Maggio 2018

data breach

GDPR: applicatelo con buon senso

Ci siamo. Benvenuto GDPR! Il 25 maggio è entrata in vigore un’unica normativa che regolamenta in modo uniforme la data protection dei cittadini di tutta Europa: il Regolamento UE 2016/679 (GDPR). Chi, come me, si è occupato di questo tema presso i clienti, ha assistito nel corso degli ultimi mesi ad una vera e propria escalation di attenzione all’argomento, giunta, con l’approssimarsi della scadenza, a veri e propri atteggiamenti da “fine del mondo”, insospettabili fino a qualche mese fa e sorprendenti anche per chi si occupa della materia da tempo. In un recente meeting, il Prof. Franco Pizzetti ha dichiarato che “il nuovo GDPR è una vera rivoluzione copernicana rispetto alla protezione dati che abbiamo conosciuto negli scorsi venti anni. Al centro del nuovo sistema sta la tutela di un diritto fondamentale riconosciuto a tutti gli europei ma anche la… Leggi tutto »GDPR: applicatelo con buon senso

data masking

Data masking e GDPR

Le tecniche di data masking sono in grado di garantire la conformità al GDPR? Il processo di data masking è una tecnica che consiste nel nascondere i dati originali (generalmente di natura sensibile o, secondo la definizione del GDPR, “particolari”) con dati fittizi. Questo risultato si ottiene attraverso: l’offuscamento dei dati in generale; l’anonimizzazione; la pseudonomizzazione. Tra le misure previste dal GDPR per garantire un livello di sicurezza adeguato al rischio vi è proprio la pseudonimizzazione dei dati, cioè la conservazione di informazioni di profilazione dell’interessato in modo tale da impedirne l’identificazione. Il processo di offuscamento dei dati rappresenta, quindi, una risposta adeguata alle esigenze di riservatezza e di compliance derivanti dal GDPR e, a seconda della tipologia di processo che si decide di adottare, può comportare: la sostituzione dei dati originali con dati simili; la sostituzione dei dati originali… Leggi tutto »Data masking e GDPR

Il Blog RonchiLegal si arricchisce di una sezione dedicata ai libri

Da lunedì 14 maggio è online la nuova sezione del Blog RonchiLegal dedicata alla recensione di libri e/o contributi di dottrina sui temi della data protection e della digital economy. La potete trovare nella parte alta della homepage del Blog, cliccando “La mia biblioteca digital“. Italo Calvino affermava che “leggere è andare incontro a qualcosa che sta per essere e ancora nessuno sa cosa sarà”. La frase di Calvino sembra adattarsi alla perfezione anche alle nostre vite di “uomini tecnologici” del terzo millennio, che assistono alle innovazioni che si susseguono a ritmo incalzante senza sapere dove ci porteranno. Nell’affrontare il “misterioso” futuro digitale che ci attende, un buon libro è ancora uno strumento potente per migliorare la nostra comprensione del mondo. Spero, quindi, che andiate a visitare questa nuova sezione dedicata ai libri che ho letto e che mi hanno… Leggi tutto »Il Blog RonchiLegal si arricchisce di una sezione dedicata ai libri

GDPR e privacy

Quanto devono essere dettagliate le misure organizzative richieste dal GDPR?

È noto che il GDPR richiede l’adozione da parte del titolare del trattamento di misure tecniche e di misure organizzative adeguate al rischio per i diritti e le libertà degli interessati. Spesso, però, i clienti identificano questo requisito con le sole misure di sicurezza tecnologiche (finalizzate per lo più alla cyber security) che, tuttavia, rappresentano solo una parte dell’intero complesso di misure che il GDPR chiede al Titolare di adottare per tutelare i dati personali degli interessati. Secondo gli standard ISO “più vicini” alla data protection (penso, ad esempio allo standard ISO 27001) per misure organizzative, generalmente si intendono tutte quelle politiche, procedure, regolamenti idonei ad ottenere un livello di sicurezza e protezione delle informazioni (dei dati) coerente con gli obiettivi e le strategie dell’organizzazione. Rappresentano, ad esempio, misure organizzative quelle che: prevedono la separazione dei compiti; contemplano ed individuano… Leggi tutto »Quanto devono essere dettagliate le misure organizzative richieste dal GDPR?

