Per il business

In questa sezione le PMI possono trovare risposte a problemi operativi del loro business che ho affrontato e risolto con i clienti del mio studio legale.

10 regole per la videosorveglianza

Nelle proprie linee guida 3/2019, l’EDPB invita tutti a garantire che i sistemi di videosorveglianza siano utilizzati sempre nel rispetto dei principi generali di cui all’art. 5 del GDPR e che la videosorveglianza venga effettuata solo quando non vi siano altre modalità, meno intrusive, per ottenere il medesimo scopo.

data breach

Data breach: indicazioni dal Garante

il Garante ha precisato che le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.

I costi del GDPR

Non tutti i costi sostenuti per la conformità al GDPR da parte delle imprese sono uguali, ma alcuni dipendono dall’impreparazione.

psd2

L’importanza della conservazione digitale

La conservazione digitale è l’attività finalizzata a proteggere e custodire nel tempo gli archivi di documenti e dati informatici.
Il sistema di conservazione, come previsto dall’art. 44 del CAD, garantisce autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti informatici.

Non c’è policy senza formazione

Sempre più spesso mi rendo conto che le policy organizzative, senza un’adeguata attività di formazione che le sostenga e sia in grado di farne percepire il loro valore, non hanno sufficiente forza per imporsi come “arma vincente” per la protezione dei dati personali ed il loro legittimo trattamento. Nell’ambito delle attività di assessment che mi vengono affidate dai clienti, di norma dedico parte del tempo a stabilire un set di regole organizzative e tecniche finalizzate ad informare il personale sui rischi nel trattamento dei dati personali, sulle best practice cui attenersi e sui comportamenti da evitare, per garantire un’adeguata protezione dei dati. Purtroppo, quando, poi, mi ritrovo a chiedere a quelle stesse persone cosa ne pensano delle regole contenute nelle policy che hanno ricevuto, nella maggioranza dei casi mi accorgo che nessuno (o molto pochi) ha letto il documento al quale… Leggi tutto »Non c’è policy senza formazione

Valutazione di impatto

Quando è richiesta la valutazione di impatto (DPIA)

Il provvedimento del nostro Garante per la protezione dei dati personali pubblicato nelle scorse settimane (che potete trovare nella sezione “documenti utili” del Blog al n. 31 dell’elenco) in tema di valutazione di impatto sulla protezione dei dati, mi permette di tornare sul tema della DPIA, che già avevo trattato circa un anno fa (“la valutazione di impatto secondo le linee guida del WP29”). Come sappiamo, l’art. 35 del GDPR prevede che, “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili… Leggi tutto »Quando è richiesta la valutazione di impatto (DPIA)