Il DPO e gli schemi di certificazione dei trattamenti

AUTOREFabio Guasconi

EUROPRIVACY.INFO@EUROPRIVACY

Gennaio 2017

Autore

Fabio GUASCONI

Direttivo CLUSIT

Direttivo UNINFO

Presidente del CT 510 Sicurezza Informatica UNINFO

CISA, CISM, PCI-QSA, ITIL, ISFS,

Lead Auditor 27001 & 9001

Partner e co-founder BL4CKSWAN S.r.l.

Certificazione dei profili professionali Schemi e-CF ed EQF Profili professionali per trattamento e protezione dei dati personali Considerazioni sulla figura del DPO Profilo del DPO Profilo del Manager Privacy Percorso di certificazione

Meccanismi di certificazione richiamati nel Regolamento Requisiti del Regolamento Panoramica del mercato Possibili strade future

Agenda

2004-2008Il Quadro europeo delle qualifiche e dei titoli per l'apprendimento permanente (EQF) è uno schema di riferimento per “tradurre” quadri di qualifiche e livelli di apprendimento dei diversi Paesi europei.

2006-2008Il framework per le e-Competence (e-CF) è nato come prima applicazione dell'EQF per i professionisti operanti nell'ICT di ogni organizzazione. e-CF versione 1.0 (2008) e-CF versione 2.0 (2010) e-CF versione 3.0 (2014)

Schemi e-CF ed EQF

Schemi e-CF ed EQFDefinizione sintetica

Missione

Risultati attesi• (RACI)

Compiti principali

e-Competence• Livello

Abilità

Conoscenze

KPI

Schemi e-CF ed EQFLo schema EQF non è strutturato con un catalogo di competenze, abilità e conoscenze specifiche, ma ne definisce le caratteristiche per livello, legandolo a uno schema di riferimento di base.

EQF Level 8 Dottorato di RicercaIstruzione

universitariaEQF Level 7 Laurea Magistrale

EQF Level 6 Laurea

EQF Level 5 Diploma di tecnico superioreIstruzionesecondariaEQF Level 4 Diploma professionale

EQF Level 3 Attestato di qualifica di operatore professionale

EQF Level 2 Certificato delle competenze di base acquisite in esito all’assolvimento dell’obbligo di istruzione Istruzione

primariaEQF Level 1 Diploma di licenza conclusiva del primo ciclo di istruzione

Schemi e-CF ed EQF

Profili professionali per trattamento e protezione dei dati personali

e-CF Framework v. 3.0

Competenze informatiche / non informatiche

Elementi di creazione del GdL

e-Competence (40)

Conoscenze (m)

Aree e-Competence (5)

Competenze

Livelli (5)

Dim. 1

Dim. 2

Dim. 3

Dim. 4 Abilità (n) ConoscenzeAbilità

Top Management

Audit

Specialista Privacy

Esempio di organizzazione basata sui profili della norma

DPO

ValutatorePrivacy

Profili professionali per trattamento e protezione dei dati personali

Manager Privacy

Linee di Business

Considerazioni sulla figura del DPO Figura professionale attualmente non regolamentata dalle leggi italiane. Non sarà designato secondo criteri vincolanti (PA, large scale of monitoring / special

categories data) Molti Titolari lo nomineranno per sgravarsi di responsabilità Potrà essere un soggetto terzo Non esiste un Ordine Professionale specifico a garanzia della qualità delle attività svolte

dal singolo professionista Sul mercato fioriscono attualmente corsi, master, percorsi e certificazioni in materia, che

sono però slegate da ogni schema riconosciuto di certificazione del personale Vi saranno nomine a DPO per soggetti molto diversi tra loro per collocazione aziendale

e competenze

Considerazioni sulla figura del DPOIl DPO ("responsabile della protezione dei dati" nella versione italiana) è definito dagli art. 37, 38, 39 del Regolamento UE 2016/679.

Capo IV Titolare del trattamento e

responsabile del trattamento

Sezione 4 Responsabile della protezione dei dati

Articolo 37 Designazione del

responsabile della protezione dei dati

Articolo 38Posizione del

responsabile della protezione dei dati

Articolo 39Compiti del

responsabile della protezione dei dati

Considerazioni sulla figura del DPOIl WP 29 ha pubblicato in dicembre 2016 delle "Guidelines on Data Protection Officers" che entrano ulteriormente in dettaglio circa quanto esplicitato negli articoli precedenti, fornendo anche esempi di applicazione.

