferrara, Forlì-Cesena, Modena, Parma, Piacenza, Ravenna, Reggio Emilia, Rimini), nelle province delle Marche (Ancona, Ascoli Piceno, Fermo, Macerata, Pesaro e Urbino).