Post

Visualizzazione dei post da Ottobre, 2018

Comportamenti degli operatori (parte 1)

"Quando possibile, automatizza" è un promemoria molto caro per chi si occupa di sistemi di gestione, ma non sempre tale possibilità è attuabile in relazione alla sicurezza delle informazioni vista l'ineliminabile rilevanza del fattore umano.


Facendo però riferimento ai sistemi (da intendersi come: politiche, procedure e prassi) per la gestione della conformità delle attività di trattamento di dati personali alle prescrizioni del GDPR, i fattori di rischio riferibili ai comportamenti degli operatori devono essere necessariamente riferiti al contesto aziendale di riferimento dal momento che la lista di minacce tipiche (furto di credenziali, carenza di consapevolezza, incuria, comportamenti sleali, errori materiali) può essere non esaustiva (e dunque: inefficace) o sovrabbondante (e dunque: inefficiente). L'art. 29 GDPR, difatti, prevede che gli operatori siano autorizzati ed istruiti dal titolare del trattamento.

Regolare il comportamento degli operatori significa, inf…

Informative: parola d'ordine è fruibilità

Immagine
L'art. 12 GDPR, come già detto, impone misure appropriate per fornire le informazioni (e le comunicazioni) agli interessati, nonché una forma concisa, trasparente, intelligibile e facilmente accessibile, indicando la declinazione operativa del principio di trasparenza.

Ciò comporta, da un lato, alcune considerazioni in ordine all'accessibilità delle informative e all'impiego di informative cc.dd. stratificate.

Perché un'informativa sia accessibile, essa deve essere materialmente resa disponibile all'interessato: ad esempio, con un link nel footer dell'e-mail (impostato direttamente sul mailserver), pubblicata sul proprio sito web, o affissa presso i locali presso cui si riceve l'interessato.

Dal momento che un'informativa contiene vari elementi, distinguendo innanzitutto le varie finalità di trattamento svolte, molto probabilmente il rischio maggiore è comporre un wall of text difficilmente digeribile e tutt'altro che conciso (ad es. se si deve con…

Informative...da professionisti!

Immagine
Le parole d'ordine sono (o dovrebbero essere): chiarezza, semplicità ed immediatezza.

Ad esempio io ho tentato anche di dare una veste grafica in grado di favorire la chiarezza comunicativa, e certamente, nel tempo, evolverò l'informativa migliorandone l'efficacia. O altrimenti, dovrò badare ai contenuti qualora volessi trattare i dati per finalità diverse ed ulteriori rispetto a quelle per cui sono stati raccolti (in ossequio all'art. 13.3 GDPR).

Volendo semplificare, ho fatto le seguenti considerazioni riferendomi all'art. 13 GDPR come se fosse una checklist, e così consiglio di fare ai singoli professionisti che trattano dati di tipo comune.
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; E qui, l'idea migliore può essere inserire l'informativa nella propria carta intestata.
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile; Tipicamente, un singolo professionista n…