Le Slide dell'intervento di Biagio Lammoglia e Fabio Guasconi alla giornata #Ready4EUdataP organizzata da Europrivacy

1. Data Protection Officer: consigli all’uso e certificazioni
Biagio Lammoglia – Consulente
Fabio Guasconi – Bl4ckswan
Milano, 29 GENNAIO 2016
#READY4EUDATAP

2. #READY4EUDATAP
Argomenti trattati
 Inquadramento del Data Protection Officer (DPO) nella versione
consolidata del nuovo Regolamento
 Criteri di designazione obbligatoria
 Posizione del DPO all’interno dell’organizzazione aziendale
 Compiti del DPO
 Competenza professionali
 Il quadro normativo italiano
 Schema e-CF e UNI 11506
 Progetto PPP
 Costruzione dei profili professionali
 Ipotesi su profili e competenze
 Ipotesi di organigramma privacy

3. #READY4EUDATAP
La figura del DPO nel Regolamento
DIRECTIVE 95/46/EC
Article 18 (2):
"Member States may provide for the simplification of or exemption from
notification (...) where the controller, in compliance with the national law
which governs him, appoints a personal data protection official (...)"

4. #READY4EUDATAP
Designazione del Data Protection Officer
European Commission’s Proposal
The controller and the processor
shall designate a data
protection officer in any case
where:
(a) the processing is carried out
by a public authority or body; or
(b) the processing is carried out
by an enterprise employing 250
persons or more;
Council’s General Aapproach
The controller or the processor may, or where
required by Union or Member State law shall,
designate a data protection officer (…).
European Parliament’s First Reading
The controller and the processor shall designate
a data protection officer in any case where:
(a) the processing is carried out by a
public authority or body; or
(b) the processing is carried out by a legal person
and relates to more than 5000 data subjects in
any consecutive 12-month period
Conciliation Committee (TRILOGOUE)
Outcome of the inter-institutional negotiations
The controller and the processor shall designate a
data protection officer in any case where:
(a) the processing is carried out by a
public authority or body, except for courts acting in
their judicial capacity; or
(b) the core activities of the controller or the
processor consist of processing operations
which, by virtue of their nature, their scope and/or
their purposes, require regular and
systematic monitoring of data subjects on a large
scale; or
(c) the core activities of the controller or the processor
consist of processing on a large
scale of special categories of data pursuant to
Article 9 and data relating to criminal
convictions and offences referred to in Article 9a.

5. #READY4EUDATAP
Posizione nell’organizzazione aziendale
 Deve essere coinvolto in tutte le questioni riguardanti la
protezione dei dati personali.
 Deve beneficiare delle risorse necessarie per adempiere ai propri
compiti e per mantenere l'aggiornamento professionale.
 Non deve ricevere alcuna direttiva per quanto riguarda l'esercizio
dei propri compiti.
 Non può essere licenziato in conseguenza dello svolgimento delle
sue attività.
 Deve riportare direttamente ad un livello manageriale superiore
rispetto al controller ed al processor.
 Può svolgere altri compiti a patto che questi non generino conflitto
di interessi.
Trasversalità
Autonomia
Alto livello
gerarchico
Tutela del
ruolo
Flessibilità
Copertura
economica

6. #READY4EUDATAP
Compiti del Data Protection Officer
 Informare e consigliare tutte le figure coinvolte nel trattamento in
merito agli obblighi derivanti dal Regolamento.
 Vigilare sull'osservanza del Regolamento, l'attribuzione delle
responsabilità, la formazione del personale e gli audit connessi.
 Contribuire alla Data Protection Impact Assessment e tenere nella
debita considerazione i rischi associati alle operazioni di
trattamento.
 Cooperare con l‘Autorità di Controllo e fungere per quest’ultima
da punto di contatto.
Sensibilizzazione
Supporto
strategico
Rappresentanza
Controllo

7. #READY4EUDATAP
Competenze del Data Protection Officer
ARTICOLO 35, COMMA 5 (TESTO CONSOLIDATO)
 The data protection officer shall be designated on the basis of
professional qualities and, in particular, expert knowledge of
data protection law and practices and the ability to fulfil the
tasks referred to in Article 37.
ARTICOLO 35, COMMA 11 (PROPOSTA COMMISSIONE EUROPEA)
 Alla Commissione è conferito il potere di adottare atti delegati
conformemente all’articolo 86 al fine di precisare i criteri e i
requisiti concernenti le attività principali del responsabile del
trattamento o dell’incaricato del trattamento di cui al paragrafo 1,
lettera c), e i criteri relativi alle qualità professionali del
responsabile della protezione dei dati di cui al paragrafo 5.

8. #READY4EUDATAP
Regolamentazione della figura professionale
DATA PROTECTION OFFICER
LEGGE N. 4/2013 - DISPOSIZIONI IN MATERIA DI PROFESSIONI NON ORGANIZZATE
 Figura professionale attualmente non regolamentata dalle leggi
italiane.
 Non esiste un Ordine Professionale specifico a garanzia della
qualità delle attività svolte dal singolo professionista.
 Disciplina la qualificazione delle competenze dei professionisti
che esercitano la propria attività al di fuori di albi e collegi.
 Prevede che tali competenze possano essere valutate:
o dalle Associazioni Professionali presso le quali sono iscritti i
professionisti;
o attraverso il ricorso alla CERTIFICAZIONE delle competenze
professionali in conformità alla norma tecnica UNI (se
definita) per la singola professione rilasciata da Organismi di
Certificazione accreditati da ACCREDIA.

