IL NUOVO REGOLAMENTO PRIVACY: Regolamento sulla … · essere incoraggiata l'istituzione di...

IL NUOVO

REGOLAMENTO PRIVACY:

Regolamento sulla protezione

dei dati personali 679/2016:

Certificazione e Codici di

Condotta

TÜV ITALIA Management Services Division

Relatori:

Sabrina Bruschi – Business Unit Manager

TÜV Italia Slide 1 16-03-17

Di cosa parliamo…

1 Inquadramento

2

Introduzione del concetto di certificazione

3

L„accreditamento

4 Ruolo degli audit

TÜV SÜD Italia Slide 2 16-02-22 TÜV Italia Slide 2 16-03-17

TÜV SÜD Italia Slide 3 16-02-22

Inquadramento

Il Regolamento Europeo UE 2016-679: Milestones

• Pubblicazione del Regolamento sulla Gazzetta Ufficiale L119 dell‟Unione Europea del Parlamento Europeo e del Consiglio il 04/05/2016 a fronte dell‟approvazione del 27/04/2016

• E‟ relativo alla: “Protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” e abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) da cui era disceso il D.lgs 196/2003

• Diventerà applicabile in tutti i paesi dell‟Unione Europea a partire dal 25 maggio 2018, data in cui dovrà essere garantito il perfetto allineamento fra normativa nazionale e quella Europea (Recepimento)

TÜV Italia Slide 3

• Armonizza la normativa della privacy in tutti i paesi

dell‟Unione Europea

16-03-17


Inquadramento

Le considerazioni nel regolamento a proposito di “CERTIFICAZIONE e CODICI DI CONDOTTA”

(77) …dimostrare la conformità da parte del titolare del trattamento o dal responsabile del trattamento in particolare per quanto riguarda l'individuazione del rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l'individuazione di migliori prassi per attenuare il rischio, potrebbero essere forniti in particolare mediante codici di condotta approvati, certificazioni approvate, linee guida

fornite dal comitato o indicazioni fornite da un responsabile della protezione dei dati.

(81) L'applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento.

(100) Al fine di migliorare la trasparenza e il rispetto del presente regolamento dovrebbe essere incoraggiata l'istituzione di meccanismi di certificazione e sigilli nonché marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi.



Inquadramento

Gli articoli del regolamento a proposito di “CERTIFICAZIONE”: la RESPONSABILITA’

Art. 24.3 RESPONSABILITA‟ DEL TITOLARE DEL TRATTAMENTO L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

Art. 25.3 PROTEZIONE DEI DATI FIN DALLA PROGETTAZIONE E PROTEZIONE PER IMPOSTAZIONE PREDEFINITA Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

Art. 28.5 RESPONSABILITA‟ DEL TRATTAMENTO L‟Adesione da parte del responsabile del trattamento ad un codice di condotta approvato da cui all‟art. 40 o a un meccanismo di certificazione approvato di cui all‟art. 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1-4 del presente articolo

16-02-22

Art. 32.3 SICUREZZA DEL TRATTAMENTO L'adesione Ad un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di

certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti al paragrafo 1 del presente articolo.

Codici di condotta e certificazione

Art. 40 e 41 Codici di condotta

Riferimento Codice di “CONDOTTA” Obiettivo: Corretta applicazione del Regolamento (Efficacia) su molti

argomenti (l‟elenco è esemplificativo e non esaustivo) Destinatari Titolari e Responsabili

Market leader Associazioni di riferimento rappresentative e soggetti di controllo (Le Autorità)

Obblighi Prevista approvazione e pubblicità

Note Aperto anche a soggetti non obbligati alla sottoscrizione

Commento: Articoli difficili da applicare senza chiarimenti. Si evidenzia l‟attività di controllo su questi strumenti da parte del soggetto pubblico “europeo” (Vedi l‟aspetto “monitoraggio” dell‟art. 41)

Codici di condotta e certificazione

Art. 42 e 43 Certificazione

Riferimento Meccanismi di certificazione, sigilli e Marchi

Obiettivo: Protezione dei dati e dimostrazione della conformità

Destinatari Titolari e Responsabili

Market leader Associazioni di riferimento rappresentative e soggetti di controllo (Le Autorità)

