Articoli

Documenti utili

Nuovi documenti e link utili sul Blog RonchiLegal

Nella sezione del Blog dedicata alla documentazione, ho inserito nuovi documenti che spero possano aiutarvi a trovare le risposte che cercate. I documenti aggiunti sono: la guida aggiornata dell’ICO alla IT security delle PMI; lo studio dell’Istituto Italiano per la Privacy e la valorizzazione dei dati, sull’impatto dell’art. 8 del GDPR sulla privacy dei minori on-line; uno studio di Mckinsey sull’impatto dell’automazione sui livelli occupazionali nel mondo (si tratta della sintesi di 20 pagine di un corposo studio di oltre 140 che potete reperire qui ); la comunicazione del 24 gennaio 2018 della Commissione UE al Parlamento UE sulle corrette modalità di applicazione diretta del Regolamento UE 2016/679 negli Stati membri; la Guida dell’Autorità Garante Spagnola alla redazione di una chiara informativa privacy, in base ai principi generali stabiliti dal GDPR; le ultime due Guidelines del WP29, pubblicate il 17… Leggi tutto »Nuovi documenti e link utili sul Blog RonchiLegal

5 consigli per la protezione dei device mobili

Alcuni clienti hanno una reazione di sorpresa quando chiedo loro in che modo proteggono i device mobili aziendali e dei dipendenti (smartphone e tablet) contro possibili perdite e/o violazioni di dati. Se, da un lato, è raro trovare un imprenditore che non abbia pensato a proteggere gli strumenti ICT presenti in azienda, dall’altro lato, non è inconsueto constatare una certa noncuranza per quanto riguarda l’adozione di adeguate misure di sicurezza, tecniche ed organizzative, sui device mobili. Ciò accade, soprattutto, quando i lavoratori utilizzano device mobili di loro proprietà, vi installano le applicazioni che preferiscono e si interfacciano con le rete aziendale tramite questi dispostivi: questa tendenza – denominata Byod (Bring your own device) – è in atto da diversi anni ed è sempre più difficile vietarla, imponendo una suddivisione tra strumenti personali e professionali. Poiché non è ipotizzabile, soprattutto nelle… Leggi tutto »5 consigli per la protezione dei device mobili

notifica data breach

Quando si può omettere la notifica al Garante di un evento di data breach?

L’art. 33  del GDPR impone al Titolare del trattamento la notifica al Garante di eventuali violazioni di dati personali (data breach) entro 72 ore da quando ne è venuto a conoscenza. Nel corso del webinar organizzato da The Innovation Group su questo tema, sono state fornite utili indicazioni per ciascuna delle fasi caratteristiche di un evento di data breach che danno luogo alla procedura di notifica al Garante. PRIMA FASE: fase di rilevazione dell’evento. In questa fase, è opportuno raccogliere le evidenze e le segnalazioni del possibile evento di data breach derivanti da: sistemi ICT; clienti/utenti; fornitori/outsourcer (particolarmente importante è determinare contrattualmente gli obblighi di questi soggetti nella rilevazione e gestione di data breach); dipendenti, collaboratori, consulenti; autorità pubbliche (Garante Privacy, Polizia Postale, etc.); mezzi di comunicazione (giornali, blog, siti specializzati, etc.). SECONDA FASE: fase di valutazione. In questa fase… Leggi tutto »Quando si può omettere la notifica al Garante di un evento di data breach?

