Dettagli sulla Certificazione del Data Protection Management

Al fine di contribuire alla corretta applicazione del Regolamento (UE) 679/2016 – regolamento generale sulla protezione dei dati (GDPR) – in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle grandi e delle micro, piccole e medie imprese, FEDERMANAGER Roma e UNIQUALITY (Stakeholders) hanno elaborato un codice di condotta che è lo standard (modello, specifica) di riferimento per la creazione di un Sistema di gestione della Data Protection.

Perchè un Sistema di gestione della Data Protection ?

Le Aziende, di qualsiasi dimensione, sono abituate a ragionare in termini di Sistema (es. Sistema di gestione della Qualità, della Sicurezza, della Sicurezza delle Informazioni), ed è oggettivamente risaputo che l’applicazione di un sistema di gestione aiuta a soddisfare i requisiti cogenti applicabili.

Gli Stakeholders hanno creato un importante Gruppo di Lavoro, sin dal 2015, costituito dal Gruppo DPO Federmanager Roma-UNIQUALITY e dai rappresentanti dei consumatori/interessati CODACONS, al fine di dettagliare i requisiti, estraendoli dal Regolamento (UE) 679/2016 (GDPR), ed inserendoli all’interno di un codice di condotta/standard (modello, specifica) che consentisse alle Aziende un’immediata implementazione dei nuovi requisiti cogenti.

Il codice di condotta/standard (modello, specifica) che è stato l’output del processo di condivisione degli Stakeholders, ha consentito l’emissione del documento chiamato: DPMS 44001:2016© Data Protection Management System (in sigla «DPMS»), a fronte del quale è possibile fare attività di monitoraggio (Art.41 del GDPR) e attività di certificazione (Art.43 del GDPR).

Il 25 maggio 2016 è entrato in vigore il:

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Ai sensi dell’Art. 99 (Entrata in vigore e applicazione):

1. Il presente regolamento entra in vigore il ventesimo giorno successivo (25 maggio 2016) alla pubblicazione nella Gazzetta ufficiale dell’Unione europea (pubblicazione in Gazzetta ufficiale dell’Unione Europea – L 119 – 4 maggio 2016).

2. Esso si applica a decorrere dal 25 maggio 2018.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Quindi, abbiamo la coesistenza in Italia di due requisiti cogenti applicabili, nel periodo 2016-05-25 – 2018-05-25:

1° Decreto legislativo 30 giugno 2003, n. 196 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI,  aggiornato in base ai seguenti provvedimenti:

decreto legislativo 14 settembre 2015, n. 151.

decreto legge 18 febbraio 2015, n. 7, convertito, con modificazioni, dalla Legge 17 aprile 2015, n. 43;

legge 27 dicembre 2013, n. 147;

decreto legislativo 14 marzo 2013, n. 33;

decreto legislativo 28 maggio 2012, n. 69;

decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35;

decreto legge 6 dicembre 2011, n. 201,convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214;

decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106;

legge 4 novembre 2010, n. 183;

legge 29 luglio 2010, n. 120;

decreto-legge del 25 settembre 2009, n. 135, convertito, con modificazioni, dalla legge 20 novembre 2009, n. 166;

legge 4 marzo 2009, n. 15;

decreto-legge del 30 dicembre 2008, n. 207, convertito, con modificazioni, dalla legge 27 febbraio 2009, n. 14;

decreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008 n. 133;

decreto legislativo 30 maggio 2008, n. 109;

legge 18 marzo 2008, n. 48, ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell’ordinamento interno

decreto-legge 28 dicembre 2006, n. 300, convertito, con modificazioni, dalla legge 26 febbraio 2007, n. 17;

decreto-legge 12 maggio 2006, n. 173, convertito, con modificazioni, dalla legge 12 luglio 2006, n. 228;

decreto-legge 30 dicembre 2005, n. 273, convertito, con modificazioni, dalla legge 23 febbraio 2006, n. 51;

decreto legge 30 novembre 2005, n. 245, convertito, con modificazioni, dalla legge 27 gennaio 2006, n. 21;

decreto legislativo 7 settembre 2005, n. 209;

decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155;

decreto-legge 30 dicembre 2004, n. 314, convertito, con modificazioni, dalla legge 1 marzo 2005, n. 26;

decreto-legge 9 novembre 2004, n. 66, convertito, con modificazioni, dalla legge 27 dicembre 2004, n. 306;

decreto-legge 24 giugno 2004, n. 158, convertito, con modificazioni, dalla legge 27 luglio 2004, n. 188;

decreto-legge 29 marzo 2004, n. 81, convertito, con modificazioni, dalla legge 26 maggio 2004, n. 138;

decreto legislativo 22 gennaio 2004, n. 42;

decreto-legge 24 dicembre 2003, n. 354 convertito, con modificazioni, dalla legge 26 febbraio 2004, n. 45.

