IL NUOVO
REGOLAMENTO PRIVACY:
Regolamento sulla protezione
dei dati personali 679/2016:
Certificazione e Codici di
Condotta
TÜV ITALIA Management Services Division
Relatori:
Sabrina Bruschi – Business Unit Manager
TÜV Italia Slide 1 16-03-17
Di cosa parliamo…
1 Inquadramento
2
Introduzione del concetto di certificazione
3
L„accreditamento
4 Ruolo degli audit
TÜV SÜD Italia Slide 2 16-02-22 TÜV Italia Slide 2 16-03-17
TÜV SÜD Italia Slide 3 16-02-22
Inquadramento
Il Regolamento Europeo UE 2016-679: Milestones
• Pubblicazione del Regolamento sulla Gazzetta Ufficiale L119 dell‟Unione Europea del Parlamento Europeo e del Consiglio il 04/05/2016 a fronte dell‟approvazione del 27/04/2016
• E‟ relativo alla: “Protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” e abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) da cui era disceso il D.lgs 196/2003
• Diventerà applicabile in tutti i paesi dell‟Unione Europea a partire dal 25 maggio 2018, data in cui dovrà essere garantito il perfetto allineamento fra normativa nazionale e quella Europea (Recepimento)
TÜV Italia Slide 3
• Armonizza la normativa della privacy in tutti i paesi
dell‟Unione Europea
16-03-17
TÜV SÜD Italia Slide 4 16-02-22
Inquadramento
Le considerazioni nel regolamento a proposito di “CERTIFICAZIONE e CODICI DI CONDOTTA”
(77) …dimostrare la conformità da parte del titolare del trattamento o dal responsabile del trattamento in particolare per quanto riguarda l'individuazione del rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l'individuazione di migliori prassi per attenuare il rischio, potrebbero essere forniti in particolare mediante codici di condotta approvati, certificazioni approvate, linee guida
fornite dal comitato o indicazioni fornite da un responsabile della protezione dei dati.
(81) L'applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento.
(100) Al fine di migliorare la trasparenza e il rispetto del presente regolamento dovrebbe essere incoraggiata l'istituzione di meccanismi di certificazione e sigilli nonché marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi.
TÜV Italia Slide 4 16-03-17
TÜV SÜD Italia Slide 5 16-02-22
Inquadramento
Gli articoli del regolamento a proposito di “CERTIFICAZIONE”: la RESPONSABILITA’
Art. 24.3 RESPONSABILITA‟ DEL TITOLARE DEL TRATTAMENTO L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.
Art. 25.3 PROTEZIONE DEI DATI FIN DALLA PROGETTAZIONE E PROTEZIONE PER IMPOSTAZIONE PREDEFINITA Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.
Art. 28.5 RESPONSABILITA‟ DEL TRATTAMENTO L‟Adesione da parte del responsabile del trattamento ad un codice di condotta approvato da cui all‟art. 40 o a un meccanismo di certificazione approvato di cui all‟art. 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1-4 del presente articolo
16-02-22
Art. 32.3 SICUREZZA DEL TRATTAMENTO L'adesione Ad un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di
certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti al paragrafo 1 del presente articolo.