Come prevenire un data breach

Il Regolamento UE 2016/679 (GDPR) richiede alle imprese uno sforzo significativo per identificare e mettere in atto le misure, tecniche ed organizzative, più idonee per prevenire le violazioni dei dati trattati e mitigare al massimo il rischio di data breach a carico dei sistemi ICT aziendali. E’ importante comprendere che, in relazione al profilo della sicurezza, il GDPR non prevede più, come avveniva in passato, misure minime di sicurezza ma si basa sul principio di accountability del Titolare del trattamento (e del Responsabile) che deve, pertanto, individuare le misure realmente adeguate in funzione delle specifiche caratteristiche della propria organizzazione. L’impegno di prevenzione richiesto al Titolare del trattamento dal GDPR per fronteggiare possibili casi di data breach è, oggi, ancora più stringente in considerazione della crescita esponenziale dei fenomeni di cyber crime, che mettono a rischio sia il business delle aziende… Leggi tutto »Come prevenire un data breach

Eccessi del remarketing

Nel mondo dell’e-commerce tutte le aziende utilizzano, nel proprio piano di marketing, tecniche di remarketing. L’obiettivo del remarketing è quello di riproporsi a utenti che hanno già visitato il sito in precedenza per aumentare la probabilità di convertirli oppure a clienti già acquisiti per stimolare un nuovo acquisto. Il vantaggio di questa strategia commerciale è costituito dal fatto che il venditore si rivolge ad un gruppo specifico di persone che hanno già interagito con l’azienda e che, grazie a strumenti di direct email marketing (c.d. DEM) specificamente progettati, sono stati profilati perché hanno visitato lo shop on-line per comprare o semplicemente perché hanno lasciato i loro dati di contatto. La strategie di remarketing più diffuse e di norma utilizzate sono: email remarketing, è la forma di remarketing più diffusa ed utilizzata dalle aziende. Permette di generare inserzioni destinate a utenti… Leggi tutto »Eccessi del remarketing

GDPR e privacy

Come si predispone il Registro dei trattamenti?

Più di un cliente mi ha chiesto come deve essere strutturato il Registro dei trattamenti (rectius, delle attività di trattamento) previsto dall’art. 30 del GDPR; quali requisiti deve rispettare e su chi incombe l’onere di verificare la sua regolare e corretta tenuta. Vediamo, quindi, in concreto, come le imprese devono procedere per rispettare i requisiti di legge. E’ opportuno premettere che il Registro delle attività di trattamento non è un obbligo che incombe su tutti in quanto il GDPR prevede l’esenzione dalla tenuta di tale documento per tutte le aziende che non raggiungono la soglia dei 250 dipendenti (salvo ipotesi particolari di rischio per le libertà individuali previste all’art. 30, comma 5, GDPR). L’obbligo di tenuta del Registro grava sul Titolare del trattamento (che lo può, comunque, delegare al Responsabile) e permette di assolvere all’onere probatorio di documentazione della conformità… Leggi tutto »Come si predispone il Registro dei trattamenti?

data breach

Se Amazon GO è il nostro futuro

Qualche giorno fa è apparsa sui media la notizia dell’apertura, a Seattle, del primo negozio (fisico) Amazon GO, così chiamato perché privo di casse (e cassiere) all’uscita. “Dopo cinque anni di sperimentazione e un anno di ritardo sulla data di apertura prevista, si inaugura oggi il primo punto vendita Amazon Go, al piano terra del quartier generale del gigante dell’e-commerce a Seattle. Il negozio non ha casse: i clienti possono entrare, scannerizzare il codice fornito da un’app dedicata collegata al proprio account Amazon, prendere i prodotti che desiderano e uscire. Tutto nel giro di pochi minuti. Grazie ad un complesso sistema di sensori e telecamere, accoppiato con un algoritmo dedicato, il prezzo degli oggetti acquistati viene addebitato automaticamente sul conto Amazon quando il cliente attraversa nuovamente i tornelli ipertecnologici all’uscita dal negozio”. E’ certamente un passo deciso verso l’estinzione di… Leggi tutto »Se Amazon GO è il nostro futuro

