Post

Visualizzazione dei post da Aprile, 2018

Adeguatezza delle misure

Immagine
Da una lettura degli artt. 24 e 32 GDPR, troviamo alcuni  indici per la valutazione di adeguatezza delle misure predisposte, le quali dovranno tenere conto, da un lato della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, e dall'altro dei rischi per i diritti e le libertà delle persone fisiche, nonché, con particolare riguardo alla sicurezza, dello stato dell’arte e dei costi di attuazione.



Insomma: che siano misure di conformità o di compliance (predisposte per garantire il rispetto dei principi e delle prescrizioni del GDPR), o altrimenti misure di sicurezza (orientate alla protezione dei diritti degli interessati), la progettazione delle stesse deve essere "a misura" dell'attività svolta dal titolare, potendo valere ben poco una soluzione One4All o un approccio che non tenga conto di monitoraggi e/o un sistema di gestione

Ciò significa che sovradimensionare alcune misure e trascurarne delle altre non è un buon modo per es…

Misure: quali?

Immagine
C'è un grande affannarsi alla ricerca di definire alcune misure standard e soluzioni One4All, facendo prevalere o il lato organizzativo o il lato tecnico. La libera definizione delle misure, tanto di compliance quanto di sicurezza, sembra piuttosto indicare un approccio ibrido in ottica di garantire l'efficacia (del rispetto della normativa e della tutela dei diritti e delle libertà dell'interessato).

Come negli Avengers, occorre un po' di sinergia. Al contrario degli Avengers (per i quali può ben valere la premessa "Se non riusciremo a proteggere la Terra stai pur certo che la vendicheremo") è preferibile l'approccio proattivo e preventivo per essere...GDPReady.


Contitolari

Immagine
Esistono situazioni di contitolarità del trattamento? Quale regime devono seguire secondo il GDPR?

Sul punto è importante un richiamo preliminare al considerando n. 79, per cui
La protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento e dei responsabili del trattamento, anche in relazione al monitoraggio e alle misure delle autorità di controllo, esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del trattamento o quando l’operazione di trattamento viene eseguita per conto del titolare del trattamento.
Tanto premesso, la disciplina della contitolarità del trattamento o joint controlling è affrontata dall'art. 26 GDPR il quale prescrive a tale riguardo la redazione di un accordo

1. Allorché due o più titolari del trattamento determinano congiuntam…

GDPR: nessuna proroga

Immagine
Il Garante è lapidario sul punto: nessun differimento per ispezioni e sanzioni, in quanto nessuna proroga è possibile per l'applicazione del GDPR.

Sebbene l'idea del "grace period" sia allettante, bisogna fare attenzione: non significa che il Garante si asterrà dall'esercitare i propri poteri di indagine, correttivi e sanzionatori.


Un Registro...

Immagine
"Un Registro per mapparli, un Registro per tracciarli Un Registro per gestirli e al GDPR conformarli"

( estratto dalle Linee Guida della DPA di Barad-dûr )


Come redigere questi registri delle attività di trattamento che tutti i migliori consulenti consigliano come opportunità e che finanche il Garante raccomanda?

Certo, ci viene spiegato che

La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell'organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un'accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, come detto, nell'art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se …

GDPR? Tagliamo corto.

Immagine
Visto che oggi ricorre il patrono degli slasher, utilizziamolo come ispirazione per tagliare via qualche erronea convinzione che orbita attorno a GDPR e derivati:

La GDPR è una Direttiva.Se utilizzo un server extra-UE per dati che gestisco non sono tenuto a rispettare il GDPR.Se sono un'azienda controllata da una controllante extra-UE non sono tenuto a rispettare il GDPR.Il GDPR si applica ai soli dati sensibili.Le linee guida del Garante dicono che è obbligatorio per le società di servizi informatici designare un DPO senza dover badare ai presupposti dell'art. 37.Parlare di incaricati del trattamento è contrario al GDPR.Il DPO deve essere designato in caso si abbiano più di 250 dipendenti.Un'assicurazione può coprire le sanzioni derivanti dalla violazione del GDPR.Non c'è obbligo di registrare data breach se le violazioni non presentano rischi per gli interessati.Gli accordi in materia di protezione dati con i data processor possono anche essere non scritti o implici…

Fiscal Focus è GDPReady!