Il GDPR secondo l’Autorità indipendente spagnola AGPD

A pochi giorni dall’entrata in vigore del Regolamento UE 2016/679 (generalmente noto come “GDPR“), ritengo possa essere utile esaminare ciò che le Autorità Indipendenti degli altri Paesi membri stanno facendo per aiutare imprese e cittadini ad entrare in sintonia e prendere confidenza con le nuove norme sulla data protection, partendo da una visita al sito dell’AGPD (Agencia Espanola de Protecciòn de Datos). In base all’art. 51 GDPR, “ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente Regolamento”, contribuendo “alla coerente applicazione” dello stesso “in tutta l’Unione”. Molto spesso, in questi mesi, sono stati richiamati, anche da me, i provvedimenti dell’ICO (UK) e della CNIL (Francia), come punto di riferimento qualificato per la comprensione ed applicazione pratica del GDPR, ma le Autorità Indipendenti Europee sono molte di più ed è, quindi, utile… Leggi tutto »Il GDPR secondo l’Autorità indipendente spagnola AGPD

Diritto di accesso

Quando il dato personale è “esatto”?

L’art. 5, comma 1, lettera d) del GDPR stabilisce che il dato personale deve essere, tra le altre cose, “esatto e, se necessario, aggiornato: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”. Il principio di esattezza del dato implica che, se il dato raccolto è inesatto, il trattamento non è lecito: ciò impone al Titolare del trattamento di verificare periodicamente l’attendibilità dei dati personali, anche senza un’espressa richiesta dell’Interessato o del Garante. Il Titolare deve, quindi: adottare le misure necessarie per rettificare o eliminare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati; verificare la correttezza dei dati raccolti con quelli inerenti lo stesso interessato ma raccolti in momenti diversi o che abbiano diversa provenienza. Il dato inesatto potrebbe anche non essere… Leggi tutto »Quando il dato personale è “esatto”?

Registro dei trattamenti: chi ne può fare a meno?

Il Working Party 29 (WP29) ha recentemente pubblicato il suo “position paper” in merito al Registro dei trattamenti (i.e., “Registri delle attività di trattamento”) previsto dall’art. 30 del GDPR. Al Registro dei trattamenti ho già dedicato alcuni articoli (vi segnalo, ad esempio, “come si predispone il Registro dei trattamenti?” pubblicato nel febbraio 2018) per descriverne finalità e contenuti. Per quanto riguarda le finalità, ricordo che il Registro dei trattamenti permette di dimostrare documentalmente la conformità della propria organizzazione alle prescrizioni del GDPR perché consente: di sviluppare un’idonea analisi del rischio; di descrivere l’organizzazione aziendale sotto il profilo delle attività di trattamento a fini di informazione, consapevolezza e condivisione interna dei flussi di dati; di costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati, per garantirne la loro integrità, riservatezza e disponibilità. Il… Leggi tutto »Registro dei trattamenti: chi ne può fare a meno?

Documenti utili

Nuovi link e documenti utili sul Blog RonchiLegal

Nella sezione del Blog RonchiLegal dedicata alla documentazione, ho inserito nuovi documenti che spero possano aiutarvi a trovare le risposte che cercate. I documenti aggiunti sono: il “position paper” del WP29 sull’obbligo di tenuta del Registro dei Trattamenti anche per le aziende con meno di 250 dipendenti; le FAQ di Assosoftware sull’applicazione del GDPR; le FAQ del Garante italiano sul DPO in ambito privato; la versione italiana del famoso trattato di Satoshi Nakatomo sui Bitcoin; uno studio di McKinsey sul possibile impatto dell’automazione nel mondo; il testo del Regolamento UE sul geoblocking; tre documenti pubblicati nella seconda parte del mese di aprile dall’Autorità Indipendente Spagnola in tema di a) valutazione del rischio; b) guida alla valutazione di impatto; c) la check list di accompagnamento ai primi due documenti; Nella Sezione link utili ho, inoltre, aggiunto alcuni siti che ho trovato… Leggi tutto »Nuovi link e documenti utili sul Blog RonchiLegal