Internet delle cose – Un libro di Samuel Greengard

Internet delle cose, scritto da Samuel Greengard – scrittore e giornalista statunitense che si occupa di business e tecnologia – edito, in Italia, da “Il Mulino”, è un libro gradevole e ben concepito, di agevole lettura anche per chi non è in possesso di particolari conoscenze tecnologiche. II libro spiega le implicazioni pratiche dell’IoT sulle nostre vite e si apre con un’illuminante descrizione di un’attuale giornata-tipo, per farci comprendere, fin dalle premesse, che l’Internet delle cose fa già parte di noi: “E’ lunedì mattina, sono le 7. Il mio bracialetto Fitbit Force vibra per svegliarmi. Dopo qualche minuto attivo il mio iPhone per controllare la posta e altri messaggi. Tocco l’icona dell’applicazione Fitbit per vedere l’andamento del mio sonno e quante volte mi sono svegliato (…). A colazione uso un app del mio iPhone per scansionare il codice a barre… Leggi tutto »Internet delle cose – Un libro di Samuel Greengard

Insidie dei cookie

Ho deciso di dedicare un articolo al tema dei cookie dopo aver vissuto personalmente un’esperienza emblematica di come il monitoraggio dei dati di navigazione sul web possa portare ad una palese violazione della privacy di un individuo. Da qualche mese mi sono accorto che le ricerche on-line (e, in un caso, anche un acquisto) svolte da mia moglie sui alcuni siti di e-commerce tramite il suo I-Phone “rimbalzano”, sotto forma di banner pubblicitari, nelle applicazioni del mio smartphone Android. Addirittura, pochi giorni fa, un’immagine presente nella mia Galleria foto (salvata automaticamente da Whatsapp dopo averla ricevuta da un amico, che l’aveva copiata da un sito di e-commerce) è “magicamente” apparsa sotto forma di banner promozionale sullo smartphone di mia moglie! La prima volta che mi sono reso conto della situazione ho sorriso, pensando alla furbizia dell’algoritmo che, tracciando le ricerche… Leggi tutto »Insidie dei cookie

Diritto di accesso

SPID: chi è costei?

Sono venuto a conoscenza di SPID (Sistema Pubblico di Identità Digitale) per caso, tramite un tweet che mi ha incuriosito: quest0 incontro casuale avrebbe dovuto indurmi, da subito, a qualche riflessione. SPID è stato pensato come sistema unico di login per l’accesso ai servizi on-line della Pubblica Amministrazione e dei privati che vi aderiscono. Cittadini e imprese possono, cioè, accedere ai servizi della PA con una identità digitale unica – l’identità SPID, appunto – che permette l’accesso da qualsiasi dispositivo (desktop, tablet, smartphone, etc.). L’identità SPID si ottiene facendone richiesta ad uno degli identity provider (“IdP” o gestori di identità digitale) accreditati: ciascun utente può, quindi, scegliere liberamente il gestore di identità che preferisce fra quelli accreditati (e, quindi, autorizzati) dall’Agenzia per l’Italia digitale (AgID). L’autenticazione con SPID può avvenire con modalità diversificate in base alle credenziali rilasciate per tre… Leggi tutto »SPID: chi è costei?

Big Data e futuro

Secondo molti “in tema di previsioni per il 2018, una cosa è certa: sarà l’anno dei Big Data. Un’esagerazione? No, se pensiamo che BCC Research ha stimato che il valore di mercato della smart city raggiungerà i 775 miliardi di dollari nel 2021, con un tasso di crescita annuo del 18%. Buona parte di questa cifra monstre passerà dalla capacità o meno di rendere davvero “intelligente” il tessuto urbano, in modo che sia rapidamente adattabile agli scenari in continua evoluzione e risponda prontamente alle esigenze dei cittadini. In questo senso l’Internet of Things gioca un ruolo cruciale nel permettere di “leggere” ciò che avviene così da affrontarlo in modo rapido, efficiente ed efficace, oltre a prevedere determinati aspetti e intervenire adeguatamente”. Big Data e data analysis consentono, infatti, di gestire ed interpretare correttamente una mole sempre più imponente di informazioni… Leggi tutto »Big Data e futuro

