Vai al contenuto

Avv. Alessandro Ronchi

Avvocato civilista del Foro di Milano. DPO e Blogger. Mi occupo di protezione dei dati e nuove tecnologie.

L’ePrivacy europea del futuro

E’ noto che, nel gennaio del 2017, la Commissione Europea ha presentato una proposta di Regolamento (Regolamento ePrivacy) finalizzata ad aggiornare, modificandola, la Direttiva 2002/58 (Direttiva ePrivacy) per uniformare a livello europeo la disciplina del trattamento dei dati personali nelle comunicazioni elettroniche, quale fisiologico completamento della disciplina introdotta dal GDPR. Il Regolamento ePrivacy dovrebbe essere approvato in tempo utile perché entri in vigore contemporaneamente al GDPR, cioè per il 25 maggio 2018. La bozza del Regolamento ePrivacy ha già raccolto i pareri (sostanzialmente favorevoli) del Gruppo di lavoro Articolo 29 (parere WP29 n. 1/2017 del 4 aprile 2017) e del Garante Europeo per la protezione dei dati (parere GEPD n. 6/2017 del 24 aprile 2017) ma l’iter di approvazione sta subendo ritardi significativi perché i principali attori della rete (i cosiddetti “Over The Top” o “OTT”), stanno esercitando forti pressioni per “ammorbidire”… Leggi tutto »L’ePrivacy europea del futuro

Risk-based approach e GDPR

Uno dei principali compiti posti a carico del titolare del trattamento dal GDPR è quello di vagliare i rischi sottesi alle attività di trattamento dei dati personali: il risk-based approach si pone, quindi, come prerequisito per l’individuazione delle misure tecniche e organizzative adeguate richieste dall’art. 24 per dimostrare il corretto trattamento dei dati personali da parte delle aziende. L’approccio mentale orientato al c.d. risk based thinking è sempre più indispensabile: basti pensare allo standard ISO 9001:2015, che prescrive l’analisi dei rischi in capo ad ogni processo organizzativo, in relazione al contesto ed alle esigenze di volta in volta interessate. Ciò significa che le aziende devono essere in grado di valutare costantemente, per ciascun processo produttivo ed organizzativo, i rischi provenienti dalle fonti interne ed esterne. In materia di data protection, il Garante italiano, trattando il tema del documento programmatico di sicurezza… Leggi tutto »Risk-based approach e GDPR

Italian smart city

Qualche giorno fa è apparsa sui media la notizia che l’Arabia Saudita sta progettando la costruzione della smart city del futuro. Si chiamerà NEOM e “sarà alimentata esclusivamente da sole e vento, sarà intelligente e automatizzata. (…) Il faraonico progetto è stato presentato in occasione del forum “Future investment initiative” dal principe Mohammed Bin Salman che ha descritto il cuore dell’iniziativa come un avanzato hub industriale e commerciale, dedicato a energia, acqua, biotecnologie, intelligenza artificiale, alimentazione e intrattenimento“.  I piani dell’Arabia Saudita “prevedono che NEOM venga realizzata entro il 2030, alimentandola interamente attraverso le fonti rinnovabili; sarà dotata di sistemi di trasporto a guida automatica e droni, offrendo gratuitamente, su tutto il territorio, una connessione internet wifi ad alta velocità. Tutti i servizi e processi saranno completamente automatizzati, con l’obiettivo di diventare la destinazione più efficiente del mondo”. Di questi… Leggi tutto »Italian smart city

GDPR e privacy

La valutazione di impatto (DPIA) secondo le linee guida del WP29

In base all’art. 35 del GDPR, quando si è in presenza di una tipologia di trattamento dei dati personali che – per l’uso di nuove tecnologie o per la natura, l’oggetto, il contesto o le finalità del trattamento – può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare preventivamente una valutazione di impatto dei trattamenti (Data Protection Impact Assessment – DPIA) previsti sulla protezione dei dati personali. Sull’argomento è recentemente intervenuto il Data Protection Working Party ex art. 29 (WP29), aggiornando le proprie Linee Guida proprio allo scopo di offrire un’interpretazione uniforme delle situazioni in cui, in base al GDPR, si deve ritenere integrato il requisito del “rischio elevato per i diritti e le libertà delle persone”. Il WP29 ha, innanzitutto, chiarito che il DPIA è un importante strumento… Leggi tutto »La valutazione di impatto (DPIA) secondo le linee guida del WP29

La Fondazione Corti a Villa Reale a Monza per il Lacor Hospital

Ieri sera si è tenuta, nello splendido contesto di Villa Reale a Monza, la serata benefica della Fondazione Corti per il Lacor Hospital di Gulu (Uganda), nel corso della quale sono state esposte le bellissime fotografie di Mauro Fermariello, scattate durante il suo ultimo viaggio.       La serata è stata anche l’occasione per illustrare agli invitati – che, con la loro numerosa partecipazione hanno decretato il successo dell’evento –  l’importanza dell’attività Fondazione Corti in Italia sia per l’esistenza dell’Ospedale sia, in generale, per lo sviluppo dell’intero distretto del nord Uganda. La Presidente della Fondazione, Dominique Corti, ha, poi, ricordato il forte legame con il territorio della Brianza da cui, nei primi anni ’60 è partito il padre, Piero Corti, insieme alla madre, Lucille Teasdale, per dar vita a quello che sarebbe divenuto l’odierno Lacor Hospital. Dominique Corti ha,… Leggi tutto »La Fondazione Corti a Villa Reale a Monza per il Lacor Hospital

Quali norme per KITT?