Immagine
Con una sezione dedicata proprio al GDPR, con un occhio di riguardo per i professionisti.

Ho contribuito anche io con qualche "pillola" di privacy, sperando di far passare a qualcuno un po' di mal di testa (e grattacapi) da adempimenti.




La favola delle...app

Immagine
Nel 1705 Bernard de Mandeville scriveva la Favola della api: vizi privati e pubbliche virtù  descrivendo attraverso un'opera satirica i paradossi di una società che vuol apparire virtuosa pur dovendo la sua prosperità al mercato dei vizi e delle passioni.
“Essendo cosí ogni ceto pieno di vizi, tuttavia la nazione di per sé godeva di una felice prosperità. era adulata in pace, temuta in guerra. Stimata presso gli stranieri, essa aveva in mano l’equilibrio di tutti gli altri alveari. Tutti i suoi membri a gara prodigavano le loro vite e i loro beni per la sua conservazione. Tale era lo stato fiorente di questo popolo. I vizi dei privati contribuivano alla felicità pubblica. Da quando la virtú, istruita dalle malizie politiche, aveva appreso i mille felici raggiri dell’astuzia, e da quando si era legata di amicizia col vizio, anche i piú scellerati facevano qualcosa per il bene comune.” In modo provocatorio propone una lettura della prima rivoluzione industriale teorizzando una corr…

Grindrella non perde la scarpetta ma qualche dato

Immagine
Quel che poteva sembrare (e sembra tutt'ora, in realtà) l'inizio di un Grindr datagate dovuto dalla condivisione di informazioni circa lo stato di salute, orientamento e preferenze sessuali e ulteriori dettagli relativi agli utenti della celebre app, ha trovato una pronta risposta con la quale la Società ha assicurato che tali informazioni non sono mai state né mai saranno vendute
Grindr has never sold, nor will we ever sell, personal user information – especially information regarding HIV status or last test date – to third parties or advertisers. precisando che l'attività di condivisione è dovuta al miglioramento di alcune caratteristiche e ai relativi test svolti

Recently, there have been concerns raised about Grindr’s sharing of HIV status information with two companies that help us test our app and improve its functions for our users.  Apptimize and Localytics are two highly-regarded software vendors which help us improve the experience for our users. They take …

L'oblio di Venditti è un gatto di Schrodinger?

Immagine
Il paradosso della recente pronuncia di Cassazione (ord. n. 6919/2018 del 20.03.2018) che ha ricordato le coordinate essenziali perché il diritto di cronaca "resista" alle pretese fondate sul diritto di oblio, indicando i seguenti presupposti:
il contributo arrecato dalla  diffusione dell'immagine o della notizia ad un dibattito di interesse pubblico;l'interesse effettivo ed attuale alla diffusione dell'immagine o della notizia (per ragioni di giustizia, di polizia o di tutela dei diritti e delle libertà altrui, ovvero per scopi scientifici, didattici o culturali), da reputarsi mancante in caso di prevalenza di un interesse divulgativo o, peggio, meramente economico o commerciale del soggetto che diffonde la notizia o l'immagine;l'elevato grado di notorietà del soggetto rappresentato, per la peculiare posizione rivestita nella vita pubblica e, segnatamente, nella realtà economica o politica del Paese;le modalità impiegate per ottenere e nel dare l'inf…

Cosa c'era nell'uovo? Una DPIA!

Immagine
Che cosa è un Easter Egg?

Il termine richiama la caccia all'uovo, tradizione pasquale anglosassone, in cui si va alla ricerca delle uova nascoste nei giardini dal coniglio di Pasqua. In informatica (soprattutto nei videogiochi), è un contenuto innocuo (spesso divertente, o con la "firma" degli autori) inserito da progettisti o sviluppatori all'interno di un software, accessibile con una combinazione di comandi (ad esempio Excel 95 aveva la "Hall of Tortured Soul").
Cosa c'era nell'Easter Egg?

Nulla di particolare: era sufficiente cliccare sull'immagine per accedere ad un comodo software open source messo a disposizione dall'Autorità di controllo francese (CNIL - Commission Nationale de l'Informatique et des Liberté) per agevolare lo svolgimento di una valutazione d'impatto della protezione dei dati.



Come essere GDPReady? Basta un assessment.

Pasqua + 1 Aprile

Immagine
= Buon Easter Egg a tutti!