Post

Visualizzazione dei post da 2018

Best Wishes - fail and get up

Immagine
Fine anno è tempo di bilanci. Chiusure. Aperture. Nuovi progetti. Sogni infranti. Melanconia. Speranza. Senso di realizzazione.

Si parla spesso di storie di successo, senza citare quanti fallimenti si incontrano sulla propria strada e quanta forza ci vuole per rialzarsi. Ogni anno per un giovane (neanche più di tanto, quando si hanno più di trent'anni) è paura. Non farcela, pensare di dover chiudere l'attività, vedere che altri che hanno conquistato una propria posizione di mercato fanno offerte sottocosto per uccidere i newcomers e far macelleria sociale. E lì sei spaventato. Ti chiudi e non pensi a fare rete. Anzi: non fai nulla per quel timore indotto e l'elevata pressione sociale. E soffochi lentamente. Magari ti pieghi anche a logiche alienanti.

Auguro ai miei coetanei di affrontare quella paura.
E di imparare a fare rete. Creare sinergie.
Non per sopravvivere ma per poter fare, creando la nostra opportunità di costruire.

Io sono e sarò sempre ben disposto a collabor…

Regole deontologiche: approcci..."estremi"

Immagine
Tutti gli approcci più estremi alle recenti regole deontologiche verificate dal Garante...


...da aggiornare al momento in cui arriveranno le consultazioni pubbliche.

Consenso diabolico

Immagine
Si è parlato spesso di quel...Diavolo di consenso.

Argomento complesso, in quanto interseca più discipline.
Per affrontare un discorso a riguardo con pretese di completezza, ne verrebbe quanto meno una monografia.

Ho raccolto gli spunti della serie in un comodo post. Come è tradizione, ogni chiusura d'anno è tempo di recap e nuovi propositi.

Parte 1: Libero consenso e contrattoParte 2: Consenso e assenza di pregiudizioParte 3: Consenso granulare e specificoParte 4: Consenso informatoParte 5: Consenso digitale e minoriParte 6: Consenso e contesto lavorativo
Spoiler: ulteriori spunti (consenso in ambito sanitario) sono in corso di lavorazione.

Per altri, attendo l'ispirazione del momento fornita da una conversazione, un accadimento, una novità di legge, ma soprattutto un adeguato accompagnamento musicale.

Essere GDPReady è...cogliere il senso del consenso.

Quel...Diavolo di consenso (parte 6)

Immagine
Parte 6: Consenso e contesto lavorativo

Il consenso al trattamento dei dati personali del lavoratore non va limitato alla sola disciplina della protezione dei dati personali, ma incontra necessariamente la disciplina giuslavoristica. Argomento complesso, non esauribile in pochi punti. In sintesi è comunque possibile individuarne i principali, ciascuno da approfondire in relazione al contesto specifico di applicazione.

Il problema del consenso nel contesto lavorativo è individuato dall'Art.29WP (linee guida sul consenso - WP 259) nello squilibrio di potere:
"Data la dipendenza risultante dal rapporto datore di lavoro/dipendente, è improbabile che l’interessato sia in grado di negare al datore di lavoro il consenso al trattamento dei dati senza temere o rischiare di subire ripercussioni negative come conseguenza del rifiuto. È improbabile che il dipendente sia in grado di rispondere liberamente, senza percepire pressioni, alla richiesta del datore di lavoro di acconsentire, ad e…

Autorizzazione al Trattamento dei Dati Personali e CV

Immagine
A riguardo c'è già chi ha detto tutto, eppure ancora si vedono queste famigerate autorizzazioni.

Spesso, sono richieste come requisito per partecipare alla procedura di selezione.

Ironico perché il rifiutarsi di prestare un consenso insensato porta alla discriminazione di fatto.

Sarebbe bene promuovere una cultura di data protection anche per la corretta circolazione (e impiego, nonché valorizzazione) dei dati personali.

Quel...Diavolo di consenso (parte 5)

Immagine
Parte 5: Consenso digitale e minori

Consenso digitale e minori: binomio particolarmente complesso, in ragione dell'intersecarsi della disciplina (speciale) in materia di protezione dei dati personali con la disciplina (generale) della capacità giuridica, nonché della responsabilità e rappresentanza genitoriale.

L'esigenza di particolare protezione è richiamata dal considerando n. 38, in ragione della posizione maggiormente vulnerabile del soggetto minore:
I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi fo…

Game of databreach(es) - Atto Primo

Immagine
Quali sono le azioni da intraprendere in caso di data breach? Quali misure preventive adottare, invece?