Obblighi Prevista approvazione e pubblicità

Note Azione VOLONTARIA

Commento: Anche questi Articoli necessitano di chiarimenti anche se ci sono già esempi. Si parla di accreditamento tramite due opportunità (alternative e congiunte): Autorità di controllo competente (art. 55 e 56) Ente di Accreditamento sulla base della ISO 17065 e dei requisiti aggiuntivi previsti espressamente dalle autorità di controllo competente e del Regolamento (già contenuti nella Iso 17065)

Partiamo dal concetto di accreditamento

TÜV Italia Slide 8

Art. 43 Organismi di certificazione

Gli Stati membri garantiscono che tali

organismi di certificazione siano

accreditati da uno o entrambi dei

seguenti organismi:

a) dall'autorità di controllo competente ai sensi degli articoli 55 o 56;

b) dall'organismo nazionale di

accreditamento designato in virtù

del regolamento (CE) n. 765/2008

del Parlamento europeo e del

Consiglio (1) conformemente alla

norma EN-ISO/IEC 17065/2012 e ai

requisiti aggiuntivi stabiliti

dall'autorità di controllo competente ai sensi degli articoli 55 o 56.

16-03-17

Partiamo dal concetto di accreditamento

TÜV Italia Slide 9

Cos’è l’accreditamento:

«Attestazione da parte di un organismo nazionale di accreditamento che certifica

che un determinato organismo di valutazione della conformità soddisfa i criteri

stabiliti da norme armonizzate e, ove appropriato, ogni altro requisito

supplementare, compresi quelli definiti nei rilevanti programmi settoriali, per

svolgere una specifica attività di valutazione della conformità» REG (CE) N. 765/2008

ACCREDIA valuta e accerta la competenza di un Organismo […] applicando i più rigorosi standard di verifica del loro comportamento e monitorando

continuativamente nel tempo le loro prestazioni, e aderisce agli Accordi

internazionali di mutuo riconoscimento.

Fonte: Accredia 10/10/2016 – www.accredia.it

16-03-17

Quale la norma di riferimento

TÜV Italia Slide 10

L'accreditamento attesta il livello di qualità del lavoro di un Organismo (di certificazione e di ispezione) o di un Laboratorio (di prova e di taratura), verificando la conformità del suo sistema di gestione e delle sue competenze a

requisiti normativi internazionalmente riconosciuti, nonché alle prescrizioni

legislative obbligatorie.

Fonte: Accredia 10/10/2016 – www.accredia.it

Norma di riferimento per gli Organismi di Certificazione :

CEI UNI EN ISO/IEC 17065 2012-12

“Valutazione della conformità – Requisiti per Organismi che certificano prodotti, processi e servizi”

16-03-17

Presupposti per l‟accreditamento


L'accreditamento è pertanto garanzia di:

Imparzialità: rappresentanza di tutte le Parti interessate all'interno

dell'Organismo/Laboratorio.

Indipendenza: gli auditor e i comitati preposti al rilascio della

certificazione/rapporto garantiscono l'assenza di conflitti di interesse con l'organizzazione da certificare.

Correttezza: le norme europee vietano la prestazione di consulenze sia

direttamente che attraverso società collegate.

Competenza: l'accreditamento attesta in primo luogo che il personale addetto

all'attività di verifica sia culturalmente, tecnicamente e professionalmente

qualificato.

Fonte: Accredia

16-03-17

Accreditamento Tuv Italia


Il concetto di certificazione


Fonte: CEI UNI EN ISO/IEC 17065 - 2012-12: INTRODUZIONE

Il fine complessivo della certificazione di prodotti, processi o servizi consiste nell’infondere fiducia a tutte le parti interessate che un prodotto, processo o servizio soddisfa requisiti specificati. Il valore della certificazione è il grado di fiducia e di credito che si stabilisce mediante una dimostrazione imparziale e competente, effettuata da una terza parte, di soddisfacimento di requisiti specificati.

16-03-17

Il concetto di certificazione

TÜV SÜD Italia Slide 14 TÜV SÜD Italia Slide 14 16-02-22 TÜV Italia Slide 14

1 • Certificazione: Verifica indipendente

2 • Organismo di certificazione: Organismo di valutazione della conformità di terza parte che attua

schemi di certificazione.

