Post

Visualizzazione dei post da Novembre, 2018

Privacy Officer/Consulente della Privacy

Immagine
Magnum Gaudium, da oggi posso dire di essere (per tre anni, fino a rinnovo) Consulente Privacy certificato con lo schema CDP sviluppato in accordo alla ISO/IEC 17024:2012.

Cosa significa? Nulla di abilitante.Per essere Privacy Officer/Consulente della Privacy è importante saper fare.
La certificazione delle competenze è un'attestazione. Il mantenimento della certificazione implica lo svolgimento dell'attività e la relativa formazione.

Medici e operatori sanitari: elementi-chiave per adeguarsi al GDPR

Immagine
Nei percorsi di adeguamento che ho avuto modo di curare per alcuni operatori e strutture sanitarie ho notato che spesso c'è molta disinformazione circa gli adempimenti chiave da svolgere o, rectius, ciò di cui va tenuto assolutamente conto nel caso di un'attività svolta da un singolo medico o un operatore sanitario.

Gli errori più diffusi che ho potuto riscontrare sono stati:

la richiesta di consenso, spesso disgiunta, relativa alla prestazione sanitaria e all'attività di gestione contabile, anche da parte di chi è soggetto al segreto professionale;la non considerazione dei dati di tipo comune ma dei soli dati di tipo sanitario nel novero della definizione di dati personali;la mancata indicazione del periodo di conservazione dei dati;l'assenza di un censimento e/o di una valutazione delle misure di sicurezza adottate;considerare il segreto professionale come misura di sicurezza;l'assenza del registro delle attività di trattamento;la mancata indicazione dei destina…

Trattamenti da sottoporre a valutazione d'impatto - l'elenco del Garante

Immagine
Il Garante ha pubblicato in G.U. l'elenco dei trattamenti da sottoporre a valutazione d'impatto, ai sensi dell'art. 35.4 GDPR per cui
L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68. L'EDPB aveva riscontrato l'elenco dei trattamenti fornendo l'opinion n. 12/2018 il 25 settembre e evidenziando, fra i cambiamenti da apportare, la necessità di riferire tali tipologie di trattamento alle Linee Guida dell'Art.29WP (WP248).

L'elenco riguarda un ambito piuttosto ampio di trattamenti, applicando in modo restrittivo le raccomandazioni delle citate linee guida che, al riscontro di almeno 2 su 9 dei criteri di rischio, indicavano la soglia minima del "rischio elevato" fonte dell'obbligo dello svolgimento di una valutazione d'…

Alexa SI, Alexa NO

Immagine
Proseguono i dubbi sulla liceità dei trattamenti svolti da Alexa, così come degli altri dispositivi cc.dd. home assistant, per la registrazione continua anche al di fuori del controllo dell'utente emblematico il caso dell'ordine del giudice del New Hampshire), nonché per i destinatari delle registrazioni. L'impiego della wake word (Alexa, OK Google, etc.) non sembra infatti essere sufficiente per garantire all'utente il controllo del dispositivo che, per lo più, svolge funzioni automatizzate e potenzialmente può rilevare/registrare dati in modo continuo e persistente.
Molti dubbi, ma la Bethesda mi ha regalato un sorriso con il trailer di Skyrim.
Chissà se non si possa tornare, grazie a questi dispositivi, ai librigame ed alle avventure di Lupo Solitario, ad esempio.

Comportamenti degli operatori (parte 2)

Immagine
Quali sono i rischi che coinvolgono gli operatori?

Tradizionalmente, i rischi relativi alla sicurezza delle informazioni che trovano la propria fonte nel comportamento degli operatori sono il furto di credenziali, la carenza di consapevolezza, l'incuria, i comportamenti sleali, gli errori materiali.

Attenzione però: tale catalogo non è esaustivo, né completo, e pertanto può a seconda dei casi rivelarsi o insufficiente o sovrabbondante.

La struttura comune ai sistemi di gestione sviluppata (nel 2015) da ISO prevede la c.d. HLS - High Level Structure (struttura di alto livello), in cui è presente il c.d. risk-based thinking: i rischi devono essere identificati, analizzati, valutati e trattati nel contesto aziendale di riferimento.

Ciò significa che, adottando lo stesso modus operandi, possiamo ben pensare di identificare (specificando o generalizzando) i rischi che possono coinvolgere i comportamenti degli operatori nel contesto di riferimento al fine di valutare la predisposizione…

Chi visse sperando...

Immagine
...e arrivò il data breach.

Non servirà a molto desiderare che l'evento di violazione dei dati non sia mai accaduto, salvo particolari strategie che coinvolgono monete, fontane magiche e qualche leprechaun.



La sola programmazione delle strategie di contenimento degli effetti derivanti da potenziali eventi di violazione dei dati, inoltre, non può generalmente essere sufficiente a soddisfare i requisiti di sicurezza prescritti dall'art. 32 GDPR il quale deve essere letto, per considerarne la portata applicativa temporale, con l'art. 25 GDPR il quale prescrive l'adozione di tutte le misure (di compliance e di sicurezza) "sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso" evidenziando così un'esigenza di adottare un approccio preventivo e non soltanto rimediale.

Va ricordato che il parametro per valutare la gravità (o magnitudo) del rischio deve essere il danno fisico, materiale o immateriale (considerando n. 83) alle…

Quel...Diavolo di consenso (parte 4)

Immagine
 Parte 4: consenso informato

Accanto alle tutele della libera prestazione del consenso e della garanzia di revocabilità, la corretta informazione va ad integrare (con la granularità e specificità) il profilo di correttezza e trasparenza delle attività di trattamento basate sul consenso. La consapevolezza circa la portata delle conseguenze del consenso che si va a prestare è infatti un elemento essenziale di validità e consente di ridurre quanto più possibile effetti distorsivi derivanti da asimmetrie informative.

Il titolare viene infatti onerato di informare l'interessato non solo ai fini del rispetto del principio di trasparenza bensì anche per la tenuta della base giuridica su cui fonda un'attività di trattamento: in assenza di informazioni chiare e complete, verrebbe meno la liceità del trattamento svolto.


Tanto premesso, è chiaro che per parlare di consenso informato si deve aver cura di rendere all'interessato quanto meno le informazioni relative al trattamento di dati…