Prima di approfondire è meglio rispondere ad una domanda essenziale, la prima della saga: cosa è un data breach?

L'art. 4 fornisce la seguente definizione:
violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati; La definizione è integrata dall'art. 32 e il considerando n. 83 secondo cui, ai fini della valutazione di rischio e la predisposizione delle (contro)misure di sicurezza, di "tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immate…

Privacy by Dadaism - Consensi insensati

Immagine
Sempre più diffusi, indiscreti e neanche troppo sottili si ammassano richieste di consenso/autorizzazione al trattamento di dati personali decisamente...insensati.

Spesso irragionevoli, privi di logica, si affastellano in veri e propri castelli di carta che il titolare del trattamento dovrà conservare, ma soprattutto gestire.



Cosa fare difatti se un consenso insensato viene revocato?
Cosa scrivere nell'informativa?
Come fare se ad esempio l'interessato presta il consenso alla prestazione ma non alla fatturazione?

Se alcune domande non possono avere una risposta sensata, forse è meglio fare un passo indietro e chiedersi se non si è compiuto un errore nella valutazione preliminare consenso-centrica.

Gli errori più frequenti riguardano un consenso richiesto...

nonostante una diversa base giuridica individuata o individuabile;"per conto" di terze persone (del tipo: acconsente all'impiego dei dati dei suoi familiari), in spregio non solo al pensiero giuridico ma ignorand…

Privacy Officer/Consulente della Privacy

Immagine
Magnum Gaudium, da oggi posso dire di essere (per tre anni, fino a rinnovo) Consulente Privacy certificato con lo schema CDP sviluppato in accordo alla ISO/IEC 17024:2012.

Cosa significa? Nulla di abilitante.Per essere Privacy Officer/Consulente della Privacy è importante saper fare.
La certificazione delle competenze è un'attestazione. Il mantenimento della certificazione implica lo svolgimento dell'attività e la relativa formazione.

Medici e operatori sanitari: elementi-chiave per adeguarsi al GDPR

Immagine
Nei percorsi di adeguamento che ho avuto modo di curare per alcuni operatori e strutture sanitarie ho notato che spesso c'è molta disinformazione circa gli adempimenti chiave da svolgere o, rectius, ciò di cui va tenuto assolutamente conto nel caso di un'attività svolta da un singolo medico o un operatore sanitario.

Gli errori più diffusi che ho potuto riscontrare sono stati:

la richiesta di consenso, spesso disgiunta, relativa alla prestazione sanitaria e all'attività di gestione contabile, anche da parte di chi è soggetto al segreto professionale;la non considerazione dei dati di tipo comune ma dei soli dati di tipo sanitario nel novero della definizione di dati personali;la mancata indicazione del periodo di conservazione dei dati;l'assenza di un censimento e/o di una valutazione delle misure di sicurezza adottate;considerare il segreto professionale come misura di sicurezza;l'assenza del registro delle attività di trattamento;la mancata indicazione dei destina…

Trattamenti da sottoporre a valutazione d'impatto - l'elenco del Garante

Immagine
Il Garante ha pubblicato in G.U. l'elenco dei trattamenti da sottoporre a valutazione d'impatto, ai sensi dell'art. 35.4 GDPR per cui
L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68. L'EDPB aveva riscontrato l'elenco dei trattamenti fornendo l'opinion n. 12/2018 il 25 settembre e evidenziando, fra i cambiamenti da apportare, la necessità di riferire tali tipologie di trattamento alle Linee Guida dell'Art.29WP (WP248).

L'elenco riguarda un ambito piuttosto ampio di trattamenti, applicando in modo restrittivo le raccomandazioni delle citate linee guida che, al riscontro di almeno 2 su 9 dei criteri di rischio, indicavano la soglia minima del "rischio elevato" fonte dell'obbligo dello svolgimento di una valutazione d'…

Alexa SI, Alexa NO

Immagine
Proseguono i dubbi sulla liceità dei trattamenti svolti da Alexa, così come degli altri dispositivi cc.dd. home assistant, per la registrazione continua anche al di fuori del controllo dell'utente emblematico il caso dell'ordine del giudice del New Hampshire), nonché per i destinatari delle registrazioni. L'impiego della wake word (Alexa, OK Google, etc.) non sembra infatti essere sufficiente per garantire all'utente il controllo del dispositivo che, per lo più, svolge funzioni automatizzate e potenzialmente può rilevare/registrare dati in modo continuo e persistente.
Molti dubbi, ma la Bethesda mi ha regalato un sorriso con il trailer di Skyrim.
Chissà se non si possa tornare, grazie a questi dispositivi, ai librigame ed alle avventure di Lupo Solitario, ad esempio.

