shield 1086703 960 720

Attualmente le certificazioni  emesse in materia di privacy o data protection rilasciate in Italia, a legislazione vigente non possono definirsi “conformi agli artt. 42 e 43 del Regolamento UE 2016/679” e al Dlgs 101/2018 di adeguamento del Dlgs. 196/2003. Le certificazioni sono consigliate tuttavia non riducono le responsabilità del Titolare e dei Responsabile del trattamento. 

 

Enti e imprese operanti il trattamento dei dati personali

Il Regolamento UE n. 2016/679 ai sensi dell’art. 42, c. 4, prevede che la certificazione “non riduce la responsabilità del Titolare del trattamento o del Responsabile del trattamento.”
Ai sensi dell’art. 24 del Regolamento il Titolare del trattamento, che rappresenta l’ente o l’impresa, mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alle disposizioni del Regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
L’adesione dell’ente o dell’azienda ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione, riguarda il Titolare o il Responsabile del trattamento e può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.
Sul tema della certificazione il Garante e Accredia, l’Ente unico nazionale di accreditamento designato dal Governo italiano, hanno emesso un comunicato congiunto, pubblicato sul sito dell’Autorità il 18 luglio 2017 (doc. web n. 6621723), con il quale hanno sottolineato che «al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, a legislazione vigente non possono definirsi “conformi agli artt. 42 e 43 del regolamento 2016/679“, poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione».
Per la certificazione delle misure di protezione dei dati si dovrà attendere e non prendere in considerazione le operazioni speculative che propongono certificazioni senza fondamento di riconoscimento normativo. L’ente o l’impresa, quando saranno riconosciuti i certificatori abilitati da Accredia, potranno analizzare con il DPO la convenienza di attivare un processo di certificazione che, come detto, non rende indenni dall’applicazione di sanzioni ma potrebbe contribuire, congiuntamente alle misure obbligatorie, a provare la conformità alle disposizioni previste dal Regolamento UE.  

 

formazione online

 

Responsabile della Protezione dei dati – RPD/DPO

Per quanto riguarda le conoscenze e competenze del Responsabile della Protezione dei dati – RPD/DPO – in base all’articolo 37, paragrafo 5 del Regolamento, il RPD “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. 
Come riportato sulle Linee guida sui Responsabili della protezione dei dati elaborato dal Gruppo di Lavoro Articolo 29, WP 243, pubblicato dal Garante Privacy , nel considerando 97 del Regolamento UE si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.
Il livello di conoscenza specialistica richiesto non trova una definizione tassativa nè l’iscrizione in albi o l’ottenimento di certificazioni; piuttosto, deve essere proporzionato alla sensibilità, complessità, quantità dei dati sottoposti a trattamento e all’esperienza documentata del soggetto da nominare.
In una nota del 28/07/2017 il Garante della Privacy ribadisce che “allo stato, le disposizioni non prevedono un albo dei “Responsabili della protezione dei dati”, che attesti i requisiti e le caratteristiche di conoscenza, abilità e competenza, previste dal citato quadro normativo né richiedono che tali requisiti siano attestati attraverso specifiche certificazioni“.
L’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un RPD; tuttavia, sono pertinenti al riguardo la conoscenza da parte del RPD della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del Regolamento UE – RGPD.  
E’ utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare; inoltre, il RPD dovrebbe avere buona familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare. 
Nel caso di un organismo pubblico, il RPD dovrebbe possedere anche una conoscenza approfondita delle norme e procedure amministrative applicabili.

 

Banner Supporto e DPO

Leggi anche

Nuovo avviso 1.2 PNRR “Abilitazione al Cloud per le PA Locali” – Comuni settembre 2024

PA digitale 2026 ha pubblicato un nuovo Avviso 1.2 PNRR per favorire la migrazione in cloud dei Comuni. L’Avviso, con uno stanziamento di 30 milioni, rimarrà aperto dal 13 settembre fino ad esaurimento delle risorse disponibili, e comunque non oltre il 6 dicembre 2024. Le candidature presentate dalle PA sono sottoposte – sulla base dell’ordine […]

Asseverazione PNRR 1.4.1 positiva del Comune di Valle Castellana

Asseverato PNRR

Il Comune di Valle Castellana, in Provincia di Teramo, ha superato i controlli di conformità tecnica  previsti dall’avviso 1.4.1 del PNRR eseguiti dall’asseveratore, incaricato dal Dipartimento per la trasformazione digitale della Presidenza del Consiglio, sul progetto “Sito web e Servizi digitali“ realizzato da Actainfo. L’asseverazione del progetto digitale dell’ “Esperienza del cittadino” ha avuto esito positivo e ha autorizzato […]

Inviata dichiarazione di accessibilità elaborata su RTDTEAM

Scade il 23 settembre la Dichiarazione di accessibilità annuale obbligatoria dei siti e applicativi web.