Post

Visualizzazione dei post da Febbraio, 2019

Game of databreach(es) - Atto Terzo: Take on DPS

Immagine
Data breach: Take on DPS.

Spesso una piccola o piccolissima realtà con bassa complessità delle attività di trattamento ha le seguenti caratteristiche: raramente si hanno procedure interne, i trattamenti sono svolti da un ufficio di poche persone, la fornitura dei servizi IT è affidata in outsourcing, non sono presenti sistemi di controllo degli accessi. Insomma: si è certamente ben al di fuori delle ipotesi di DPIA.



Può sembrare che queste piccole realtà possano trovare più difficoltà nel raggiungere una conformità relativa alla corretta gestione degli eventi di data breach. Soprattutto c'è una diffusa resistenza mentale ad accettare gli obblighi del GDPR, preferendo il canto delle sirene di chi predica esenzioni. Nel caso dell'obbligo di notifica, sembra che il motivo sia una pretesa e aprioristica valutazione di insussistenza di un rischio significativo per gli interessati in ragione della dimensione contenuta dell'attività.

Questo è un errore sotto varie prospettive.
Pr…

Chiarimento del Garante su trattamenti da sottoporre a DPIA

Immagine
Attraverso un chiarimento il Garante ha indicato come i trattamenti dei nn. 6, 11 e 12 dell'Elenco dei trattamenti da sottoporre a valutazione d'impatto, ovverosia:
Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo)Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento. vadano riferiti, perché vi sia l'obbligo di cui all'art. 35.4 GDPR, anche all'ulteriore criterio di rischio elevato della "larga scala" (già indicato dal fu art. 29WP, ora EDPB).

Big trouble in Little EU: GDPR - Accountability

Immagine
"I consigli del vecchio Pork-Chop Express sono preziosi, specialmente nelle serate buie e tempestose..." (Jack Burton, DPO autocertificato)
Parliamo un po' di un Incantesimo chiamato accountability, nella sua Versione Oscura in cui diventa una safe word invocata nei più disparati ambiti.

Parola Oscura, quasi iniziatica, consente ai migliori stregoni di eludere l'assalto di domande scomode (il più delle volte quando si vestono i panni di relatore), confezionare risposte valide per ogni situazione (il più delle volte quando si vestono i panni di consulente), proclamare contenuti d'impatto senza mai dire nulla di concreto (ricorrendo a una Triade di agenti: Could, Should e Would), aumentare la propria forza persuasiva. Inoltre, tali formule sono arricchite da: genericità e vaghezza argomentativa;nessun riferimento al contesto;utilizzo pressoché esclusivo del modo condizionale e astensione dal modo indicativo;riferimenti acritici e tramite elencazione o Ctrl+C e Ctrl+V…