Comportamenti degli operatori (parte 2)

Immagine
Quali sono i rischi che coinvolgono gli operatori?

Tradizionalmente, i rischi relativi alla sicurezza delle informazioni che trovano la propria fonte nel comportamento degli operatori sono il furto di credenziali, la carenza di consapevolezza, l'incuria, i comportamenti sleali, gli errori materiali.

Attenzione però: tale catalogo non è esaustivo, né completo, e pertanto può a seconda dei casi rivelarsi o insufficiente o sovrabbondante.

La struttura comune ai sistemi di gestione sviluppata (nel 2015) da ISO prevede la c.d. HLS - High Level Structure (struttura di alto livello), in cui è presente il c.d. risk-based thinking: i rischi devono essere identificati, analizzati, valutati e trattati nel contesto aziendale di riferimento.

Ciò significa che, adottando lo stesso modus operandi, possiamo ben pensare di identificare (specificando o generalizzando) i rischi che possono coinvolgere i comportamenti degli operatori nel contesto di riferimento al fine di valutare la predisposizione…

Chi visse sperando...

Immagine
...e arrivò il data breach.

Non servirà a molto desiderare che l'evento di violazione dei dati non sia mai accaduto, salvo particolari strategie che coinvolgono monete, fontane magiche e qualche leprechaun.



La sola programmazione delle strategie di contenimento degli effetti derivanti da potenziali eventi di violazione dei dati, inoltre, non può generalmente essere sufficiente a soddisfare i requisiti di sicurezza prescritti dall'art. 32 GDPR il quale deve essere letto, per considerarne la portata applicativa temporale, con l'art. 25 GDPR il quale prescrive l'adozione di tutte le misure (di compliance e di sicurezza) "sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso" evidenziando così un'esigenza di adottare un approccio preventivo e non soltanto rimediale.

Va ricordato che il parametro per valutare la gravità (o magnitudo) del rischio deve essere il danno fisico, materiale o immateriale (considerando n. 83) alle…

Quel...Diavolo di consenso (parte 4)

Immagine
 Parte 4: consenso informato

Accanto alle tutele della libera prestazione del consenso e della garanzia di revocabilità, la corretta informazione va ad integrare (con la granularità e specificità) il profilo di correttezza e trasparenza delle attività di trattamento basate sul consenso. La consapevolezza circa la portata delle conseguenze del consenso che si va a prestare è infatti un elemento essenziale di validità e consente di ridurre quanto più possibile effetti distorsivi derivanti da asimmetrie informative.

Il titolare viene infatti onerato di informare l'interessato non solo ai fini del rispetto del principio di trasparenza bensì anche per la tenuta della base giuridica su cui fonda un'attività di trattamento: in assenza di informazioni chiare e complete, verrebbe meno la liceità del trattamento svolto.


Tanto premesso, è chiaro che per parlare di consenso informato si deve aver cura di rendere all'interessato quanto meno le informazioni relative al trattamento di dati…

Comportamenti degli operatori (parte 1)

"Quando possibile, automatizza" è un promemoria molto caro per chi si occupa di sistemi di gestione, ma non sempre tale possibilità è attuabile in relazione alla sicurezza delle informazioni vista l'ineliminabile rilevanza del fattore umano.


Facendo però riferimento ai sistemi (da intendersi come: politiche, procedure e prassi) per la gestione della conformità delle attività di trattamento di dati personali alle prescrizioni del GDPR, i fattori di rischio riferibili ai comportamenti degli operatori devono essere necessariamente riferiti al contesto aziendale di riferimento dal momento che la lista di minacce tipiche (furto di credenziali, carenza di consapevolezza, incuria, comportamenti sleali, errori materiali) può essere non esaustiva (e dunque: inefficace) o sovrabbondante (e dunque: inefficiente). L'art. 29 GDPR, difatti, prevede che gli operatori siano autorizzati ed istruiti dal titolare del trattamento.

