Post

Visualizzazione dei post da Gennaio, 2019

Game of databreach(es) - Atto Secondo: Data handlers don't cry.

Immagine
Data breach: Data handlers don't cry.

Come agire e reagire in caso di data breach? Forse è meglio pre-agire. E coinvolgere gli operatori/data handlers.

Ad esempio: approntare una procedura operativa è particolarmente utile. Approntarla bene, poi, è un elemento necessario per il rispetto degli obblighi di cui all'art. 33 (notifica all'Autorità di controllo) e 34 (comunicazione agli interessati) GDPR.

Destinatari di tale procedura sono i soggetti coinvolti dall'evento di violazione dei dati: tutti coloro che agiscono sotto l'autorità del Titolare e che dallo stesso sono (anzi: devono essere) di conseguenza autorizzati all'accesso ai dati da trattare nonché istruiti ai sensi dell'art. 29 GDPR.

Obiettivo della procedura, dal punto di vista della conformità agli artt. 33 e 34 GDPR, dovrà essere la produzione di un report minimo dell'incidente entro le 72 ore successive.



La maggior parte delle violazioni sono rilevate o dagli operatori o dal personale tecn…

Quel...Diavolo di consenso (parte 7)

Immagine
Parte 7: Consenso e professionisti della sanità

Un professionista della sanità spesso si trova di fronte ad un dilemma: il consenso/autorizzazione può fondare la liceità delle attività di trattamento di dati personali relative alla prestazione sanitaria?

Ebbene: il diavolo qui non giace assiso su dettagli bensì su una base giuridica, sul contesto e sul piano operativo.

"Eh bien, docteur, que me veux-tu? Voyons, parle! Te fais- je peur?" ( Faust - Gounod )

Nell'ambito sanitario, il consenso può generare confusione per l’interessato dal momento che lo induce a ritenere di poter "disporre" di un maggiore potere di controllo sui propri dati personali mediante l'esercizio di un potere di revoca. A nulla vale garantire tale base giuridica, per amor di formalismo, se poi l'attività di trattamento può prescindere dalla revoca del consenso precedentemente prestato.

La base giuridica per garantire la liceità delle attività di trattamento dei dati personali svolte da…

Privacy by Dadaism: (Indi)gestione del Rischio

Immagine
Il risk-based approach, o approccio basato sul rischio, ha generato forse una serie di metodi che si professano (negli intenti) analitici ma da cui (in concreto) non scaturiscono risultati effettivamente fruibili.

Vero è che l'idea di adeguatezza presta il fianco a contenuti decisamente dada, se si prescinde (ad esempio) dai considerando nn. 74 (parametri di efficacia), 75 (modalità di individuazione), 76 (valutazioni oggettive) che richiamano, sostanzialmente, l'esigenza di svolgere un'analisi di contesto e riferirsi alla stessa durante tutto il processo valutativo.


Cosa accade se non si ha contezza di tali indicazioni e comunque si sviluppa e si procede con un metodo? Diciamo che il destino comune è sforzi ed energie spesi per risultati poco fruttuosi...

Ecco alcuni esempi.

Metodo #1: Samarra.
Così come nel noto racconto di Samarra (o Samarcanda) si parla di inevitabilità, quella stessa mistura di fato e destino si riscontra in quelle valutazioni che partono direttament…