Post

Visualizzazione dei post da Febbraio, 2018

Io ne ho viste cose...

Immagine
...ma solo se riguardano dati personali si può parlare di data breach o violazione dei dati personali.

Difatti, già l'accesso non autorizzato produce una violazione di confidenzialità del dato.

Chissà cosa fare se l'accesso rilevato viene ricondotto ad un'Intelligenza Artificiale (nella maggior parte dei casi, immagino all'azione di un bot)?


Di sicuro, non tutte le violazioni devono essere notificate entro 72 ore all'Autorità di controllo, ma solo se esiste un rischio per i diritti e le libertà dell'interessato.

L'art. 33.5 GDPR però chiarisce che ogni evento di data breach, anche se irrilevante ai fini della notifica, deve essere registrato:

Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo. E quindi, anche se le

DPO: Don't Panic!

Immagine
Si parla molto di DPO, o Data Protection Officer, ma come sempre si tende a fare molto rumore per nulla: anche il Garante si è pronunciato per smentire l'esistenza di "corsi abilitanti", chiarendo che:

Come accade nei settori delle cosiddette "professioni non regolamentate", si sono diffusi schemi proprietari di certificazione volontaria delle competenze professionali effettuate da appositi enti certificatori. Tali certificazioni (che non rientrano tra quelle disciplinate dall'art. 42 del RGPD) sono rilasciate anche all'esito della partecipazione ad attività formative e al controllo dell'apprendimento. Esse, pur rappresentando, al pari di altri titoli, un valido strumento ai fini della verifica del possesso di un livello minimo di conoscenza della disciplina, tuttavia non equivalgono, di per sé, a una "abilitazione" allo svolgimento del ruolo del RPD né, allo stato, sono idonee a sostituire il giudizio rimesso alle PP.AA. nella …

Responsabile interno, dove sei?

Immagine
Nel GDPR la figura del Responsabile interno sembra sfumare in favore di un generico data processor (art. 28) il quale effettua i trattamenti "per conto del titolare" (art. 4, co. 1, n. 8). Fiumi di inchiostro e di pixel si affaccendano ora a tentare di prevedere il destino di tale figura, anche per l'inerzia del Legislatore a provvedere ad un'armonizzazione della normativa interna: vi è chi sostiene che dovrà svanire e chi invece sostiene che dovrà permanere.
A riguardo, cerco di essere pragmatico e leggo la vicenda più dal punto di vista operativo e gestionale di un'azienda: esiste un obbligo di nomina? cosa cambia con/senza tale nomina? Insomma: se vi è un responsabile interno, qual è l'impatto per il regime di responsabilità del titolare?   Solo rispondendo a ciò si può dedurre se sia utile o meno avere un responsabile interno (ovverosia: titolare di Funzione).
Superando l'approccio prudenziale che vorrebbe attendere l'intervento del Legislatore, …

Accountability: conviene?

Immagine
Cosa significa essere in grado di dimostrare gli adempimenti, secondo il GDPR? Soprattutto: come fare? Da un lato, è l'ennesimo ti chiamo sull'efficacia concreta delle misure poste a presidio dal titolare del trattamento. Dall'altro, significa documentare i rischi di compliance e le misure (tecniche e organizzative) previste a riguardo. Nota positiva: non sarà un copia-e-incolla né è possibile la soluzione One4All. Occorre praticità. E nella realtà delle PMI significa un risparmio per l'efficientamento dei costi di gestione dei processi. Essere GDPReady...conviene!

100 giorni al GDPR...

Immagine
...siete già GDPReady?

Ho recentemente dato una definizione del Data Manager: un alchimista dei dati (personali e non) al servizio dell'azienda. Colui che abbia la capacità a dissolvere e ricompone i processi aziendali affinché generino valori data driven: sappia cioé estrarre i profitti da una corretta gestione dei dati.

Dopotutto, il GDPR è un'opportunità e non un costo.



Contro l'odio (digitale) può solo l'educazione (digitale)

Immagine
Anche il Garante si esprime a favore di educare allo scopo di prevenire il fenomeno del c.d. hatespeech. Personalmente faccio mio un caveat morale di B. Russel su una società sempre più interconnessa nel suo messaggio alle future generazioni: Love is wise; hatred is foolish.

Cyberbullismo: l'infografica del Garante

Immagine
Anche noi di Centro SARG stiamo facendo la nostra parte: promuovere la cultura giuridica digitale.

Piccolo spoiler: la cultura digitale salverà il...World Wide Web.



Cybersecurity? Not a joke

Immagine
Un evento di data breach (perdita di confidenzialità, integrità o disponibilità del dato) può causare problemi non indifferenti anche alla luce del "nuovo" art. 33 GDPR che impone una notifica entro 72 ore nell'ipotesi che la violazione riguardi dati personali. Se il termine di 72 ore spaventa, o se ancor peggio la domanda è "come faccio ad accorgermi di un evento di data breach?", soprattutto in relazione ai sistemi informatici, c'è un problema evidente di cybersecurity. Ad esempio: non c'è un remediation plan, non è prevista un'attività di monitoraggio eventi, e dunque c'è l'assenza di controllo (e dunque: un'elevata esposizione al rischio) sui processi relativi al trattamento dei dati (personali e non).
Essere GDPReady, in questo caso come in molti altri, è uno spunto anche per rafforzare il potere di controllo sui dati trattati e la relativa sicurezza.

Braccialetto di Amazon: tempesta perfetta?

Immagine
Molti ne parlano ma pochi lo fanno con cognizione di causa e l'assennatezza di aver (quanto meno) controllato le fonti. L'ideale sarebbe anche averle comprese, dal momento che mi meraviglia quanti siano in grado di pingare dalla cattedra del giurista a quella dell'esperto informatico (già avvenuto per il caso dei processori Intel).

Insomma: si è generata la tempesta perfetta: Multinazionale (simbolo archetipico del controllo), Jobs Act (argomento di critica politica) e Privacy (chiamata in causa in modo un po' inappropriato, ma argomento hype del momento).

Poiché ad oggi è solo un brevetto registrato, si dovrà andare a verificare l'applicazione operativa dello stesso in azienda per decidere se il dispositivo sia uno strumento di controllo (e dunque, rientrante nell'art. 4 co.1 Statuto dei Lavoratori) o uno strumento di lavoro (e dunque, esonerato da accordo sindacale o autorizzazione), e ancor prima se e come il suo funzionamento possa violare la dignità del l…

Rimettere le scarpe ai sogni...ma anche ai manager!

Immagine
Il re può anche essere nudo, ma il manager deve indossare scarpe a misura di azienda.

No, non è un delirio, ma il sintetico recap di quanto ieri si è testimoniato in ambito di Sicurezza e Data Management al Gruppo Servizi CGN di Pordenone con il Salone d'Impresa.