Codici di condotta e certificazione
Art. 40 e 41 Codici di condotta
Riferimento Codice di “CONDOTTA” Obiettivo: Corretta applicazione del Regolamento (Efficacia) su molti
argomenti (l‟elenco è esemplificativo e non esaustivo) Destinatari Titolari e Responsabili
Market leader Associazioni di riferimento rappresentative e soggetti di controllo (Le Autorità)
Obblighi Prevista approvazione e pubblicità
Note Aperto anche a soggetti non obbligati alla sottoscrizione
Commento: Articoli difficili da applicare senza chiarimenti. Si evidenzia l‟attività di controllo su questi strumenti da parte del soggetto pubblico “europeo” (Vedi l‟aspetto “monitoraggio” dell‟art. 41)
Codici di condotta e certificazione
Art. 42 e 43 Certificazione
Riferimento Meccanismi di certificazione, sigilli e Marchi
Obiettivo: Protezione dei dati e dimostrazione della conformità
Destinatari Titolari e Responsabili
Market leader Associazioni di riferimento rappresentative e soggetti di controllo (Le Autorità)
Obblighi Prevista approvazione e pubblicità
Note Azione VOLONTARIA
Commento: Anche questi Articoli necessitano di chiarimenti anche se ci sono già esempi. Si parla di accreditamento tramite due opportunità (alternative e congiunte): Autorità di controllo competente (art. 55 e 56) Ente di Accreditamento sulla base della ISO 17065 e dei requisiti aggiuntivi previsti espressamente dalle autorità di controllo competente e del Regolamento (già contenuti nella Iso 17065)
Partiamo dal concetto di accreditamento
TÜV Italia Slide 8
Art. 43 Organismi di certificazione
Gli Stati membri garantiscono che tali
organismi di certificazione siano
accreditati da uno o entrambi dei
seguenti organismi:
a) dall'autorità di controllo competente ai sensi degli articoli 55 o 56;
b) dall'organismo nazionale di
accreditamento designato in virtù
del regolamento (CE) n. 765/2008
del Parlamento europeo e del
Consiglio (1) conformemente alla
norma EN-ISO/IEC 17065/2012 e ai
requisiti aggiuntivi stabiliti
dall'autorità di controllo competente ai sensi degli articoli 55 o 56.
16-03-17
Partiamo dal concetto di accreditamento
TÜV Italia Slide 9
Cos’è l’accreditamento:
«Attestazione da parte di un organismo nazionale di accreditamento che certifica
che un determinato organismo di valutazione della conformità soddisfa i criteri
stabiliti da norme armonizzate e, ove appropriato, ogni altro requisito
supplementare, compresi quelli definiti nei rilevanti programmi settoriali, per
svolgere una specifica attività di valutazione della conformità» REG (CE) N. 765/2008
ACCREDIA valuta e accerta la competenza di un Organismo […] applicando i più rigorosi standard di verifica del loro comportamento e monitorando
continuativamente nel tempo le loro prestazioni, e aderisce agli Accordi
internazionali di mutuo riconoscimento.
Fonte: Accredia 10/10/2016 – www.accredia.it
16-03-17
Quale la norma di riferimento
TÜV Italia Slide 10
L'accreditamento attesta il livello di qualità del lavoro di un Organismo (di certificazione e di ispezione) o di un Laboratorio (di prova e di taratura), verificando la conformità del suo sistema di gestione e delle sue competenze a
requisiti normativi internazionalmente riconosciuti, nonché alle prescrizioni
legislative obbligatorie.
Fonte: Accredia 10/10/2016 – www.accredia.it
Norma di riferimento per gli Organismi di Certificazione :
CEI UNI EN ISO/IEC 17065 2012-12
“Valutazione della conformità – Requisiti per Organismi che certificano prodotti, processi e servizi”
16-03-17
Presupposti per l‟accreditamento
TÜV Italia Slide 11
L'accreditamento è pertanto garanzia di:
Imparzialità: rappresentanza di tutte le Parti interessate all'interno
dell'Organismo/Laboratorio.
Indipendenza: gli auditor e i comitati preposti al rilascio della
certificazione/rapporto garantiscono l'assenza di conflitti di interesse con l'organizzazione da certificare.
Correttezza: le norme europee vietano la prestazione di consulenze sia
direttamente che attraverso società collegate.
Competenza: l'accreditamento attesta in primo luogo che il personale addetto
all'attività di verifica sia culturalmente, tecnicamente e professionalmente
qualificato.
Fonte: Accredia
16-03-17
Il concetto di certificazione
TÜV Italia Slide 13
Fonte: CEI UNI EN ISO/IEC 17065 - 2012-12: INTRODUZIONE
Il fine complessivo della certificazione di prodotti, processi o servizi consiste nell’infondere fiducia a tutte le parti interessate che un prodotto, processo o servizio soddisfa requisiti specificati. Il valore della certificazione è il grado di fiducia e di credito che si stabilisce mediante una dimostrazione imparziale e competente, effettuata da una terza parte, di soddisfacimento di requisiti specificati.
16-03-17
Il concetto di certificazione
TÜV SÜD Italia Slide 14 TÜV SÜD Italia Slide 14 16-02-22 TÜV Italia Slide 14
1 • Certificazione: Verifica indipendente
2 • Organismo di certificazione: Organismo di valutazione della conformità di terza parte che attua
schemi di certificazione.