Chiunque abbia vissuto gli anni ’80, ricorda senz’altro la famosa serie tv americana che aveva come protagonista un giovane David Hasselhoff e la sua incredibile auto sportiva nera K.I.T.T., dotata di ogni futuristica tecnologia (allora) immaginabile, tra le quali spiccava l’autopilota che, tramite il comando auto-cruise, le permetteva di essere la prima auto a guida autonoma della storia a circolare liberamente (benché segretamente) per le nostre strade. K.I.T.T. era progettata per combattere il crimine e, rispetto alle attuali auto a guida autonoma, era assai più evoluta perché poteva raggiungere il suo proprietario da sola; era anche assai meno ligia alle regole del Codice della Strada, dato che spesso si concedeva corse a tutta velocità sulle strade urbane; inoltre, era senziente al punto tale da essere piuttosto volubile e ironica e, in certe occasioni, provava addirittura veri e propri sentimenti. Insomma,… Leggi tutto »Quali norme per KITT?

Social Innovation Forum 2017: l’uomo al centro della tecnologia

Ieri ho partecipato al Social Innovation Forum 2017 organizzato da Hitachi nel bellissimo contesto della Sala dei Sette Palazzi Celesti presso il Pirelli Hangar Bicocca. E’ stato un momento di confronto davvero molto interessante per comprendere verso quale futuro la tecnologia ci sta portando. Com’era immaginabile, le tecnologie a cui più si è fatto riferimento sono state le AI, Internet of Things (IoT) e i Big Data. Scopo principale del Social Innovation Forum è la discussione in merito a come le nuove tecnologie cambiano e cambieranno il nostro mondo: ci si domanda, cioè, se le novità tecnologiche che vengono prodotte e introdotte sul mercato dalle aziende, oltre a generare utili per le stesse, sono anche in grado di avere un significativo ritorno sociale in termini di qualità della vita delle popolazioni coinvolte. Nell’analisi di come le attività produttive di Hitachi… Leggi tutto »Social Innovation Forum 2017: l’uomo al centro della tecnologia

GDPR e privacy

Anonimizzazione dei dati personali

E’ noto che l’art. 4 del Regolamento UE 679/2016 (GDPR) definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile“ e che il requisito dell’identificabilità si ravvisa quando una “persona fisica può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online, uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Da tale definizione discende il corollario che il dato anonimo, cioè l’informazione che non si riferisce ad una persona identificata o identificabile o quel dato che è stato reso sufficientemente anonimo da non consentire più l’identificazione del soggetto, non cade sotto la disciplina del GDPR (così dispone, in modo esplicito, il considerando n. 26). Occorre, pertanto, domandarsi quando un dato può ragionevolmente considerarsi anonimo? E’ notizia… Leggi tutto »Anonimizzazione dei dati personali

Riflessioni sugli strumenti di Data Loss Prevention

Il tema della sicurezza informatica e degli strumenti di data loss prevention diviene, giorno dopo giorno, sempre più dibattuto in seguito ai ripetuti casi di data breach di rilevante impatto (si considerano tali quelli che coinvolgono i dati di oltre 10 milioni di individui) che si verificano, in ogni parte del mondo, con un trend in forte e costante crescita. La consapevolezza di questa realtà e della sua pericolosità è uno dei motivi che ha portato il legislatore europeo ad introdurre, in seno al GDPR, specifici obblighi per l’adozione, da parte dei titolari del trattamento, di adeguati strumenti di data loss prevention. L’art. 32 del GPDR dispone, infatti, che il titolare del trattamento (e, con lui, anche il responsabile del trattamento), adotti tutte le misure tecniche ed organizzative utili a garantire un livello di sicurezza “adeguato al rischio”. Ma qual… Leggi tutto »Riflessioni sugli strumenti di Data Loss Prevention

GDPR e privacy

GDPR e cloud: attenzione ai contratti

Le disposizioni dettate dal Regolamento UE 679/2016 (GDPR) in materia di sicurezza dei dati, pongono delicate ma importanti sfide alle aziende che hanno in essere o che vogliano procedere al trattamento dei propri dati tramite servizi di cloud computing. Considerato che, nella maggior parte dei casi, nel contratto di cloud, il cliente del servizio riveste il ruolo di titolare del trattamento e il fornitore (il cloud provider) assumerà la veste di responsabile del trattamento, l’azienda che destina i propri dati nel cloud, deve avere il potere/dovere di controllo sul provider in merito alla corretta esecuzione degli adempimenti previsti dal GDPR in relazione ai dati trattati. Diviene, dunque, contenuto imprescindibile del contratto tra cliente e cloud provider la previsione, a favore del titolare del trattamento, della facoltà di essere sempre messo nella condizione di svolgere un controllo effettivo sui dati comunicati al fornitore… Leggi tutto »GDPR e cloud: attenzione ai contratti

Anche i droni sognano pecore elettriche?

