Post

Visualizzazione dei post da Giugno, 2018

Misure di sicurezza "esemplari"

Immagine
L'art. 32 GDPR, è noto, descrive la sicurezza dei trattamenti tracciando le coordinate del risk-based-approach: è infatti necessario tenere conto di taluni parametri al fine della predisposizione di misure che possano contenere (rectius: trattare) i rischi per i diritti e le libertà delle persone fisiche.

Tali parametri possono essere rincoducibili, a colpo d'occhio, ad un rischio di tipo strategico (stato dell'arte), economico-finanziario (costi di attuazione) e operativo (natura, oggetto, contesto e finalità del trattamento), tenendo conto delle minacce che possano compromettere confidenzialità, integrità o disponibilità dei dati comunque trattati. Tale è dunque la regola prescrittiva contenuta nella norma, la quale si limita ad indicare l'adozione di un livello di sicurezza adeguato.

Le misure tecniche ed organizzative che successivamente elenca in modo esemplificativo, forte della premessa se del caso, sono da leggersi come indicazioni per un orientamento verso un…

GDPR e allineamenti

Immagine
Titolari e Consulenti hanno diversi allineamenti verso il GDPR.

Vediamone alcuni in chiave umoristica...



Essere GDPReady è...principalmente buon senso.

Decisioni automatizzate: diritto o divieto?

Immagine
Cosa è una decisione automatizzata?

E soprattutto: che natura ha il diritto di non essere soggetti ad una decisione automatizzata?

Una lettura del considerando n. 71 GDPR aiuta a trovare una risposta.
L’interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani. Emergono così in modo più chiaro i confini del divieto:
Tale trattamento comprende la «profilazione», che consiste in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la sit…

Quando il registro è "d'obbligo"

Immagine
Il registro dei trattamenti, stando alle raccomandazioni del Garante:
non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell´organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un´accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta. I contenuti del registro sono fissati, come detto, nell´art. 30; tuttavia, niente vieta a un titolare o responsabile di inserire ulteriori informazioni se lo si riterrà opportuno proprio nell´ottica della complessiva valutazione d'impatto dei trattamenti svolti.
Certo è che ogni impresa o organizzazione con oltre 250 dipendenti debba tenere il registro.


Ad una prima lettura dell'art. 30.5 GPDR, la deroga per imprese o organizzazioni con meno di 250 dipendenti incontr…

UCAS: un esempio

Immagine
Don't work hard

work inteligent



European Data Protection Board: il sito

Immagine
Who are you?
I'm you, but stronger

I vestiti nuovi dell'art. 29 WP

Immagine
A partire dall'applicazione del GDPR, l'art. 29 WP cessa di esistere, in ragione dell'abrogazione della Direttiva Madre la quale ne prevedeva composizione e scopi:
Art. 29 Dir. 95/46/CE
Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali
1. È istituito un gruppo per la tutela della persone con riguardo al trattamento dei dati personali, in appresso denominato «il gruppo».
Il gruppo ha carattere consultivo e indipendente.
2. Il gruppo è composto da un rappresentante della o delle autorità di controllo designate da ciascuno Stato membro e da un rappresentante della o delle autorità create per le istituzioni e gli organismi comunitari, nonché da un rappresentante della Commissione.
Ogni membro del gruppo è designato dall'istituzione oppure dalla o dalle autorità che rappresenta. Qualora uno Stato membro abbia designato più autorità di controllo, queste procedono alla nomina di un rappresentante comune. Lo stesso vale per le auto…

Ziggy Stardust e la pseudonimizzazione

Immagine
Cosa è la pseudonimizzazione?

Cerchiamo di capirlo in modo semplice grazie a Ziggy Stardust.

Se togliamo ogni riferimento a Ziggy, cifrando i dati che sono in grado di identificarlo, otteniamo un set di dati da cui si può ricavare, ad esempio, che:
suonava la chitarraera mancinodivenne il tipo specialefaceva l'amore col proprio ego insomma: sono una serie di informazioni non attribuibili direttamente (o indirettamente) ad una persona fisica. Ziggy Stardust, o per meglio dire, il nesso identificativo, è in una chiave (di cifratura).

L'anomizzazione consiste nell'eliminare la possibilità di ricongiungere tali dati, mentre è pseudonimizzazione conservare il dato e le chiavi aumentandone la sicurezza senza però perdere la possibilità di leggere il dato identificativo.

Indice significativo di sicurezza è il grado di separazione degli ambienti in cui sono conservati dati e chiavi: più è complessa la ricostruzione (per numero di operazioni da svolgere), maggiore è la sicurezza.

Raccomandare per difetto

Immagine
Così come non è corretto raccomandare per eccesso, secondo l'adagio nel più c'è il meno, è allo stesso modo errato aggirare, ignorare o sottostimare gli adempimenti. Il più delle volte, si ricorre a formule generiche, slegate dal(l'analisi di) contesto o anche pleonastiche (ad es. la dichiarazione di aver adottato misure adeguate).

Vero è che la materia della data protection non è immediatamente accessibile, può avere molte implicazioni e gli adempimenti sono elementi di costo. La confusione a riguardo, poi, non consente di eseguire un self-assessment né sono presenti strumenti di ausilio a tale riguardo.

Esiste una tentazione, per lo più legata ad inesatta percezione di ciò che si fa e di ciò che andrebbe fatto (i cc.dd. compliance-gap), che porta a non far nulla.

Un titolare inerte si espone così non soltanto alle sanzioni dell'Autorità Garante, ma ancor più corre il rischio di perdere il controllo del dato: anche qualora il Garante difatti eserciti un potere corre…

Raccomandare per eccesso

Immagine
Con buona pace di Cartesio, alcune "raccomandazioni" circa gli adempimenti sono spesso connotati da vaghezza e quasi mai consolidati in una forma scritta la quale ben responsabilizzerebbe il consulente.

L'accountability non può (né deve) essere la giustificazione per vendere un prodotto, un servizio o comunque non entrare nel merito e valutare l'esistenza o meno di presupposti, preferendo e seguendo l'adagio secondo cui nel più c'è il meno.

Così non è.
Un adempimento non necessario ha effetto sulla generale percezione del rischio dei trattamenti svolti e della sicurezza (overconfidence bias) o, dal momento che spesso comporta una spesa economica difficilmente sostenibile, può avere efficacia ma non essere efficiente e dunque, nel tempo, venire progressivamente abbandonato senza una revisione o una valutazione di adeguatezza. Con riferimento alla sicurezza del trattamento, infatti, l'art. 32.1 indica di tener conto dello stato dell’arte e dei costi di att…

Tanto rumore per nulla

Immagine
In questi giorni c'è stata una vera e propria noticestorm. Ovunque informative su informative su informative. Rinnovi di politiche privacy, tentativi di "bonifica" di contatti tenuti in database, e chi più ne ha più ne metta.

Peccato però che l'informativa (o informazioni ai sensi degli artt. 13 e 14 GDPR) non richieda alcun adempimento formale, e per il principio di trasparenza è prevalente l'aver reso determinate informazioni in un linguaggio chiaro e accessibile (art. 12 GDPR) ben più che aver fatto notifiche, bolli, timbri e controfirme.

Ad esempio: pubblicandola sul proprio sito web, e mettendo il link in firma alle proprie email.

Essere GDPReady è (anche) semplificarsi la vita.