Per quanto riguarda le competenze del DPO, i punti cardine sono:

1) The required level of expertise is not strictly defined but it must be commensurate with the sensitivity, complexity and amount of data an organisation processes

2) DPOs should have expertise in national and European data protection laws and practices and an in-depth understanding of the GDPR

3) Knowledge of the business sector and of the organisation of the controller is useful. The DPO should also have sufficient understanding of the processing operations carried out, as well as the information systems, and data security and data protection needs of the controller.

Profilo del DPO E' stato allineato esattamente con quanto richiesto dal Regolamento in termini di task e deliverables E' possibile aggiungervi alcuni o anche tutti compiti assegnati al profilo del Manager Privacy

MISSIONE

Fornisce al titolare/responsabile del trattamento il supporto indispensabile ad assicurare l’osservanza del Regolamento UE 2016/679.

COMPETENZE

E-CF 3.0 LivelloA.4. Pianificazione di Prodotto o di Servizio 3D.1. Sviluppo della Strategia per la Sicurezza Informatica 4D.8. Gestione del Contratto 3D.9. Sviluppo del Personale 3E.3. Gestione del Rischio 4E.4. Gestione delle Relazioni 4E.8. Gestione della Sicurezza dell’Informazione 3E.9. Governance dei sistemi informativi 4

Profilo del Manager Privacy E' coerente rispetto alle figure di più alta responsabilità che già oggi si occupano di protezione dei

dati personali

MISSIONE Coordina trasversalmente i soggetti coinvolti nel trattamento dei dati personali, al fine di garantire il rispetto delle norme di legge applicabili e il raggiungimento nonché il mantenimento del livello di protezione adeguato in base allo specifico trattamento di dati personali effettuato, coordinando trasversalmente i soggetti in essi coinvolti.

COMPETENZEE-CF 3.0 Livello

A.4. Pianificazione di Prodotto o di Servizio 3C.1. Assistenza all’Utente 3A.5. Progettazione di Architetture 4D.1. Sviluppo della Strategia per la Sicurezza Informatica 4D.8. Gestione del Contratto 3D.9. Sviluppo del Personale 3D.10. Gestione dell’Informazione e della Conoscenza 5E.3. Gestione del Rischio 4E.8. Gestione della Sicurezza dell’Informazione 3E.9. Governance dei Sistemi Informativi 4

Percorso di certificazione

Mantenimento e rinnovo

Valutazione delle competenze e certificazione delle competenze

Apprendimento informale (esperienza lavorativa)

Apprendimento non formale (formazione professionale)

Apprendimento formale (istruzione)

Requisiti m

inimi di accesso

Requisiti del regolamentoA cosa serve la certificazione? Art. 24 Responsabilità del titolare del trattamento, 3) L'adesione ai codici di condotta di

cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

Art. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, 3) Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Art. 28 Responsabile del trattamento, 5) L'adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

Art. 32 Sicurezza del trattamento, 3) L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

... ed è anche inclusa tra i criteri da valutare per determinare le sanzioni ...

Panoramica del mercato

Label CNIL~ 30 certificazioniest. 2011, FranciaProdotti e servizi

ePrivacyseal~ 20 certificazioniest. 2011, GermaniaProdotti e servizi

Privacy Mark~ 20.000 certificazioniest. 1998, GiapponePMS

EuroPriSe~ 60 certificazioniest. 2008, GermaniaPMS

Panoramica del mercatoLeader di mercato come veri "privacy seals"

Panoramica del mercatoForti difficoltà relative a: Difficoltà di comprensione di cosa si sta certificando Mancanza di trasparenza degli schemi Astrattezza delle garanzie fornite Mancanza di riconoscimento del valore aggiunto lato utente finale Eterogeneità dell'offerta e non impiego di elementi comuni Frammentazione del mercato e degli stessi enti di normazione (v. CEN) Paura di usare schemi che domani non saranno più validi

... in sintesi il mercato non è maturo

Possibili strade futureArticolo 43 comma 1 punto a) Articolo 43 comma 1 punto b)

ISO/IEC 17065

Accreditamento Accredia

AccreditamentoGarante

Schema definito o ripreso dal Garante

Requisiti aggiuntivi Garante

Secondo Articolo 43 "uno o entrambi"

Possibili strade future

L'aspetto più interessante è che queste strade non sono esclusive tra loro ... potrebbero crearsi scenari misti o che si sovrappongono nel tempo coesistendo e rendendo ancora più complessa l'adozione da parte del mercato.

1) Proliferazione di schemi proprietari / nazionali • ISDPC 10003:2015 di

Pharmasoft

2) Imposizione di uno schema centralizzato europeo • Comitato• Commissione

3) Adozione di uno schema internazionale • ISO/IEC 27552

fabio.guasconi@bl4ckswan.com