Su indicazione dell'esperta di ASSO DPO in legislazione UE Nadia Arnaboldi vi segnaliamo che il Garante Francese (CNIL) a gennaio 2015 ha adottato il suo 4° standard sulla Governance dei dati nelle organizzazioni / aziende.

La CNIL ha già in passato adottato norme e sigilli sulle procedure privacy relativamente agli audit, la programmazione della formazione privacy e gli standard delle “digital safety boxes”.

Il nuovo Sigillo Privacy è disponibile per qualsiasi azienda che rispetta 25 norme cumulative (standard) divise in 3 diverse categorie: l'organizzazione interna della gestione dei dati personali, i metodi di verifica del rispetto della legge e la gestione dei reclami ed incidenti.

L'azienda dovrà anche aver nominato un responsabile della protezione dei dati (DPO) riconosciuto CNIL (altrimenti noto come "CIL" Correspondant Informatique et Libertés).

 

E’ importante analizzare come il CNIL abbia puntato molto sulla figura del DPO (Data Protection Officer).

Infatti la domanda di Sigillo potrà essere presentata solo da soggetti che:

  • abbiano disegnato un DPO (CIL per la Francia);
  • mettano il DPO in una posizione centrale e strategica rispetto all’organizzazione;
  • prevedano che il DPO riporti ad un membro del management;
  • prevedano che il Titolare del trattamento incontri almeno 1 volta all'anno il DPO oltre a verificarne l’operato attraverso una relazione periodica;
  • predispongano un contratto scritto ove i compiti del DPO siano specificati analiticamente.

Oltre tutto questo il DPO organizzazioni che richiedono il Sigillo il DPO deve:

  • essere formato e tenersi aggiornato;
  • avere un budget adeguato;
  • essere coinvolto in tutti i processi aziendali;
  • annualmente rivedere i processi e i trattamenti;
  • mappare tutti i processi;
  • garantire l’accesso ai dati degli interessati.

Ricevere il Sigillo Privacy è quindi un indicatore di affidabilità per i clienti e gli utenti dei servizi e prodotti forniti da un'organizzazione / azienda.

Inoltre, questi marchi di certificazione preparano le organizzazioni per il futuro Regolamento europeo in materia di protezione dei dati personali, in particolare introducendo il concetto di responsabilità (accountability).

E in Italia ?