9. #READY4EUDATAP
Attestazione standard qualitativi e di
qualificazione professionale
Al fine di tutelare i consumatori e di garantire la trasparenza del
mercato dei servizi professionali, le Associazioni Professionali
possono rilasciare ai propri iscritti, previe le necessarie verifiche,
sotto la responsabilità del proprio rappresentante legale, una
ATTESTAZIONE relativa:
 agli standard qualitativi e di qualificazione professionale
(formazione, aggiornamento, rispetto del codice deontologico);
 all'eventuale possesso da parte del professionista iscritto di una
certificazione, rilasciata da un organismo accreditato, relativa alla
conformità alla norma tecnica UNI;
 alle garanzie fornite dall'associazione all'utente (sportello per il
consumatore).
(LEGGE 4/2013 ART. 7, COMMA 1)

10. #READY4EUDATAP
Processo di certificazione accreditato
LEGGE n.4 del 14/1/2013
“Gli organismi di certificazione accreditati
dall'organismo unico nazionale di
accreditamento (ACCREDIA) (...)
possono rilasciare (…)
il certificato di conformità
alla norma tecnica UNI
(se definita) per la singola professione.”
(art. 9 comma 2)
Organismo di
Certificazione N
Processo di accreditamento
Certificazione di conformità alla norma UNI rilasciata da Organismo Accreditato
"(...) le associazioni professionali (...) collaborano
all'elaborazione della normativa tecnica UNI
relativa alle singole attività professionali."
(art. 9 comma 1)
LEGGE n.4 del 14/1/2013
UNINFO – Progetto E14D00036
Profili professionali relativi alla privacy
Organismo di
Certificazione 1
Organismo di
Certificazione 2
ACCREDITATO ACCREDITATO ACCREDITATO

11. #READY4EUDATAP
Schema e-CF e UNI 11506

12. #READY4EUDATAP
Schema e-CF e UNI 11506
La UNI 11506 aggiunge ad e-CF versione 2.0 gli elementi necessari
per una qualificazione delle competenze ossia:
 §6 Elementi per la valutazione e convalida dei risultati
dell'apprendimento (metodi di valutazione e organizzazione che
effettua la convalida)
 §7 Aspetti etici e deontologici applicabili
E’ in corso il recepimento come norma europea di e-CF versione 3.0
che prenderà il posto della UNI 11506, aggiornandola.

13. #READY4EUDATAP
Progetto PPP (E14D00036)
Alias "profili professionali relativi alla privacy"
Obiettivo
Definizione di profili professionali ed elementi collegati in materia,
coerentemente con la legge 4/2013, unificati in un unico schema che
rispecchi le esigenze di mercato.
Struttura
Impiega gli strumenti messi a disposizione dalla collegata “Metodologia
per la costruzione di profili professionali basati sul sistema e-CF”
Partecipanti
 Commissione UNINFO APNR
 Commissione UNINFO 510 per la sicurezza delle informazioni
 Commissione UNI Sicurezza della società e del cittadino

14. #READY4EUDATAP
Contenuto dei profili professionali
Definizione sintetica
Missione
Deliverable
• (RACI)
Compiti principali
Competenze
• Livello
Abilità
Conoscenze
KPI
SchemadiprofiloprofessionaledaCWA16458

15. #READY4EUDATAP
Costruzione dei profili professionali
e-CF Framework v. 3.0
Competenze informatiche / non informatiche
Elementi di creazione
del GdL
e-Competence (40)
Conoscenze (m)
Aree e-Competence (5)
Competenze
Livelli (5)
Dimensione 1
Dimensione 2
Dimensione 3
Dimensione 4 Abilità (n) ConoscenzeAbilità

16. #READY4EUDATAP
Ipotesi su profili e competenze
(Chief) Privacy
Officer
DPO
Auditor
Privacy
Specialista
Privacy IT
Specialista
Privacy Legale
Manager Privacy
Legale
Manager
Privacy IT
Data protection
manager
 Elettronica e hardware
 Sistemi operativi
 Applicativi
 Basi di dati
 Reti
 Internet e web
 Cloud
 Web
 IOT
 Telecomunicazioni
 Smart devices
 Sensori
 Tecnologie di geolocalizzazione
 Tecnologie di identificazione
 Firma digitale ed elettronica
 Crittografia e pseudonimizzazione
 Big data
 Surveillance
 Analisi del rischio e impact assessment
 Privacy by design e by default
 Copie di sicurezza, integrità dei dati,
continuità operativa e resilienza
 Politiche di test per la sicurezza dei
trattamenti
 Auditing
Partenza dai profili (top down)
Partenza dalle aree di competenza (bottom up)

17. #READY4EUDATAP
Ipotesi di organigramma privacy
Auditor Privacy
Specialista
Privacy IT
CIO
Legale o
Compliance
Audit
Specialista
Privacy Legale
Manager
Privacy IT
Manager Privacy
Legale
Linee di
Business
Specialista
Privacy
Manager
Privacy
Profili in relazione tra loro
DPO
(Chief) Privacy
Officer
Top
Management

18. #READY4EUDATAP
Facci una domanda sul Blog
Contattaci su Twitter