GDPR e privacy

Il consenso nel GDPR

Con le recenti linee guida del 28 novembre 2017, il WP29 si è soffermato sul tema delle condizioni per il consenso al trattamento dei dati disciplinate, in particolare, dall’art. 7 del GDPR. Il WP29 ha, innanzitutto,  posto l’accento sul fatto che il consenso rappresenta solo una delle possibili basi giuridiche previste dal GDPR per il trattamento dei dati, considerato che l’art. 6 GDPR (lettere da b a f) ne prevede altre cinque: esecuzione di un contratto; adempimento di un obbligo legale; interessi vitali dell’interessato; esecuzione di un compito di interesse pubblico o connesso con l’esercizio di pubblici poteri; legittimo interesse. E’, quindi, indispensabile che il titolare del trattamento si domandi sempre, nel caso concreto, se il consenso sia l’appropriata base giuridica del trattamento perché, in base alla lettura combinata dell’art. 6 e dell’art. 7 del GDPR, il trattamento dei dati… Leggi tutto »Il consenso nel GDPR

Buon inizio di 2018! Nuovo anno, nuove funzionalità del Blog RonchiLegal

Buon inizio di 2018 a tutti! L’anno appena iniziato ci porterà verso l’applicazione del Regolamento UE 2016/679 sulla data protection (il c.d. GDPR): se volete sapere quanti giorni esatti mancano alla “fatidica” data del 25 maggio 2018, potete scorrere l’home page del Blog fino in basso, dove troverete il countdown aggiornato! Per festeggiare l’arrivo del nuovo anno, ho aggiunto al Blog due nuove pagine con lo scopo di offrire ai miei lettori alcune nuove funzionalità di consultazione rapida, utili per recuperare agevolmente testi normativi o indirizzi di siti web da cui ho tratto spunti di riflessione o che possono costituire fonti di informazione per chi è interessato agli argomenti trattati nei miei post. Nel menu principale, che trovate immediatamente sotto l’immagine dell’intestazione del Blog (oppure, in alternativa, nella sezione “pagine” che trovate nella colonna laterale destra dell’home page), potete ora accedere… Leggi tutto »Buon inizio di 2018! Nuovo anno, nuove funzionalità del Blog RonchiLegal

La portabilità dei dati come fattore di concorrenzialità tra imprese

La portabilità dei dati personali acquisisce, nell’attuale “società dell’informazione”, un ruolo non secondario, considerata l’importanza rivestita dai flussi di dati nello sviluppo di ogni settore produttivo e commerciale. Come sappiamo, i dati – che fino a non molto tempo fa costituivano semplicemente uno strumento funzionale ai traffici commerciali – sono oggi divenuti essi stessi merci e, a tutti gli effetti, beni economici con un proprio intrinseco valore. Nell’era del web, dell’IoT, dei social network e dei big data, i dati vengono raccolti in grande quantità, digitalizzati, aggregati, combinati, studiati e, soprattutto, venduti e sfruttati economicamente o per altre finalità. In questo contesto, l’Unione Europea ha correttamente individuato nel diritto alla portabilità uno strumento importante a supporto della libera circolazione dei dati che può favorire in modo significativo la concorrenza nell’economia digitale: questo nuovo diritto intende, infatti, facilitare il passaggio da… Leggi tutto »La portabilità dei dati come fattore di concorrenzialità tra imprese

Business

Binding Corporate Rules secondo il WP29

Le Binding Corporate Rules (BCR) sono uno strumento previsto dal Regolamento UE 2016/679 (GDPR) volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi extra-UE, tra società facenti parti dello stesso gruppo d’impresa. Le Binding Corporate Rules si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) a cui sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate). Le BCR hanno lo scopo di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali. Il rilascio di un’autorizzazione al trasferimento di dati personali tramite le Binding Corporate Rules consente, pertanto, alle filiali della società multinazionale che ne abbia fatto richiesta, anche se stabilite in diversi Paesi, di trasferire, all’interno del gruppo d’impresa, i dati personali oggetto delle BCR,… Leggi tutto »Binding Corporate Rules secondo il WP29