Post

Visualizzazione dei post da 2017

2017 ✓

Immagine
Brevissima considerazione sull'anno trascorso, che si è mostrato pieno di soddisfazioni, difficoltà e sfide che hanno portato ai migliori propositi e auspici per il prossimo anno.

GDPR è (anche) molti progetti in corso.

GDPReady è (soprattutto) commitment.

GDPR è (anche) valutare se compiere una valutazione d'impatto

Immagine
La valutazione d’impatto deve essere effettuata soltanto sui trattamenti che per via della loro natura, oggetto, finalità, contesto e per l’uso di determinate tecnologie, potrebbero generare un rischio elevato per i diritti e le libertà fondamentali dei soggetti interessati.

In ogni caso, dunque, bisogna valutare se occorre compiere una valutazione d'impatto.
Assessment di assessment, insomma.

Dopodiché, per ciascun trattamento o categoria di trattamento occorre procedere come da indicazioni dell'art. 29 WP raccogliendo informazioni su:
natura, finalità, contesto del trattamento; categorie di dati (personali e "particolari categorie di dati") oggetto di trattamento, i soggetti interessati e il periodo di conservazione dei dati;flussi informativi (comunicazione, diffusione, cessione, trasferimento dei dati con l’indicazione specifica dei soggetti destinatari dei dati interni o esterni all’organizzazione del titolare del trattamento);descrizione funzionale delle…

GDPR è (anche) buon senso

Immagine
Qual è il corretto approccio di data protection da adottare secondo il GDPR?
Ecco un'immagine che secondo me vale (almeno) mille parole e cento convegni:

Quale "chiarezza e distinzione" delle informative

Immagine
Ricordando un mio articolo di più di un anno fa su Centro SARG, mi rendo conto che, nella loro dimensione applicativa, le informative oramai non possono che contenere tutti gli elementi prescritti dal GDPR (con una checklist è abbastanza agevole) ma la vexata quaestio rimane sempre quell'esigenza di chiarezza e distinzione di cartesiana memoria.

Difatti l'esigenza di una forma “concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori” (art. 12 co.1 GDPR) risponde ad un diritto (di matrice consumeristica) dell'interessato: egli è, e deve essere, adeguatamente ed efficacemente informato.

Ed è qui che per la maggior parte delle informative che ho avuto modo di curare, che si svolge la mia opera come Consulente Privacy per trovare quell'equilibrio fra efficacia comunicativa e completezza dei contenuti. Una sfida, certamente, ma è l'unico modo perché l…

ANCI è (o almeno, vuol essere) GDPReady

Immagine
Leggo con interesse l'accordo tra Ancitel e Federprivacy finalizzato all'adeguamento di comuni ed enti locali al GDPR, che prevede quattro pilastri fondamentali:
incentrati sulla formazione del personale, sull'organizzazione del titolare con la relativa designazione del Responsabile della Protezione dei Dati (Data Protection Officer), sulla messa in sicurezza dei dati attraverso la valutazione dei rischi e la definizione di adeguate procedure per la notifica delle violazioni (data breach), e sulla predisposizione della documentazione, inclusa la stesura delle informative e la compilazione del registro dei trattamenti. Perchè enti pubblici o privati siano GDPReady deve infatti essere compiuto (almeno) un assessment su questi quattro punti focali, da cui poi è possibile derivare tutte le valutazioni pratiche e gli interventi correttivi e di adeguametno da predisporre.

Gestione Attese e Poste italiane

Immagine
Il Provvedimento del Garante relativo al sistema di Poste Italiane S.p.A. per la "Gestione Attese" è derivato da una serie di segnalazioni riguardanti il trattamento illecito e sproporzionato dei dati personali del dipendente, nonché in assenza di informativa e accordo sindacale.

L'Autorità Garante ha rilevato analiticamente alcune criticità tali da dichiarare illecito il trattamento intrapreso:
assenza di preventiva informativa agli interessati (artt. 11 e 13 Cod. Privacy) con particolare riferimento alla visualizzazione sul display, alla raccolta, alla conservazione e alle altre operazioni di trattamento dei dati anche su base individuale;
violazione della disciplina sui controlli a distanza (art. 4, co. 2 L. 300/1970) in quanto il sistema non è indispensabile per la prestazione lavorativa e può essere una strumento da cui può derivare indirettamente il controllo a distanza dell'attività dei lavoratori con conseguente necessità di attivare le procedure ivi previste …

Trasparenza: l'uomo di vetro

Immagine
Nel mondo della privacy, il "mito" dell'uomo di vetro è sempre incombente; in primo luogo, è ciò che idealmente rappresenta l'estremizzazione del concetto di trasparenza; in secondo luogo, è spesso rappresentato come antitetico ad un'esigenza di privacy. Qui viene sviato il concetto di data protection in favore di un significato più affine al nascondere alcuni dati; certamente, uno degli effetti della protezione dei dati è un potere di celarli a sguardi più o meno indiscreti, ma non per questo si può giungere alla provocazione di Richard Posner con il concetto di  privacy as fraud.
Per superare la mitizzazione del glassman, credo sia sufficiente citare Edward Snowden: Some might say "I don't care if they violate my privacy; I've got nothing to hide." Help them understand that they are misunderstanding the fundamental nature of human rights. Nobody needs to justify why they "need" a right: the burden of justification falls on the one…

Novità 2018: GDPR come opportunità per il professionista

Immagine
Un sentito ringraziamento ad Antonio Gigliotti, che (finalmente!) ho avuto il piacere di conoscere al di là della voce di Radio24 e di Fiscal Focus.


