Post

Visualizzazione dei post da 2019

Le skill del DPO

Parlando di DPO e soft skill, è emerso come spesso le aziende non facciano un'adeguata selezione e valutazione del proprio Data Protection Officer evitando (più o meno scientemente) di approfondire il profilo di adeguatezza dello stesso al contesto operativo, all'organizzazione aziendale e alle attività di trattamento.

Ciò comporta, però, una struttura organizzativa decisamente instabile in quanto:

non si garantisce l'efficace svolgimento del ruolo (e dunque: continuità di sorveglianza, supporto organizzativo, accoglimento delle risultanze di audit/verifiche o consulenze);il DPO rischia di essere visto come un punto di disturbo per le attività aziendali e non come un efficace supporto al corretto svolgimento delle stesse;può emergere un approccio eccessivamente difensivo da parte del DPO nei confronti della propria responsabilità professionale, con controlli più formali che sostanziali.

Per non parlare, poi, di situazioni di conflitto di interesse o inadeguatezza delle comp…

GDPRant

Immagine
Sempre più spesso, noto che l'expertise in data protection si accompagna ad una propensione a rantare sui social contro questa o quella tecnologia o, più spesso, qualche OTT (in pole position: Google, Facebook e Amazon).

Il bello, però, è che di Max Schrems italiani io non ne ho (ancora) visti.

Al di là di elaborati j'accuse su social network, nonché il (preteso e autoreferenziale) vanto di non utilizzare questa o quella tecnologia, qualcuno ha mai inteso procedere con un reclamo sensato? Dubito fortemente, altrimenti lo stesso (e il corrispondente esito) sarebbe stato certamente pubblicizzato a pieni polmoni.

Insomma: sembra che più che altro si faccia tanto rumore per nulla. O meglio: tanto rumore e basta.



Agenzia delle Entrate: occhio alle e-mail fasulle!

Immagine
Prosegue la rassegna delle false e-mail provenienti dall'Agenzia delle Entrate...stavolta titolate "attività di contrasto all'evasione".

Sebbene apprezzabile il tema e la tempestività (il 2 dicembre è data di "ingorgo" delle scadenze fiscali), per approfittare della disattenzione degli operatori, già da un’analisi del testo è possibile rilevare alcuni elementi incoerenti, fra cui:
-“Ciao” di apertura, poco coerente con il mittente istituzionale;
-Alcuni errori nel testo (soprattutto accenti);
-Link inesatto al sito dell’AdE per scaricare il documento (non è un dominio .gov.it).

La diffusione all’interno della propria organizzazione dell’alert relativo a questa finta comunicazione (così come ad altre) persegue la finalità di aumentare la consapevolezza e la sensibilizzazione degli operatori.

Essere GDPReady è...saper riconoscere le false email.

L'importanza di valutare il contesto

Immagine
No, non è una parodistica rielaborazione della celebre opera di Wilde in chiave GDPR, in cui al signor Ernest si sostituisce il signor Context.

Molto importante ricordare che la valutazione del contesto è un elemento fondamentale per l'analisi di rischi e misure (di conformità normativa, sicurezza e garanzia per gli interessati).

Ad esempio è essenziale per:

predisporre misure di conformità normativa (art. 24 GDPR);progettare le attività di trattamento (art. 25 GDPR);predisporre misure di sicurezza (art. 32 GDPR);svolgere una valutazione di impatto (art. 35 GDPR);l'esecuzione dei compiti del DPO (art. 39 GDPR).
Inoltre, anche il Dottore ci ricorda come essere...GDPReady.


Videosorveglianze irregolari: Hall of Fail

Nella mia esperienza di verifiche e adeguamenti al GDPR, ho riscontrato molto spesso casi di irregolarità nell'impiego dei sistemi di videosorveglianza(in violazione o dello Statuto dei lavoratori, o del GDPR, o di entrambi.

