Post

Visualizzazione dei post da Dicembre, 2017

2017 ✓

Immagine
Brevissima considerazione sull'anno trascorso, che si è mostrato pieno di soddisfazioni, difficoltà e sfide che hanno portato ai migliori propositi e auspici per il prossimo anno.

GDPR è (anche) molti progetti in corso.

GDPReady è (soprattutto) commitment.

GDPR è (anche) valutare se compiere una valutazione d'impatto

Immagine
La valutazione d’impatto deve essere effettuata soltanto sui trattamenti che per via della loro natura, oggetto, finalità, contesto e per l’uso di determinate tecnologie, potrebbero generare un rischio elevato per i diritti e le libertà fondamentali dei soggetti interessati.

In ogni caso, dunque, bisogna valutare se occorre compiere una valutazione d'impatto.
Assessment di assessment, insomma.

Dopodiché, per ciascun trattamento o categoria di trattamento occorre procedere come da indicazioni dell'art. 29 WP raccogliendo informazioni su:
natura, finalità, contesto del trattamento; categorie di dati (personali e "particolari categorie di dati") oggetto di trattamento, i soggetti interessati e il periodo di conservazione dei dati;flussi informativi (comunicazione, diffusione, cessione, trasferimento dei dati con l’indicazione specifica dei soggetti destinatari dei dati interni o esterni all’organizzazione del titolare del trattamento);descrizione funzionale delle…

GDPR è (anche) buon senso

Immagine
Qual è il corretto approccio di data protection da adottare secondo il GDPR?
Ecco un'immagine che secondo me vale (almeno) mille parole e cento convegni:

Quale "chiarezza e distinzione" delle informative

Immagine
Ricordando un mio articolo di più di un anno fa su Centro SARG, mi rendo conto che, nella loro dimensione applicativa, le informative oramai non possono che contenere tutti gli elementi prescritti dal GDPR (con una checklist è abbastanza agevole) ma la vexata quaestio rimane sempre quell'esigenza di chiarezza e distinzione di cartesiana memoria.

Difatti l'esigenza di una forma “concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori” (art. 12 co.1 GDPR) risponde ad un diritto (di matrice consumeristica) dell'interessato: egli è, e deve essere, adeguatamente ed efficacemente informato.

Ed è qui che per la maggior parte delle informative che ho avuto modo di curare, che si svolge la mia opera come Consulente Privacy per trovare quell'equilibrio fra efficacia comunicativa e completezza dei contenuti. Una sfida, certamente, ma è l'unico modo perché l…

ANCI è (o almeno, vuol essere) GDPReady

Immagine
Leggo con interesse l'accordo tra Ancitel e Federprivacy finalizzato all'adeguamento di comuni ed enti locali al GDPR, che prevede quattro pilastri fondamentali:
incentrati sulla formazione del personale, sull'organizzazione del titolare con la relativa designazione del Responsabile della Protezione dei Dati (Data Protection Officer), sulla messa in sicurezza dei dati attraverso la valutazione dei rischi e la definizione di adeguate procedure per la notifica delle violazioni (data breach), e sulla predisposizione della documentazione, inclusa la stesura delle informative e la compilazione del registro dei trattamenti. Perchè enti pubblici o privati siano GDPReady deve infatti essere compiuto (almeno) un assessment su questi quattro punti focali, da cui poi è possibile derivare tutte le valutazioni pratiche e gli interventi correttivi e di adeguametno da predisporre.

Gestione Attese e Poste italiane

Immagine
Il Provvedimento del Garante relativo al sistema di Poste Italiane S.p.A. per la "Gestione Attese" è derivato da una serie di segnalazioni riguardanti il trattamento illecito e sproporzionato dei dati personali del dipendente, nonché in assenza di informativa e accordo sindacale.

L'Autorità Garante ha rilevato analiticamente alcune criticità tali da dichiarare illecito il trattamento intrapreso:
assenza di preventiva informativa agli interessati (artt. 11 e 13 Cod. Privacy) con particolare riferimento alla visualizzazione sul display, alla raccolta, alla conservazione e alle altre operazioni di trattamento dei dati anche su base individuale;
violazione della disciplina sui controlli a distanza (art. 4, co. 2 L. 300/1970) in quanto il sistema non è indispensabile per la prestazione lavorativa e può essere una strumento da cui può derivare indirettamente il controllo a distanza dell'attività dei lavoratori con conseguente necessità di attivare le procedure ivi previste …

Trasparenza: l'uomo di vetro

Immagine
Nel mondo della privacy, il "mito" dell'uomo di vetro è sempre incombente; in primo luogo, è ciò che idealmente rappresenta l'estremizzazione del concetto di trasparenza; in secondo luogo, è spesso rappresentato come antitetico ad un'esigenza di privacy. Qui viene sviato il concetto di data protection in favore di un significato più affine al nascondere alcuni dati; certamente, uno degli effetti della protezione dei dati è un potere di celarli a sguardi più o meno indiscreti, ma non per questo si può giungere alla provocazione di Richard Posner con il concetto di  privacy as fraud.
Per superare la mitizzazione del glassman, credo sia sufficiente citare Edward Snowden: Some might say "I don't care if they violate my privacy; I've got nothing to hide." Help them understand that they are misunderstanding the fundamental nature of human rights. Nobody needs to justify why they "need" a right: the burden of justification falls on the one…

Novità 2018: GDPR come opportunità per il professionista

Immagine
Un sentito ringraziamento ad Antonio Gigliotti, che (finalmente!) ho avuto il piacere di conoscere al di là della voce di Radio24 e di Fiscal Focus.


Grazie anche ai (più di cento!) partecipanti all'evento (in)formativo organizzato da Sistemi 2000 con cui presto ci rivedremo per ulteriori novità.


ADiSoft GDPR Academy

Immagine
Di eventi formativi sul GDPR per le aziende ne è pieno il mercato (anzi, direi che è quasi saturo).
Ma di cosa c'è veramente bisogno? Certamente, non di continui format di "introduzione al GDPR", o approcci generalisti.

Per la teoria, esiste il sito dell'Autorità Garante per la protezione dei dati personali che fornisce vademecum esplicativi e guide quanto mai esaurienti.

Per la pratica, servono professionisti con esperienza di consulenza aziendale. Serve un approccio pratico, concreto, che crei valore aggiunto.

Così, collaborando nel team di ADiSoft abbiamo creato la GDPR Academy con cui organizzare una formazione concretamente apprezzabile, fornendo una lettura degli adempimenti del GDPR integrata con il controllo di gestione ed i sistemi e le infrastrutture di rete.

Per maggiori informazioni...basta un clic!



Al 6 Dicembre: commercialisti di Udine, siete GDPReady?

Immagine
Corso formativo gratuito
Redditi 2017: conferme e novità 2018