Post

Visualizzazione dei post da Marzo, 2018

Raccomandazioni: quindi?

Immagine
La via per l'incertezza giuridica è costellata di raccomandazioni, e l'imminente entrata in vigore del GDPR ha ben alimentato questo peculiare istituto.

Viene in più punti "raccomandata" la tenuta del Registro delle attività di trattamento, la designazione del DPO, lo svolgimento di una DPIA, in ragione dell'approccio basato sul rischio e dell'accountability (a.k.a. responsabilizzazione), anche dove non ne ricorrano i presupposti o dove vi sia incertezza sui margini dell'obbligo.


Ebbene, non serve un Mentat aziendale per alcune considerazioni riferibili al mondo della micro e piccola impresa non data-driven, che difficilmente riuscirebbe a sostenere i costi di interventi sovradimensionati...
Responsabilizzazione significa essere in grado di giustificare una scelta o una valutazione, anche quando viene verificata (in modo argomentato, logico, con riferimento a parametri normativi nonché alla migliore scienza ed esperienza) l'assenza di taluni presuppos…

Vitae @Conegliano 28.03.2018 - GDPReady!

Immagine
Un grazie a tutti i partecipanti dell'evento AIO a Conegliano.
 Con Vitae Biotech Network per essere...GDPReady!

Meglio un DPO omeopatico o nessun DPO per le piccole e micro imprese?

Immagine
Nelle recenti Faq fornite per meglio comprendere la figura del Responsabile della protezione dei dati nel settore privato c'è un punto che mi desta non pochi dubbi, soprattutto se riferito al mercato della micro e piccola impresa non data-driven, titolato Chi sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati personali?
Nei casi diversi da quelli previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile del trattamento non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti: v. anche considerando 97 del Regolamento, in relazione alla definizione di attiv…

GDPR: icone, ma quali?

Immagine
L'art. 12 GDPR relativo a Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato al comma 8 introduce il concetto di icone standardizzate:
Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 92 al fine di stabilire le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate. mentre il Considerando n. 60 va a precisarne lo scopo e la modalità d'impiego:
...Tali informazioni possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone dovrebbero essere leggibili da dispositivo automatico.

Il Garante ha precisato che, in attesa delle icone standardizzate, sarà possibile continuare ad impiegare le icone indicate all'interno dei Provvedimenti (ad es. in materia di videosorveglianza), purché as…

Fuori dalla Macchina

Immagine
Ritengo esista una dimensione Etica della Consulenza, che mi porta verso un Miglioramento Continuo sotto auspici di Qualità, Passione e Dedizione. Per me è un'opportunità per studiare, approfondire, ascoltare e parlare responsabilmente.
Quel che faccio non è ciò che sono, ma il modo in cui lo faccio in qualche modo contribuisce a scrivere il mio destino.
Ringrazio i buoni mentori, gli avversari e i molti compagni di viaggio per cui un percorso di Conoscenza è più importante di una singola vendita conclusa.

Tesoro mi si sono minimizzati i dati

Immagine
Fra i principi applicabili al trattamento dei dati personali, l'art. 5.1, c) GDPR individua le coordinate del c.d. principio di «minimizzazione dei dati» in forza del quale i dati personali devono essere:
adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati MA...cosa significa? L'impatto della norma nei confronti dei trattamenti già in essere è rilevante? Cambia qualcosa rispetto al Codice Privacy? E soprattutto: come si minimizzano i propri dati?


Procediamo con ordine: tutto sembra ricondurre alle finalità (del trattamento) dichiarate nell'informativa come parametro valutativo.

Ciò significa dunque che la finalità deve essere quanto meno determinata ed esplicita (nonché, legittima), e correttamente individuata (e comunicata in modo chiaro e intellegibile) dal Titolare del trattamento.


La raccolta e ogni successiva operazione di trattamento dei dati (per meglio dire: delle categorie di dati) deve svolgersi in funzione del …

L'incaricato del trattamento: una danza gattopardiana?

Immagine
Vexata quaestio: che fine faranno gli incaricati del trattamento dopo il (fatidico) 25 maggio?


Ebbene, a mio modesto parere: tutto cambierà affinché per loro nulla cambi.

Molto probabilmente rimarranno lì, dal momento che il Codice Privacy non sarà abrogato dal GDPR e ad oggi ancora non v'è indicazione circa il destino di questo soggetto che altri non sarebbe che il data handler, ovverosia la persona fisica che materialmente esegue le operazioni di trattamento dei dati personali.

Questa figura è definita dall'art. 30 Codice Privacy nel modo che segue:

Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscrit…

La storia del casco inutile e del fai-da-te

Immagine
Che dire, con il team ADiSoft abbiamo avuto modo di condividere una riflessione, prima di tutto considerando anche il poco tempo a disposizione per fornire un intervento a supporto della GDPR compliance ma, soprattutto, per aumentare un po' di consapevolezza circa il livello di compliance indicando alcuni strumenti di uso comune per provvedere ad un sano do-it-yourself.

Il nostro obiettivo? Rendere i Clienti consapevoli in modo tale che ci chiedano e valutino esattamente ciò che è utile.

Per fortuna, la maggior parte delle idee e degli spunti sono Opensource.
Il valore aggiunto che vogliamo creare è la ricerca di soluzioni su misura.

...e se non sono GDPReady entro il 25 maggio?

Immagine
Dont' Panic.

L'Autorità Garante francese ha indicato un periodo di grazia per tutti i titolari un po' in ritardo con i lavori di adeguamento, purché abbiano spirito di collaborazione, buona fede (e dunque: un ritardo incolpevole, o "poco" colpevole quanto meno) e soprattutto dimostrino di aver avviato un processo di GDPR compliance.

Ovviamente, è esclusa dalla tolleranza ogni palese difformità rispetto agli attuali principi in materia di protezione dei dati personali rispetto agli obblighi normativi attuali.

Dall'Italia tutto tace ma tempus fugit e ben poche realtà sono (o quanto meno dimostrano di essere) GDPReady.

ADiSoft: Are You GDPReady? II Edizione!

Immagine
Avete impegni per il 26 Marzo?
C'è la Seconda Edizione di...Are You GDPReady! a Bologna, zona Fiera.


Non siamo spaventati dalla sfida tecnologica e normativa del GDPR anche in essenza di una Legge di armonizzazione: dato che i cookies li mangiamo a colazione, possiamo portare soluzioni concrete ed efficaci sul lato gestionale, tecnologico e legale per migliorare la realtà aziendale con l'occasione del percorso di adeguamento alla nuova normativa in materia di protezione dei dati personali.

Essere GDPReady...conviene: scopriamo insieme come!

Sistema "eliminacode" vs. Privacy: big match?

Immagine
Un estratto del mio contributo al n. 9/2018 di Diritto e Pratica del Lavoro

Cerchiamo di estrarre alcuni elementi positivi dalla decisione dell'Autorità Garante per la protezione dei dati personali, per essere ancor più...GDPReady!


ANDI Prov. Gorizia: GDPReady?

Immagine
Domani a Gorizia con Vitae Biotech Network per essere...GDPReady ad un evento ospitato presso ANDI Prov. di Gorizia.