Regolare il comportamento degli operatori significa, inf…

Informative: parola d'ordine è fruibilità

Immagine
L'art. 12 GDPR, come già detto, impone misure appropriate per fornire le informazioni (e le comunicazioni) agli interessati, nonché una forma concisa, trasparente, intelligibile e facilmente accessibile, indicando la declinazione operativa del principio di trasparenza.

Ciò comporta, da un lato, alcune considerazioni in ordine all'accessibilità delle informative e all'impiego di informative cc.dd. stratificate.

Perché un'informativa sia accessibile, essa deve essere materialmente resa disponibile all'interessato: ad esempio, con un link nel footer dell'e-mail (impostato direttamente sul mailserver), pubblicata sul proprio sito web, o affissa presso i locali presso cui si riceve l'interessato.

Dal momento che un'informativa contiene vari elementi, distinguendo innanzitutto le varie finalità di trattamento svolte, molto probabilmente il rischio maggiore è comporre un wall of text difficilmente digeribile e tutt'altro che conciso (ad es. se si deve con…

Informative...da professionisti!

Immagine
Le parole d'ordine sono (o dovrebbero essere): chiarezza, semplicità ed immediatezza.

Ad esempio io ho tentato anche di dare una veste grafica in grado di favorire la chiarezza comunicativa, e certamente, nel tempo, evolverò l'informativa migliorandone l'efficacia. O altrimenti, dovrò badare ai contenuti qualora volessi trattare i dati per finalità diverse ed ulteriori rispetto a quelle per cui sono stati raccolti (in ossequio all'art. 13.3 GDPR).

Volendo semplificare, ho fatto le seguenti considerazioni riferendomi all'art. 13 GDPR come se fosse una checklist, e così consiglio di fare ai singoli professionisti che trattano dati di tipo comune.
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; E qui, l'idea migliore può essere inserire l'informativa nella propria carta intestata.
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile; Tipicamente, un singolo professionista n…

Quel...Diavolo di consenso (parte 3)

Immagine
Parte 3: consenso granulare e specifico

Sempre per definire la libera prestazione del consenso, dopo aver ragionato sulla revocabilità è bene considerare la portata applicativa della prescrizione dell'art. 6.1 lett. a) GDPR che definisce il consenso come espresso (...) per una o più specifiche finalità introducendo la doppia tematica del consenso c.d. granulare e specifico.

Così, il considerando n. 34:
Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. ricordando dunque di porre attenzione a distinguere le finalità perseguite, separandole, al fine di ottenere il consenso per ciascuna o altrimenti solo per alcune di esse.

"Merk auf, was ich hineinwerfen werde, damit du die Kunst lernst!"
"Bada a quel ch'io verso, così impari l'Arte!"
(  Der Freischütz - K. M. von Weber )

Poter collegare differenti effetti a seconda della prestazione, o meno, di determinati consensi rientra nella fase di progettazione dei trattam…

Quel...Diavolo di consenso (parte 2)

Immagine
Parte 2: consenso e assenza di pregiudizio

Dopo aver ragionato sui margini di valutazione della libera prestazione del consenso in ambito contrattuale, segue un ulteriore elemento: perché un consenso sia libero è necessario che sia anche possibile revocarlo senza che ciò esponga a conseguenze negative o pregiudizievoli l'interessato.

Vi sono conseguenze accettabili per il "no" al trattamento dei propri dati personali da parte dell'interessato, esprimibile o prima o durante detto trattamento?

"Rido e  avvento questa sillaba: no." ( Mefistofele - Arrigo Boito )


L'art. 7.3 GDPR traccia così i margini della revoca del consenso:

"L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.&quo…

Individui e società tecnologica - The Man Who Sold The World

Immagine
David Bowie raccontava, nei primi anni Settanta, dell'incubo di una società tecnologica priva dell'elemento umano, enfatizzandone le ombre più sinistre ed ossessive. "Oh no, not me I never lost control You're face to face With the man who sold the world"( D. Bowie - The Man Who Sold The World )
Chissà cosa racconterebbe oggi fra datagate, il terrore di una guerra tecnologica e la progressiva alienazione dell'individuo derivante da un'accelerazione tecnologica che rischia di far perdere proprio il controllo delle percezione del sé.