Dunque, è tempo di redigere il podio della Hall of Fail sperando possa essere di consiglio e accendere qualche lume di ragionevole dubbio circa alcune pratiche un po' poco...GDPReady, e non solo.

1. INSTALLAZIONE ILLECITA. Ovverosia: l'installazione non è stata preceduta da un accordo sindacale o l'autorizzazione dell'Ispettorato del Lavoro territorialmente competente.

Nell'accordo o nell'autorizzazione si compie la ricognizione del legittimo interesse del datore di lavoro di effettuare il trattamento dei dati personali attraverso i sistemi di videosorveglianza, che è lecito
"esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale" (art. 4 comma 1 L. 300/1970) …

Agenzia delle Entrate e "stagione di pesca" (phishing)

L’Agenzia delle Entrate, con il comunicato stampa del 14 ottobre 2019 informa i cittadini del tentativo di frode via PEC attraverso operazioni di phishing.

Il phishing consiste in una truffa online in cui si cerca di ottenere da parte del destinatario di una finta comunicazione da parte di un ente affidabile (es. e-mail, popup, PEC) informazioni personali o aziendali quali ad esempio credenziali di accesso o dati finanziari. L’attività ingannevole consente così al criminale di “pescare” informazioni e password, o anche di infettare i dispositivi delle vittime attraverso allegati malevoli.

Come riconoscere un tentativo di phishing
Il tentativo di phishing impiega solitamente una comunicazione che richiama nei contenuti il linguaggio e la grafica di un ente affidabile (ad es. Agenzia delle Entrate, INPS, o un istituto di credito), invitando a:
-aprire un link;
-aprire un allegato;
-rispondere alla comunicazione inviando delle informazioni;
ed ha lo scopo di far leva sul senso di urgenza …

Amministratori di Sistema e Responsabili IT

Approfittando del seminario legale tenuto presso il DITEDI, un brevissimo recap delle figure dell'Amministratore di Sistema e del Responsabile IT attraverso 5 punti fondamentali:

Non tutti i Responsabili IT sono Amministratori di Sistema.Se interne, tali figure sono inquadrabili come soggetti designati ai sensi dell'art. 2-quaterdecies Cod. Privacy.Se esterne, tali figure sono inquadrabili come responsabili del trattamento ai sensi dell'art. 28 GDPR.Il Provv. 27 Novembre 2008 n. 300 del Garante Privacy si applica nella parte in cui descrive l'applicazione di misure di sicurezza tecniche e organizzative (tenuta elenco, designazione individuale, verifica periodica dell'operato, log management) per la gestione di soggetti che operano sui sistemi informatici del titolare tramite utenze con privilegi elevati.Qualora si vogliano disapplicare alcune prescrizioni del Provvedimento, sarà onere del titolare porsi nella posizione di poter dimostrare (attraverso un'attività…

DPO: il prezzo è una scelta poco "accountable"?

Immagine
Segnalo mio evidente conflitto (professionale) di interesse nel presente meme.
Ad ogni modo, è opportuno ricordare che le modalità di selezione del DPO sono un elemento le cui evidenze sono valide per dimostrare la responsabilizzazione/accountability del titolare del trattamento.

La "narrazione" del GDPR

Immagine
Sto vivendo un déjà vu di un anno fa. Lo storytelling di molti che decantavano il "GDPR come opportunità" da qualche settimana ha optato per il tamburo di Moria ("tamburi...tamburi negli abissi" - forse dell'Ego, forse della Ragione).

Insomma: bardi e cantori di una incombente Rovina già preannunciano l'avvento di un Maelstrom sanzionatorio. Possa il divino oblio salvarli in caso di mancata realizzazione della Profezia.

Ringrazio però per lo spunto fornito per una serie Fantasy dedicata alla "narrazione del GDPR".

Ho già iniziato a delineare le Classi e le Classi di Prestigio dei Privacy Officer...stay tuned, and be GDPReady!