3 • Schema di certificazione: Sistema di certificazione relativo a prodotti specificati, ai quali si applicano
gli stessi requisiti specificati, specifiche regole e procedure.
4 • Proprietario dello schema: Persona od organizzazione responsabile per l‟elaborazione ed il
mantenimento di uno specifico schema di certificazione
5
• Campo di applicazione della certificazione: Identificazione di: • - prodotto(i), processo(i), o servizio(i) per cui è rilasciata la certificazione; • - schema di certificazione applicabile; e • - norma(e) ed altro(i) documento(i) normativo(i), compresa la loro data di pubblicazione, ai quali il(i)
prodotto(i), processo(i) o servizio(i) è(sono) giudicato(i) conforme(i).
16-03-17
Facciamo il punto
TÜV SÜD Slide 15
L’adozione e l’applicazione del Regolamento UE 2016/679 dal maggio 2018 è obbligatorio.
Mancano ad oggi le linee guida che spieghino adeguatamente come comportarci (ci sono ancora molte questioni che devono essere chiarite da parte degli organi competenti)
La certificazione di un’ORGANIZZAZIONE è VOLONTARIA
Per essere riconosciuta deve essere erogata da un ente accreditato
16-03-17
I riferimenti per gli organismi di certificazione oggi
TÜV SÜD Italia Slide 16 TÜV SÜD Italia Slide 16 16-02-22 TÜV Italia Slide 16
CIRCOLARE ACCREDIA – 23/2016 Lo schema di certificazione ISDP 10003:2015
risponde ai requisiti di cui all‟art. 42 e 43 del Reg. 679/2016 ed è applicabile a tutte le tipologie di organizzazioni soggette a norme vigenti in tema di “Tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”.
Lo schema di certificazione specifica ai “Titolari” e “Responsabili” del trattamento, soggetti a vincoli normativi vigenti nel territorio UE, i requisiti necessari per la corretta valutazione della conformità alle norme stesse.
Il meccanismo di certificazione, pur essendo non obbligatorio, viene richiamato come elemento per la dimostrazione della conformità utilizzabile dai titolari e responsabili ed è previsto fra le attenuanti in caso di sanzione (art. 83 Reg. 679/2016)
16-03-17
Le responsabilità e la figura del DPO
TÜV Italia Slide 17 16-02-22
• L‟articolo 24 definisce le responsabilità del TITOLARE del trattamento: deve mettere in atto politiche adeguate in materia di protezione dei dati
• L‟articolo 28 introduce la figura del RESPONSABILE del trattamento che agisce per conto del Titolare e che deve presentare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate….
• Il RESPONSABILE della protezione dei dati (definito anche DPO)è una figura
di cui sono tenute a dotarsi le aziende pubbliche e private che ricadono nella definizione dell‟art. 37
Il ruolo di Data Protection Officer (DPO)
TÜV SÜD Italia Slide 18 23 Jan 2017
Il Regolamento UE 2016/679 introduce una nuova figura chiamata Data
a rischio e fatto salvo da una diversa disposizione legislativa. I suoi compiti sono quelli di:
• informare e fornire consulenza al titolare del trattamento o al responsabile
del trattamento dei dati in riferimento agli obblighi che derivano dal Regolamento UE 2016/679
• verificare l’applicazione ed attuazione del Regolamento UE 2016/679 e di tutti gli adempimenti ad esso collegati
• fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento
• cooperare ed interloquire con l‟Autorità Garante
e facoltativa per i soggetti privati ad eccezione di alcuni trattamenti dei dati Protection Officer (DPO) e la sua nomina è obbligatoria per i soggetti pubblici
Tra i compiti del DPO….
TÜV Italia Slide 19 16-02-22
Best practice, codici di condotta e certificazioni possono, di
conseguenza, essere utilizzati come elementi di prova anche dai
titolari o responsabili del trattamento non soggetti all’applicazione del Regolamento.
Gli audit interni, gli assessment e il monitoraggio del proprio sistema organizzativo rispetto alla privacy assumeranno nel nuovo sistema di protezione dei dati un ruolo molto importante. Il Regolamento europeo per la privacy, infatti, prevede di aver attuato le misure organizzative e di sicurezza adeguate alla particolare tipologia di dati.