Grazie anche ai (più di cento!) partecipanti all'evento (in)formativo organizzato da Sistemi 2000 con cui presto ci rivedremo per ulteriori novità.


ADiSoft GDPR Academy

Immagine
Di eventi formativi sul GDPR per le aziende ne è pieno il mercato (anzi, direi che è quasi saturo).
Ma di cosa c'è veramente bisogno? Certamente, non di continui format di "introduzione al GDPR", o approcci generalisti.

Per la teoria, esiste il sito dell'Autorità Garante per la protezione dei dati personali che fornisce vademecum esplicativi e guide quanto mai esaurienti.

Per la pratica, servono professionisti con esperienza di consulenza aziendale. Serve un approccio pratico, concreto, che crei valore aggiunto.

Così, collaborando nel team di ADiSoft abbiamo creato la GDPR Academy con cui organizzare una formazione concretamente apprezzabile, fornendo una lettura degli adempimenti del GDPR integrata con il controllo di gestione ed i sistemi e le infrastrutture di rete.

Per maggiori informazioni...basta un clic!



Al 6 Dicembre: commercialisti di Udine, siete GDPReady?

Immagine
Corso formativo gratuito
Redditi 2017: conferme e novità 2018

GDPR e professionisti

Immagine
Preparando il mio intervento all'interno dell'evento per l'Ordine dei Commercialisti e degli Esperti Contabili di Udine del 6 Dicembre, ho avuto modo di disegnare alcune coordinate "pratiche" relative all'impatto del GDPR per i professionisti.

In sostanza, si tratta di sostituire l'attuale Autorizzazione Generale n. 4/2016 (Autorizzazione al trattamento dei dati sensibili da parte dei liberi professionisti - Provv. Garante n. 526 del 15 Dicembre 2016) con le prescrizioni del GDPR ed eventuali precisazioni (ad oggi non fornite) da parte dell'Autorità Garante per la protezione dei dati personali. Tale provvedimento è efficace fino all'applicazione del GDPR, ed autorizza il trattamento dei dati sensibili “ai soli fini dell’espletamento di un incarico” da parte del professionista nonché (se contitolari del trattamento) i suoi sostituti, collaboratori, praticanti e tirocinanti.

I principali punti su cui i professionisti dovranno porre la propria atten…

Accesso "amministrativo" e GDPR

Immagine
Riprendendo una parte dell'articolo esplicativo in tema di accesso civico, curato dall'avv. Sabrina Grisoli di Centro SARG, colgo l'occasione per un chiarimento a riguardo.


Qualora il controinteressato sia presente e l'accesso "amministrativo" riguardi i suoi dati personali, ovverosia qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale ai sensi del Cod. Privacy, art. 4 co. 1 lett. b), allora si può dire che un problema di privacy sia, almeno in via teorica, configurabile.

Quid juris con la incoming law del GDPR?

Il considerando n. 14 esclude esplicitamente dall'ambito della protezione il trattamento dei dati relativi a persone giuridiche, inclusi i dati di contatto delle imprese dotate di personalità giuridica.

Secondo la definizione fornita dall'art. 4 GDPR, è dato personale qualsiasi informazione …

GDPR countdown

Immagine
Approfitto della data odierna per inserire un widget con il countdown per l'applicazione del GDPR.

Ogni momento è utile per chiedersi: Are You GDPReady?


C'era una volta...Centro SARG

Immagine
E per fortuna c'è ancora, a rafforzare la volontà di divulgare e promuovere la cultura giuridica.

Il progetto ha conosciuto i propri natali nell'estate del 2014, quando eravamo pieni di corsi e prove valutative da seguire alla Scuola di Specializzazione per le Professioni Legali assieme all'esaurimento della pratica forense presso l'affollatissimo Foro di Roma.

E dopo quei natali ciascuno ha seguito ulteriori specializzazioni, maturato campi di expertise e continuato a contribuire alla crescita associativa e personale. Io ad esempio ho da subito scritto sul diritto civile e la privacy, e più il tempo passava più l'interesse andava a focalizzarsi su questo secondo argomento (tant'è che c'è anche un archivio dedicato), peraltro oggetto della mia tesi di laurea in Economic Analysis of the Law.

Ritengo ci sia sempre molto da fare e promuovere nell'ambito della cultura giuridica, soprattutto assecondando un senso di responsabilità che ciascuno che intrapre…

Perchè?

Immagine
Ogni volta che si intraprende una nuova attività, progetto o impresa l'interrogativo "categorico" dovrebbe essere: perchè? Certamente, si fa qualcosa perchè è utile.

Ecco: questo blog vuol essere utile. Prima di tutto a me stesso. Per promuovermi professionalmente, in modo tale che fra i pixel si abbiano indizi per conoscere la persona che è anche il professionista "giurista digitale" o "Consulente Privacy&ICT".

Ovviamente, questo spazio non vuol essere un ricettacolo di soluzioni da web guru o social starlette. Piuttosto un diario, una Hall of Fail&Fame, e ciò che pian piano verrà. Non ce ne voglia Jeremy Bentham, ma l'utile "verrà da sé" pian piano che si accumulano memorie ed esperienze.

Disclaimer: non ho nè un SMM né ghostwriters, quindi gli aggiornamenti del blog saranno influenzati da impegni professionali e mondani. 

Domanda: Perchè oggi?

Semplice...
...mancano 6 mesi all'applicazione del GDPR
...dall'ultimo anno mi …