Accountability First: trattare i dati responsabilmente

Immagine
Il concetto di accountability, purtroppo, è diventato più una tecnica di vendita che un argomento di discussione. In sostanza, ogni consulenza GDPR-oriented viene giustificata dal concetto di accountability come risposta universale e polivalente alla domanda "Ma a cosa ci serve fare [...]?"

Ebbene, l'art. 24 GDPR, parlando di Responsabilità del titolare del trattamento, precisa al primo paragrafo che questi debba adottare "misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente" al GDPR. L'adeguatezza di dette misure è (auto)valutata considerando natura, ambito di applicazione, contesto e finalità del trattamento, nonché i rischi per i diritti e le libertà delle persone fisiche.

Orbene, la formula del dover essere in grado di dimostrare è spesso impiegata per giustificare copiose produzioni cartacee, spesso scollegate dall'effettività che la norma richiamata vorrebb…

May the Fourth be with you...

Immagine
...and with your GDPR-compliance.

Ricordandoci che la responsabilizzazione richiamata dall'art. 24 GDPR comporta una conformità dei trattamenti non meramente statica bensì tendente (o ancor meglio: progettata) verso obiettivi di miglioramento continuo.


Privacy Officer & DPO's unconventional desires

Immagine
My desires are... Unconventional

So show me



Quel...Diavolo di consenso (parte 8)

Immagine
Parte 8: Consenso e marketing

La definizione di comunicazione commerciale si trova all'interno della direttiva 2000/31/CE sul commercio elettronico (recepita dal D.lgs. 70/2003):
«tutte le forme di comunicazioni destinate, in modo diretto o indiretto, a promuovere beni, servizi o l’immagine di un’impresa, di un’organizzazione o di una persona che esercita un’attività agricola, commerciale, industriale, artigianale o una libera professione».  ed è più volte richiamata dall'Autorità Garante con riguardo agli interventi di contrasto al fenomeno dello spam e, più in generale, della pubblicità indesiderata.

La Direttiva ePrivacy, attraverso gli atti normativi di recepimento, si pone come normativa speciale per la regolamentazione delle comunicazioni elettroniche. In pendenza del Regolamento ePrivacy, la disciplina per la le attività di digital marketing va dunque ricondotta tanto a tali norme quanto al GDPR, come chiarito dall'EDPB Opinion 5/2019 on the interplay between the ePr…

Absolute Beginners

Immagine
L'approccio ad una materia complessa come la data protection richiede impegno, competenza, esperienza ma soprattutto umiltà.

Alcune norme sono piuttosto recenti, così come le interpretazioni da parte delle Autorità di Controllo, e in ogni caso sono influenzate da un progresso tecnologico accelerato.

 A prescindere dal "peso" delle carte in nostro possesso (titoli, certificazioni, onori e CV), essere o divenire tuttologi nella materia è pressoché impossibile. Piuttosto: è bene creare sinergie e ambiti di specializzazione.

Citando David Bowie: "We're Absolute Beginners", in un modo o nell'altro.

Da non dimenticare mai.

Brace Yourselves: 19 maggio is coming...

Immagine
“Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.” (art. 22 comma 13 D.lgs. 101/2018, in vigore dal 19.09.2018)

First Assess, Then Process

Immagine
That moment when you realize

you need a better risk assessment

Legitimate interests, a matter of balance

Immagine
 Art. 6.1 (f) GDPR HowTo - "Perfectly balanced as all things should be"

Recital no. 47 GDPR in a nutshell

Immagine
In the Darkest Hour of Direct Marketing, never forget the Recital no. 47 GDPR...


Il vero requisito del DPO? Essere nerd!

Immagine
...lo dice anche l'Art.29WP nelle Linee-guida sui responsabili della protezione dei dati (WP243), come andrò brevemente a spiegare, con un sintetico riferimento ai passaggi argomentativi fondamentali. Procediamo con ordine.