Cosa sono gli audit: Norma ISO 19011:2012
ISO 19011:2012 Linee guida per gli audit dei sistemi di gestione
Audit, verifica ispettiva: Processo sistematico, indipendente e documentato per ottenere evidenze dell‟audit e valutare con obbiettività, al fine di stabilire in quale misura i criteri dell‟audit sono stati soddisfatti
Criteri dell‟audit (audit criteria): Insieme di politiche, procedure o requisiti −I criteri dell‟audit sono utilizzati come riferimento rispetto a cui si confrontano le evidenze
dell‟audit
Evidenze dell‟audit (audit evidence): Registrazioni, dichiarazioni di fatti o di altre informazioni, che sono pertinenti ai criteri dell‟audit e verificabili. Le evidenze dell‟audit possono essere qualitative o quantitative
Risultanze dell‟audit (audit findings): Risultati della valutazione delle evidenze dell‟audit raccolte rispetto ai criteri dell‟audit Le risultanze dell‟audit possono indicare conformità o non conformità rispetto ai criteri dell‟audit o segnalare opportunità di miglioramento
Conclusioni dell‟audit (audit conclusion): Esito di un audit fornito dal gruppo di audit dopo aver preso in esame gli obbiettivi dell‟audit e tutte le risultanze dell‟audit
TÜV Italia Slide 20 16-02-22
Obiettivi dell‟Audit
• Dimostrare: • la conformità:
– a quanto pianificato
– ai requisiti della norma
– ai requisiti stabiliti dall'organizzazione
• l‟attuazione efficace del Sistema • Verificare che il Sistema sia
mantenuto aggiornato (Verificare la risoluzione delle non conformità, l‟attuazione delle azioni correttive, Valutare opportunità di miglioramento, l‟andamento degli obiettivi, in relazione alla politica etc…)
TÜV Italia Slide 21 16-02-22
Attività degli audit e degli assessment: qual è il flusso
TÜV Italia Slide 22 16-02-22
inizio dell’audit
riesame documentazione
preparazione audit
svolgimento audit in
campo
gestione rapporto
chiusura dell’audit
azioni successive
Svolgimento dell‟audit in campo
TÜV Italia Slide 23 16-02-22
Svolgimento dell’audit e degli assessment in campo: quale il flusso
Fonti di informazione
Raccolta per campionamento e verifica
Valutazione rispetto ai criteri
Riesame
Conclusioni
Evidenze dell’audit
Risultanze dell’audit
Chiusura dell‟audit
• L‟audit può essere chiuso quando tutte le attività descritte nel piano sono state attuate ed il rapporto approvato è stato distribuito.
• Dall‟audit scaturiscono le risultanze (es: non conformità, osservazioni, etc…)
• Non conformità significa mancata applicazione di quanto predisposto (piani, procedure, contratti, ecc.), ciò è dovuto, nella maggior parte dei casi a: – carenze formative (il Sistema non è noto oppure non è disponibile al
personale)
– carenza di risorse (umane ed infrastrutture)
– mancanza di tempo (non è applicato oppure non è applicabile)
– attività non efficace (mancanza di valore aggiunto al processo)
– mix delle cause precedenti
TÜV Italia Slide 24 16-02-22
Cosa ci racconta una NON Conformità
TÜV Italia Slide 25 16-02-22
• Area: Ufficio Commerciale
• Evidenza: Offerte clienti
23/2015 e 67/2015
• Campionamento: 6 contratti dal marzo 2015 a ottobre 2015
• Non conformità: non riportano le indicazioni in merito alle modalità di trattamento dei dati
• Riferimenti: procedura PR.COMM/01
Dove concentrare l’attenzione
In quali casi si è verificata
Entità/estensione del fenomeno
Problema riscontrato
Dove viene spiegato
Conclusioni
• Siamo in attesa dell‟uscita delle linee guida da parte del Garante…. Ma il tempo passa
• Progettiamo ed implementiamo i nostri sistemi …. Che devono essere monitorati • Gli strumenti di monitoraggio esistono di già: questo intanto possiamo farlo….
TÜV Italia Slide 26 16-02-22
Grazie per la
vostra attenzione
Cel. 3487224187
Se interessato, visita il nostro sito www.tuv.it e iscriviti alla Newsletter TÜV Italia. Sarai sempre aggiornato sulle nostre iniziative!
TÜV Italia Slide 27 16-03-17
Top Related