3 • Schema di certificazione: Sistema di certificazione relativo a prodotti specificati, ai quali si applicano

gli stessi requisiti specificati, specifiche regole e procedure.

4 • Proprietario dello schema: Persona od organizzazione responsabile per l‟elaborazione ed il

mantenimento di uno specifico schema di certificazione

5

• Campo di applicazione della certificazione: Identificazione di: • - prodotto(i), processo(i), o servizio(i) per cui è rilasciata la certificazione; • - schema di certificazione applicabile; e • - norma(e) ed altro(i) documento(i) normativo(i), compresa la loro data di pubblicazione, ai quali il(i)

prodotto(i), processo(i) o servizio(i) è(sono) giudicato(i) conforme(i).

16-03-17

Facciamo il punto

TÜV SÜD Slide 15

L’adozione e l’applicazione del Regolamento UE 2016/679 dal maggio 2018 è obbligatorio.

Mancano ad oggi le linee guida che spieghino adeguatamente come comportarci (ci sono ancora molte questioni che devono essere chiarite da parte degli organi competenti)

La certificazione di un’ORGANIZZAZIONE è VOLONTARIA

Per essere riconosciuta deve essere erogata da un ente accreditato

16-03-17

I riferimenti per gli organismi di certificazione oggi

TÜV SÜD Italia Slide 16 TÜV SÜD Italia Slide 16 16-02-22 TÜV Italia Slide 16

CIRCOLARE ACCREDIA – 23/2016 Lo schema di certificazione ISDP 10003:2015

risponde ai requisiti di cui all‟art. 42 e 43 del Reg. 679/2016 ed è applicabile a tutte le tipologie di organizzazioni soggette a norme vigenti in tema di “Tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”.

Lo schema di certificazione specifica ai “Titolari” e “Responsabili” del trattamento, soggetti a vincoli normativi vigenti nel territorio UE, i requisiti necessari per la corretta valutazione della conformità alle norme stesse.

Il meccanismo di certificazione, pur essendo non obbligatorio, viene richiamato come elemento per la dimostrazione della conformità utilizzabile dai titolari e responsabili ed è previsto fra le attenuanti in caso di sanzione (art. 83 Reg. 679/2016)

16-03-17

Le responsabilità e la figura del DPO


• L‟articolo 24 definisce le responsabilità del TITOLARE del trattamento: deve mettere in atto politiche adeguate in materia di protezione dei dati

• L‟articolo 28 introduce la figura del RESPONSABILE del trattamento che agisce per conto del Titolare e che deve presentare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate….

• Il RESPONSABILE della protezione dei dati (definito anche DPO)è una figura

di cui sono tenute a dotarsi le aziende pubbliche e private che ricadono nella definizione dell‟art. 37

Il ruolo di Data Protection Officer (DPO)

TÜV SÜD Italia Slide 18 23 Jan 2017

Il Regolamento UE 2016/679 introduce una nuova figura chiamata Data

a rischio e fatto salvo da una diversa disposizione legislativa. I suoi compiti sono quelli di:

• informare e fornire consulenza al titolare del trattamento o al responsabile

del trattamento dei dati in riferimento agli obblighi che derivano dal Regolamento UE 2016/679

• verificare l’applicazione ed attuazione del Regolamento UE 2016/679 e di tutti gli adempimenti ad esso collegati

• fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento

• cooperare ed interloquire con l‟Autorità Garante

e facoltativa per i soggetti privati ad eccezione di alcuni trattamenti dei dati Protection Officer (DPO) e la sua nomina è obbligatoria per i soggetti pubblici

Tra i compiti del DPO….


Best practice, codici di condotta e certificazioni possono, di

conseguenza, essere utilizzati come elementi di prova anche dai

titolari o responsabili del trattamento non soggetti all’applicazione del Regolamento.

Gli audit interni, gli assessment e il monitoraggio del proprio sistema organizzativo rispetto alla privacy assumeranno nel nuovo sistema di protezione dei dati un ruolo molto importante. Il Regolamento europeo per la privacy, infatti, prevede di aver attuato le misure organizzative e di sicurezza adeguate alla particolare tipologia di dati.