Se deve essere garantita l’accessibilità del RPD, chi meglio di un soggetto con limitate attività al di fuori della data protection? Insomma: che la socialità sia limitata a Dungeons&Dragons (training delle cc.dd. soft skill richiesta al RPD), tornei, magari qualche novità tecnologica e frequentazione di molteplici community online...così da non ostare alla facile raggiungibilità dello stesso.

Sono richieste conoscenze specialistiche della normativa e delle prassi in materia di protezione dei dati? Ebbene, un nerd eccelle proprio in questo: specializzarsi. Studiare. Approfondire. Incrociare più fattori e coordinarli per un risultato utile. In fondo: provate voi a fare le migliori build di un personaggio ricorrendo ad elenchi pressoché infiniti di manuali. …

Game of databreach(es) - Atto Quarto: The final countdown

Immagine
 Data breach: The final countdown.

Analisi, report, notifiche e comunicazioni: come organizzare il timing della violazione?
Buona prassi vuole che si definisca il flusso informativo dell'evento di violazione.


La consapevolezza dell'operatore è elemento essenziale, che si compone di sensibilizzazione, formazione e addestramento. In quanto agente più prossimo all'evento di violazione, è bene che sia fornito non soltanto di istruzioni, ma anche di una modulistica che indichi già alcuni campi da compilare al fine di consentire una valutazione tempestiva (entro 72 ore dalla rilevazione) al titolare del trattamento, ovverosia:
data e ora della rilevazione;descrizione sintetica dell'evento;indicazione dei dati compromessi. Ovviamente il punto 2 può essere più o meno "guidato" dalle istruzioni, che potrebbero già suggerire alcuni eventi "standard", in forma generica (perdita di disponibilità, confidenzialità o integrità del dato) o maggiormente specifica (bl…

Game of databreach(es) - Atto Terzo: Take on DPS

Immagine
Data breach: Take on DPS.

Spesso una piccola o piccolissima realtà con bassa complessità delle attività di trattamento ha le seguenti caratteristiche: raramente si hanno procedure interne, i trattamenti sono svolti da un ufficio di poche persone, la fornitura dei servizi IT è affidata in outsourcing, non sono presenti sistemi di controllo degli accessi. Insomma: si è certamente ben al di fuori delle ipotesi di DPIA.



Può sembrare che queste piccole realtà possano trovare più difficoltà nel raggiungere una conformità relativa alla corretta gestione degli eventi di data breach. Soprattutto c'è una diffusa resistenza mentale ad accettare gli obblighi del GDPR, preferendo il canto delle sirene di chi predica esenzioni. Nel caso dell'obbligo di notifica, sembra che il motivo sia una pretesa e aprioristica valutazione di insussistenza di un rischio significativo per gli interessati in ragione della dimensione contenuta dell'attività.

Questo è un errore sotto varie prospettive.
Pr…

Chiarimento del Garante su trattamenti da sottoporre a DPIA

Immagine
Attraverso un chiarimento il Garante ha indicato come i trattamenti dei nn. 6, 11 e 12 dell'Elenco dei trattamenti da sottoporre a valutazione d'impatto, ovverosia:
Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo)Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento. vadano riferiti, perché vi sia l'obbligo di cui all'art. 35.4 GDPR, anche all'ulteriore criterio di rischio elevato della "larga scala" (già indicato dal fu art. 29WP, ora EDPB).

Big trouble in Little EU: GDPR - Accountability

Immagine
"I consigli del vecchio Pork-Chop Express sono preziosi, specialmente nelle serate buie e tempestose..." (Jack Burton, DPO autocertificato)
Parliamo un po' di un Incantesimo chiamato accountability, nella sua Versione Oscura in cui diventa una safe word invocata nei più disparati ambiti.