 Il Regolamento (UE) 2016/679.

La seguente domanda nasce spontanea: le Aziende italiane preferiranno rimanere compliant con la vecchia normativa o passeranno direttamente al Regolamento unico UE ?

Gli Stati membri e le autorità di controllo incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati, nonché di sigilli e marchi di protezione dei dati, allo scopo di dimostrare la conformità al REGOLAMENTO (UE) 2016/679.

KHC ha elaborato un meccanismo di certificazione, identificato come DPCM 44002:2016© «Data Protection Certification Mechanisms», che ha lo scopo di dimostrare, attraverso l’attività di monitoraggio e/o di certificazione, la conformità al REGOLAMENTO (UE) 2016/679 dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento, che operano in conformità al codice di condotta DPMS 44001:2016©.

Nel DPMS 44001:2016© sono indicati i requisiti minimi per un sistema di gestione della protezione dei dati (Data Protection Management System, in sigla «DPMS»), in funzione delle specificità dei vari settori di trattamento, delle esigenze delle grandi imprese, nonché delle esigenze specifiche delle micro, piccole e medie imprese. I requisiti indicati nel DPMS 44001:2016© sono verificabili attraverso un sistema di monitoraggio e/o attraverso un sistema di valutazione di terza parte (meccanismo di certificazione), da parte dell’organismo di certificazione KHC, in possesso del livello adeguato di competenze riguardo alla protezione dei dati, che può rilasciare e rinnovare la certificazione. Il monitoraggio e/o la certificazione in conformità al DPMS 44001:2016©, possono essere utilizzati a fini esterni, per scopi di comunicazione, e per la dimostrazione di aver adottato un sistema di gestione per la protezione dei dati.

La procedura trasparente di certificazione, come indicato nel meccanismo di certificazione (schema di certificazione) DPCM 44002:2016©, consiste nella fase di:

1. PRIMA CERTIFICAZIONE, consistente nelle attività di:

A) Pianificazione: a seguito delle attività di proposta/contratto con l’azienda, KHC  predispone un Piano di Audit, definisce i tempi di Audit per le attività di valutazione, designa i componenti del gruppo di audit (GA).

B) Attuazione: il processo di audit/verifica iniziale è composto da un esame documentale e di verifica della gestione delle attività in riferimento al trattamento dei dati, presso il/i sito/i del cliente, ed è effettuato dal GA per verificare la conformità del sistema di gestione della protezione dei dati, a fronte dei requisiti del DPMS 44001:2016©, ed al campo di applicazione della certificazione (attività dell’azienda cui si riferisce il trattamento dei dati). L’audit “on-site” consiste in una verifica sul sistema di gestione della protezione di dati, effettuato presso il/i sito/i del cliente, con la seguente finalità: le informazioni documentate del sistema di gestione devono “coprire” i requisiti del DPMS 44001:2016©, e deve essere verificata la corretta attuazione del sistema di gestione del cliente.

C) Conclusione: al termine dell’audit è consegnato al cliente copia del rapporto di audit, sul quale sono tra l’altro riportate le eventuali anomalie riscontrate classificate come Non Conformità (NC), Osservazioni (OSS) e Commenti (COM).

D) Certificazione: al completamento delle attività di verifica e previa decisione e delibera, da parte dell’apposito Comitato, è emesso un giudizio di certificazione o meno del sistema di gestione della protezione dei dati del cliente, ed in caso di esito positivo (nessuna NC presente) si emetterà il relativo Certificato di conformità con validità annuale.

2. SORVEGLIANZA

KHC, a seguito della certificazione emessa, effettua audit periodici sul modello di gestione della protezione dei dati, al fine di valutare il mantenimento della conformità ai requisiti del documento di riferimento DPMS 44001:2016© e del Regolamento (UE) 769/2016. La validità del certificato di conformità, cioè della sorveglianza della certificazione del sistema di gestione della protezione dei dati del cliente, è confermata a seguito dell’esito positivo dell’audit di sorveglianza.

3. RICERTIFICAZIONE

A completamento, delle valutazioni del triennio (degli audit di sorveglianza nel triennio) e previa decisione e delibera da parte dell’apposito Comitato, è emesso un giudizio di ricertificazione o meno del sistema di gestione della protezione dei dati del cliente, ed in caso di esito positivo il relativo certificato, con validità annuale.

Resta aggiornato sul mondo delle Certificazioni ISO

Iscriviti alla nostra Newsletter