Ho parafrasato il titolo di un celebre libro di Philip K. Dick (da cui è tratto, come molti sanno, l’altrettanto famoso film Blade Runner, tornato alla ribalta proprio in questi giorni perché è appena uscito, nelle sale cinematografiche, a distanza di 35 anni dalla pellicola di Ridley Scott, il sequel) perché, in fondo, i droni sono tra noi esattamente come gli androidi vivevano integrati con la popolazione umana nell’immaginario dello scrittore americano. A ben vedere, però, i nostri droni si avvicinano di più ai robot di un altro film di fantascienza dei primi anni ’80, interpretato da Tom Selleck e intitolato “Runaway“. Per chi non l’abbia visto o non se lo ricordi, in questo film i robot sono diffusissimi ovunque: negli uffici, nelle campagne, nelle case della gente, dove svolgono una serie di lavori utilissimi all’umanità. Ovviamente, c’è anche il… Leggi tutto »Anche i droni sognano pecore elettriche?

GDPR e privacy

Chi assicura il DPO?

L’art. 37 del Regolamento UE 679/2016 (GDPR) prevede la nomina obbligatoria di un Data Protection Officer (DPO) in tre casi: quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico; quando le attività principali consistono in trattamenti di dati che, per loro natura, ambito, applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; quando le attività principali consistono nel trattamento su larga scala di dati sensibili, genetici, giudiziari o biometrici. La figura del DPO, novità introdotta dal GDPR, ha acceso moltissimi dibattiti in merito alle caratteristiche che dovrà avere questo “specialista” che, secondo l’art. 37, comma 5 del GDPR, dovrà essere individuato “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, delle capacità di assolvere ai compiti di… Leggi tutto »Chi assicura il DPO?

GDPR e privacy

Mobile security e GDPR

Ieri ho partecipato ad un interessante webinar curato da The Innovation Group in tema di mobile security alla luce della nuova disciplina introdotta dal GDPR, che entrerà in vigore il 25 maggio 2018. I relatori – Elena Vaciago , Gloria Marcoccio e Riccardo Canetta – hanno illustrato in modo efficace quali possono essere alcune soluzioni pratiche, con specifico riguardo alla mobile security, in risposta alle prescrizioni dell’art. 32 del GDPR, che impone alle aziende di mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Bisogna, innanzitutto, premettere che, secondo dati recenti, le violazioni di dispositivi mobili (smartphone, tablet, notebook) producono, mediamente, costi alle aziende nell’ordine di Euro 100.000,00 nel 40% dei casi; nell’ordine di Euro 500.000,00 nel 25% dei casi. Si tratta, quindi, di un problema già oggi rilevante e che diverrà… Leggi tutto »Mobile security e GDPR

L’importanza della sicurezza dei dati personali

Oggi ho avuto una conversazione con un cliente che, di fronte alla mia domanda in merito al livello di adeguamento dei suoi processi aziendali alle prescrizioni del Regolamento UE 679/2016 (GDPR) a tutela della sicurezza dei dati personali, mi ha risposto, piuttosto infastidito, che si tratta delle solite regole che non servono a nulla, perché “tanto su internet si trova tutto”, a dispetto dei numerosi adempimenti che vengono richiesti dalle attuali norme in materia di privacy. Tutti i miei tentativi di spiegargli che, proprio il fatto che “su internet si trova tutto” (anche quello che non dovrebbe esserci), rende evidente la necessità di regole nuove e più efficaci per la sicurezza dei dati personali, in quanto la tutela della sua clientela comincia proprio con l’adozione di adeguate protezioni dei dati raccolti, non hanno fatto breccia. Con mia grande frustrazione, ho dovuto,… Leggi tutto »L’importanza della sicurezza dei dati personali

Industria 4.0

La cosiddetta “quarta rivoluzione industriale” che va sotto il nome di Industria 4.0 si focalizza sull’adozione di alcune tecnologie definite abilitanti, tra le quali meritano di essere ricordate le seguenti: advanced manufacturing solution: si tratta di sistemi interconnessi e modulari che permettono flessibilità e performance. In queste tecnologie rientrano, ad esempio, i sistemi di movimentazione dei materiali automatici e la robotica avanzata (robot collaborativi o cobot); additive manufacturing: sistemi di produzione additiva che aumentano l’efficienza dell’uso dei materiali; augmented reality: sistemi di visione con realtà aumentata per aiutare meglio gli operatori nello svolgimento delle attività quotidiane; simulation: simulazione tra macchine interconnesse per ottimizzare i processi; horizontal e vertical integration: integrazione e scambio di informazioni in orizzontale e in verticale, tra tutti gli attori del processo produttivo; industrial internet: comunicazione tra elementi della produzione, non solo all’interno dell’azienda, ma anche all’esterno,… Leggi tutto »Industria 4.0