Parola Oscura, quasi iniziatica, consente ai migliori stregoni di eludere l'assalto di domande scomode (il più delle volte quando si vestono i panni di relatore), confezionare risposte valide per ogni situazione (il più delle volte quando si vestono i panni di consulente), proclamare contenuti d'impatto senza mai dire nulla di concreto (ricorrendo a una Triade di agenti: Could, Should e Would), aumentare la propria forza persuasiva. Inoltre, tali formule sono arricchite da: genericità e vaghezza argomentativa;nessun riferimento al contesto;utilizzo pressoché esclusivo del modo condizionale e astensione dal modo indicativo;riferimenti acritici e tramite elencazione o Ctrl+C e Ctrl+V…

Game of databreach(es) - Atto Secondo: Data handlers don't cry.

Immagine
Data breach: Data handlers don't cry.

Come agire e reagire in caso di data breach? Forse è meglio pre-agire. E coinvolgere gli operatori/data handlers.

Ad esempio: approntare una procedura operativa è particolarmente utile. Approntarla bene, poi, è un elemento necessario per il rispetto degli obblighi di cui all'art. 33 (notifica all'Autorità di controllo) e 34 (comunicazione agli interessati) GDPR.

Destinatari di tale procedura sono i soggetti coinvolti dall'evento di violazione dei dati: tutti coloro che agiscono sotto l'autorità del Titolare e che dallo stesso sono (anzi: devono essere) di conseguenza autorizzati all'accesso ai dati da trattare nonché istruiti ai sensi dell'art. 29 GDPR.

Obiettivo della procedura, dal punto di vista della conformità agli artt. 33 e 34 GDPR, dovrà essere la produzione di un report minimo dell'incidente entro le 72 ore successive.



La maggior parte delle violazioni sono rilevate o dagli operatori o dal personale tecn…

Quel...Diavolo di consenso (parte 7)

Immagine
Parte 7: Consenso e professionisti della sanità

Un professionista della sanità spesso si trova di fronte ad un dilemma: il consenso/autorizzazione può fondare la liceità delle attività di trattamento di dati personali relative alla prestazione sanitaria?

Ebbene: il diavolo qui non giace assiso su dettagli bensì su una base giuridica, sul contesto e sul piano operativo.

"Eh bien, docteur, que me veux-tu? Voyons, parle! Te fais- je peur?" ( Faust - Gounod )

Nell'ambito sanitario, il consenso può generare confusione per l’interessato dal momento che lo induce a ritenere di poter "disporre" di un maggiore potere di controllo sui propri dati personali mediante l'esercizio di un potere di revoca. A nulla vale garantire tale base giuridica, per amor di formalismo, se poi l'attività di trattamento può prescindere dalla revoca del consenso precedentemente prestato.

La base giuridica per garantire la liceità delle attività di trattamento dei dati personali svolte da…

Privacy by Dadaism: (Indi)gestione del Rischio

Immagine
Il risk-based approach, o approccio basato sul rischio, ha generato forse una serie di metodi che si professano (negli intenti) analitici ma da cui (in concreto) non scaturiscono risultati effettivamente fruibili.

Vero è che l'idea di adeguatezza presta il fianco a contenuti decisamente dada, se si prescinde (ad esempio) dai considerando nn. 74 (parametri di efficacia), 75 (modalità di individuazione), 76 (valutazioni oggettive) che richiamano, sostanzialmente, l'esigenza di svolgere un'analisi di contesto e riferirsi alla stessa durante tutto il processo valutativo.


Cosa accade se non si ha contezza di tali indicazioni e comunque si sviluppa e si procede con un metodo? Diciamo che il destino comune è sforzi ed energie spesi per risultati poco fruttuosi...

Ecco alcuni esempi.

Metodo #1: Samarra.
Così come nel noto racconto di Samarra (o Samarcanda) si parla di inevitabilità, quella stessa mistura di fato e destino si riscontra in quelle valutazioni che partono direttament…