Post

Visualizzazione dei post da Maggio, 2018

Prodotti miracolosi per il GDPR?

Immagine
Ultimamente, per evidenti ragioni di mercato, vedo molte soluzioni (sia chiaro: strumenti tecnici, corsi di formazione o consulenze) che annunciano bene o male due tipi di risultato:
tutti gli adempimenti del GDPR in un clic;sopravvivere al GDPR; le cui ricette condividono certamente l'ingrediente X che funziona istantaneamente per tutti creando una barriera impenetrabile contro i "controlli del Garante".

Orbene: nella maggior parte dei casi delle PMI dubito che il Garante abbia interesse a dirigere controlli mirati. Certamente risponderà ad eventuali reclami, ma non è per "timor di sanzioni" (equiparabile al tintinnar di manette di scalfariana memoria) che i titolari dovrebbero avviarsi verso la conformità normativa. Svolgere correttamente i trattamenti di dati personali significa valorizzare il proprio data asset, ne consente la libera circolazione e contribuisce a fornire una corretta percezione dei rischi (elemento di valore per strategie d'impresa).

In…

Autorizzati e istruiti

Immagine
L'art. 29 GDPR contiene un importante richiamo al concetto di istruzione:

"Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri."

Ebbene, sempre più frequente è il richiamo a tale articolo per imporre un corso di formazione dei data handler. Per quanto utile, però, non è imposto dalla norma. Nell'ottica di responsabilizzazione, infatti, sarà il titolare che dovrà scegliere le modalità di istruzione adeguate per i soggetti che svolgono le operazioni di trattamento in considerazione dei rischi riconducibili ai comportamenti umani. Qualora sia scelto un percorso di formazione, è bene ricondurre i principi del GDPR alle ricadute pratiche in azienda, con riferimento a procedure o prassi adottate o da adottare, al fine …

25 Maggio: Don't Panic!

Immagine
25 Maggio: Don't Panic!

Madamina che trattamento è mai questo?

Immagine
L'accesso ai nomi delle conquiste di don Giovanni è una violazione di dati personali rilevante per il GDPR?

Sebbene il seduttore sia particolarmente operoso, possiamo dire che la sua attività rientra nell'ipotesi di non applicazione ai sensi dell'art. 2.2 lett. e), ovverosia i trattamenti effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico.
Attenzione a cadere nella una tentazione di ricondurre tutto ciò che è dato ai dettami del GDPR perchè l'art. 2 del GDPR definisce chiaramente l'ambito di applicazione materiale del Regolamento.

GDPR Workshop: fatto!

"Indicazioni pratiche per l'applicazione del GDPR": questo il titolo dal sapore di clicbait per il ciclo di incontri Cultura d'Impresa organizzato dallo Studio De Marco-Canu-Zanon-Gregoris che ha riempito con oltre 100 presenze la sala grande di Friuli Innovazione.

Una partecipazione ampia e variegata al Workshop, grazie a cui abbiamo esplorato le principali ricadute pratiche del GDPR nei più comuni contesti di impresa: non abbiamo mai parlato di sanzioni, ma di semplificazione; non di massimi sistemi, ma di applicazioni pratiche.

Il ringraziamento va ai partecipanti, che hanno saputo interagire con una norma dall'applicazione tutt'altro che complessa per la maggior parte del tessuto imprenditoriale italiano. L'auspicio, è che saranno un po' meno preoccupati e un po' più...GDPReady.

ADi-Day: grazie a tutti!

Immagine
One does not simply
 walk into GDPR compliance

Armonizzazione del Codice: ecco lo schema

Immagine
Lo schema del decreto legislativo di adeguamento al GDPR è approdato in Parlamento: la relazione illustrativa consuntiva il percorso affrontato.

Il 25 maggio è vicino, l'approvazione deve avvenire entro il 21.

Nulla di nuovo sotto il cielo dei dati per chi ha optato per un percorso di GDPR-compliance con un approccio di processo.

Chi invece ha scelto la via degli adeguamenti statici troverà il primo ostacolo: dover garantire una conformità continua non solo a fronte delle modifiche del contesto ma anche per le novità normative.

Chi ha fatto troppo (secondo il bias: "nel più c'è il meno"), dovrà correggere taluni eccessi di zelo per evitare non conformità.

Chi ha fatto il giusto, scoprirà invece di essere praticamente già compliant in modo sistematico

17 maggio @Udine

Immagine
Ringrazio per l'invito Sistemi 2000 srl al convegno organizzato il 17 maggio p.v. a Udine, in cui si parlerà delle Novità modello Redditi 2018 per Dottori Commercialisti ed Esperti Contabili con intervento del prof. Gigliotti.

Coglieremo l'occasione di parlare anche dell'applicazione del GDPR negli studi professionali, con un taglio pratico e operativo.

16 maggio @Udine

Immagine
Con lo Studio De Marco - Canu - Zanon - Gregoris si fa...Cultura d'impresa.

Coglieremo l'occasione per dare uno sguardo agli ambiti più comuni di trattamento in un Workshop dedicato all'adeguamento dei principali ambiti aziendali al GDPR.

Vista la platea molto ampia, sapremo riservare un ampio spazio a domande e risposte e all'analisi di casi concreti per spiegare meglio concetti quali, ad esempio, l'adeguatezza e la gestione del rischio.

15 maggio: ADi-Day!

Immagine
Team ADiSoft a rapporto: proprio perchè non possiamo essere ovunque, saremo presenti con l'ADI-Day!

Programma vario, multidisciplinare, pratico e con un ampio spazio per parlare a tu per tu per la ricerca di soluzioni.

Ci vediamo a Bologna!

Mappare dati e trattamenti?

Immagine
Non è una missione impossibile, ma occorre mettere in moto le celluline grigie e progettare un metodo. Adeguato, personalizzato, e di buon senso ovviamente badando anche al proprio budget.

Perchè, in fondo, parlare di approccio risk-based significa anche il coraggio di prendere delle decisioni su cosa approfondire perché il come, lo indica già il GDPR: valutare rischi per i diritti e le libertà dell'interessato secondo probabilità e gravità.

Cosa andare a cercare? Quante categorie specificare? Come raggrupparle in insiemi omogenei evitando di fare "carte su carte" spesso inservibili per gli scopi di monitoraggio, revisione e adeguamento continuo?

Ecco: molto sta nella progettazione. Per questo motivo un approccio gestionale non è da sottovalutare in quanto il GDPR non è un ostacolo alla circolazione dei dati bensì è un incentivo al corretto impiego degli stessi.


Il rischio maggiore e più diffuso è infatti il mancato controllo dei propri trattamenti, e dunque, sostanzial…

May the 4th...

Immagine
...be with Your GDPR compliance.

Ricordiamoci di non essere troppo fieri del Modello Privacy che abbiamo costruito: la capacità di generare documenti è niente di fronte al potere di un Sistema di Gestione.


Indicazioni: ma quali?

Immagine
Che si tratti di sottostimare l'impatto del Regolamento (taluni addirittura dicono che riguarda solo i big player del mercato e che basta fare una carta), sovrastimare (c'è chi consiglierebbe il DPO anche al pizzicarolo, o questione su distruggidocumenti che fanno striscioline anziché coriandoli) o vaghezza nel fornire indicazioni (spesso ancorate su risarcimenti del danno e responsabilità oggettiva, in cui si evidenziano problemi e mai soluzioni), sono tutti modi per non tenere conto della propria attività nella progettazione (ed attuazione) delle misure adeguate.

 Un po' di buon senso nel recepire indicazioni è...essere GDPReady!