shield 1086703 960 720

Attualmente le certificazioni  emesse in materia di privacy o data protection rilasciate in Italia, a legislazione vigente non possono definirsi “conformi agli artt. 42 e 43 del Regolamento UE 2016/679” e al Dlgs 101/2018 di adeguamento del Dlgs. 196/2003. Le certificazioni sono consigliate tuttavia non riducono le responsabilità del Titolare e dei Responsabile del trattamento. 

 

Enti e imprese operanti il trattamento dei dati personali

Il Regolamento UE n. 2016/679 ai sensi dell’art. 42, c. 4, prevede che la certificazione “non riduce la responsabilità del Titolare del trattamento o del Responsabile del trattamento.”
Ai sensi dell’art. 24 del Regolamento il Titolare del trattamento, che rappresenta l’ente o l’impresa, mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alle disposizioni del Regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
L’adesione dell’ente o dell’azienda ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione, riguarda il Titolare o il Responsabile del trattamento e può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.
Sul tema della certificazione il Garante e Accredia, l’Ente unico nazionale di accreditamento designato dal Governo italiano, hanno emesso un comunicato congiunto, pubblicato sul sito dell’Autorità il 18 luglio 2017 (doc. web n. 6621723), con il quale hanno sottolineato che «al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, a legislazione vigente non possono definirsi “conformi agli artt. 42 e 43 del regolamento 2016/679“, poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione».
Per la certificazione delle misure di protezione dei dati si dovrà attendere e non prendere in considerazione le operazioni speculative che propongono certificazioni senza fondamento di riconoscimento normativo. L’ente o l’impresa, quando saranno riconosciuti i certificatori abilitati da Accredia, potranno analizzare con il DPO la convenienza di attivare un processo di certificazione che, come detto, non rende indenni dall’applicazione di sanzioni ma potrebbe contribuire, congiuntamente alle misure obbligatorie, a provare la conformità alle disposizioni previste dal Regolamento UE.  

 

formazione online

 

Responsabile della Protezione dei dati – RPD/DPO

Per quanto riguarda le conoscenze e competenze del Responsabile della Protezione dei dati – RPD/DPO – in base all’articolo 37, paragrafo 5 del Regolamento, il RPD “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. 
Come riportato sulle Linee guida sui Responsabili della protezione dei dati elaborato dal Gruppo di Lavoro Articolo 29, WP 243, pubblicato dal Garante Privacy , nel considerando 97 del Regolamento UE si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.
Il livello di conoscenza specialistica richiesto non trova una definizione tassativa nè l’iscrizione in albi o l’ottenimento di certificazioni; piuttosto, deve essere proporzionato alla sensibilità, complessità, quantità dei dati sottoposti a trattamento e all’esperienza documentata del soggetto da nominare.
In una nota del 28/07/2017 il Garante della Privacy ribadisce che “allo stato, le disposizioni non prevedono un albo dei “Responsabili della protezione dei dati”, che attesti i requisiti e le caratteristiche di conoscenza, abilità e competenza, previste dal citato quadro normativo né richiedono che tali requisiti siano attestati attraverso specifiche certificazioni“.
L’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un RPD; tuttavia, sono pertinenti al riguardo la conoscenza da parte del RPD della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del Regolamento UE – RGPD.  
E’ utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare; inoltre, il RPD dovrebbe avere buona familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare. 
Nel caso di un organismo pubblico, il RPD dovrebbe possedere anche una conoscenza approfondita delle norme e procedure amministrative applicabili.

 

Banner Supporto e DPO

Leggi anche

Accessibilità dei siti web e delle app di soggetti privati con fatturato medio superiore a € 500 milioni

Il DL 76/2020 ha esteso al settore privato alcuni obblighi sull’accessibilità, previsti già dalla Legge 4/2004 per le Pubbliche Amministrazioni, ai soggetti che offrono servizi al pubblico, attraverso siti web o applicazioni mobili, con un fatturato medio, negli ultimi tre anni di attività, superiore a 500 milioni di euro, con l’obiettivo di consentire la più ampia […]

PNRR: Proroga Avvisi in scadenza app IO, pagoPA e SPID/CIE

Con Decreto del Capo Dipartimento è stata prorogata la data di scadenza di alcuni Avvisi previsti per l’implementazione delle misure 1.4.3 (app IO e pagoPA) e 1.4.4 (SPID/CIE). Di seguito il dettaglio: Potete trovare QUI tutti i dettagli di ogni avviso con la relativa documentazione scaricabile. Fonte PA Digitale 2026

Scadenza 31 gennaio Amministrazione trasparente: Obblighi di pubblicazione e invio dati delle PA ad Anac. Modalità operative 2023

Dataset ANAC

A partire da febbraio 2023 saranno effettuati i tentativi di accesso automatizzato alle URL comunicate dalle Amministrazioni per l’acquisizione dei file xml pubblicati riportanti i CIG utilizzati nell’anno di riferimento. A riguardo, si consiglia di verificare che tutti i file xml generati siano accessibili e rispettino le specifiche tecniche definite dall’Autorità. Il dettaglio dell’esito dell’ultimo tentativo […]