Quel...Diavolo di consenso (parte 1)

Immagine
 Parte 1: libero consenso e contratto

Perché il consenso possa essere validamente espresso ai sensi del GDPR da parte dell'interessato, questi deve porre in essere una manifestazione di volontà libera, che sia però anche specifica, informata ed inequivocabile, in riferimento all'attività di trattamento "presentata" dal titolare per mezzo dell'informativa.
Quali sono gli elementi di un consenso libero?
Certamente, è libero quel consenso in riferimento al quale l'interessato dispone di una scelta effettiva, declinazione di quel potere di controllo sul proprio dato personale che il Regolamento intende porre in essere, bilanciandolo con una garanzia relativa alla libertà di circolazione (e fruizione) del dato raccolto e trattato conformemente alla normativa in materia di protezione dei dati personali.

Il Diavolo, però, giace nei dettagli.

Può però il consenso esssere oggetto di contrattazione?
Fino a che punto può spingersi il titolare per acquisire lecitame…

Consumatore digitale e social network nel diritto dell'UE

Immagine
Per me è un onore aver partecipato con un articolo alla Rivista della Cooperazione Giuridica Internazionale, parlando (per sommi capi) della figura del "consumatore digitale" all'interno del quadro normativo dell'Unione Europea con particolare riferimento alla partecipazione alle piattaforme dei social network in cui si disegna una figura ibrida di attore-prodotto e in cui la data protection è sia uno strumento di regolazione del mercato che un rafforzamento di quei diritti collegati all'identità personale dell'individuo.

"La partecipazione del cittadino-consumatore alla moderna Agorà digitale può essere attuata con la necessaria consapevolezza in capo allo stesso di essere non solo un attore negoziale ma anche il prodotto del mercato globale dei dati e delle informazioni"

GDPReady @Randstad Padova

Immagine
Ho concluso la scorsa settimana un ciclo di lezioni formative per i ragazzi del progetto NEETwork Digital 360, in cui abbiamo affrontato alcuni temi d'interesse per il Data Protection Specialist in materia di sicurezza dei dati, norme in materia di protezione dei dati personali e predisposizione di procedure operative.

Fra gli argomenti di maggiore interesse ed approfondimento ci sono state esercitazioni sullo svolgimento di una valutazione d'impatto sulla protezione dei dati personali secondo i criteri definiti dall'art. 35 GDPR e le Linee Guida del Comitato Europeo per la protezione dei dati, soprattutto per l'individuazione dei criteri di identificazione del "rischio elevato" dei trattamenti.

Come esercizio, la classe ha sviluppato un'interessante checklist/promemoria per il riscontro dei criteri, che pubblico di seguito perché possa essere uno spunto utile per tutti.

Valutazione o assegnazione di un punteggio.
Che tipo di dati vengono raccolti?
Gli i…

Uno, nessuno e centomila...titolari del trattamento?

Immagine
Recentemente, vi è un fiorire di ipotesi di contitolarità anche per quelle figure che tipicamente altro non potrebbero che rivestire il ruolo di responsabile del trattamento, al punto che la galassia dei soggetti del GDPR è descritta come una pluralità di titolari autonomi o altrimenti contitolari (anzi: co-titolari, a detta di coloro che vogliono distinguersi per formalismi).

Come si può fare però ad operare una distinzione concreta fra tali soggetti (spesso, professionisti), e poterli così correttamente individuare e definire?
Se titolare è chi decide su mezzi e finalità del trattamento, ciò comporta, al negativo, che il responsabile non decide ma si limita a trattare dati per conto del titolare.
Circa le finalità, è chiaro che se questa è decisa o dal titolare o dalla Legge, non è un elemento particolarmente critico per l'individuazione del responsabile.
Circa i mezzi, occorre invece un ragionamento di più ampio respiro. Come può la scelta di un applicativo, ad esempio, essere u…

Privacy by Dadaism - (Mal)tempi di conservazione

Immagine
Un vecchio adagio recita: un bel tacer non fu mai scritto.

Ciò si può applicare nelle informative, le quali spesso recitano inutili formule nel tentativo di provvedere all'indicazione del periodo di conservazione del dato come da dettame dell'art. 13.2 lett. a) GDPR per cui il titolare deve fornire all'interessato, fra le informazioni ulteriori a garanzia del trattamento corretto e trasparente, anche
il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e qui, con gioia di chi della matematica non solo non fa virtù, ma ha cura di prendersi una giusta distanza anche dalla logica, troviamo le seguenti formule impregnate di retorica e formalismo che spesso sfogano in distillati pleonastici andando a riprendere e parafrasare in modo più o meno fantasioso l'art. 5.1 lett. e):
i dati saranno conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al con…