Cosa sono gli audit: Norma ISO 19011:2012

ISO 19011:2012 Linee guida per gli audit dei sistemi di gestione

Audit, verifica ispettiva: Processo sistematico, indipendente e documentato per ottenere evidenze dell‟audit e valutare con obbiettività, al fine di stabilire in quale misura i criteri dell‟audit sono stati soddisfatti

Criteri dell‟audit (audit criteria): Insieme di politiche, procedure o requisiti −I criteri dell‟audit sono utilizzati come riferimento rispetto a cui si confrontano le evidenze

dell‟audit

Evidenze dell‟audit (audit evidence): Registrazioni, dichiarazioni di fatti o di altre informazioni, che sono pertinenti ai criteri dell‟audit e verificabili. Le evidenze dell‟audit possono essere qualitative o quantitative

Risultanze dell‟audit (audit findings): Risultati della valutazione delle evidenze dell‟audit raccolte rispetto ai criteri dell‟audit Le risultanze dell‟audit possono indicare conformità o non conformità rispetto ai criteri dell‟audit o segnalare opportunità di miglioramento

Conclusioni dell‟audit (audit conclusion): Esito di un audit fornito dal gruppo di audit dopo aver preso in esame gli obbiettivi dell‟audit e tutte le risultanze dell‟audit


Obiettivi dell‟Audit

• Dimostrare: • la conformità:

– a quanto pianificato

– ai requisiti della norma

– ai requisiti stabiliti dall'organizzazione

• l‟attuazione efficace del Sistema • Verificare che il Sistema sia

mantenuto aggiornato (Verificare la risoluzione delle non conformità, l‟attuazione delle azioni correttive, Valutare opportunità di miglioramento, l‟andamento degli obiettivi, in relazione alla politica etc…)


Attività degli audit e degli assessment: qual è il flusso


inizio dell’audit

riesame documentazione

preparazione audit

svolgimento audit in

campo

gestione rapporto

chiusura dell’audit

azioni successive

Svolgimento dell‟audit in campo


Svolgimento dell’audit e degli assessment in campo: quale il flusso

Fonti di informazione

Raccolta per campionamento e verifica

Valutazione rispetto ai criteri

Riesame

Conclusioni

Evidenze dell’audit

Risultanze dell’audit

Chiusura dell‟audit

• L‟audit può essere chiuso quando tutte le attività descritte nel piano sono state attuate ed il rapporto approvato è stato distribuito.

• Dall‟audit scaturiscono le risultanze (es: non conformità, osservazioni, etc…)

• Non conformità significa mancata applicazione di quanto predisposto (piani, procedure, contratti, ecc.), ciò è dovuto, nella maggior parte dei casi a: – carenze formative (il Sistema non è noto oppure non è disponibile al

personale)

– carenza di risorse (umane ed infrastrutture)

– mancanza di tempo (non è applicato oppure non è applicabile)

– attività non efficace (mancanza di valore aggiunto al processo)

– mix delle cause precedenti


Cosa ci racconta una NON Conformità


• Area: Ufficio Commerciale

• Evidenza: Offerte clienti

23/2015 e 67/2015

• Campionamento: 6 contratti dal marzo 2015 a ottobre 2015

• Non conformità: non riportano le indicazioni in merito alle modalità di trattamento dei dati

• Riferimenti: procedura PR.COMM/01

Dove concentrare l’attenzione

In quali casi si è verificata

Entità/estensione del fenomeno

Problema riscontrato

Dove viene spiegato

Conclusioni

• Siamo in attesa dell‟uscita delle linee guida da parte del Garante…. Ma il tempo passa

• Progettiamo ed implementiamo i nostri sistemi …. Che devono essere monitorati • Gli strumenti di monitoraggio esistono di già: questo intanto possiamo farlo….


Grazie per la

vostra attenzione

[email protected]

Cel. 3487224187

Se interessato, visita il nostro sito www.tuv.it e iscriviti alla Newsletter TÜV Italia. Sarai sempre aggiornato sulle nostre iniziative!


mailto:[email protected]

http://www.tuv.it/

http://www.tuv.it/it-it/attivita/tuev-italia-akademie/newsletter

IL NUOVO REGOLAMENTO PRIVACY: Regolamento sulla … · essere incoraggiata l'istituzione di...

Documents

Transcript of IL NUOVO REGOLAMENTO PRIVACY: Regolamento sulla … · essere incoraggiata l'istituzione di...