Per il business

In questa sezione le PMI possono trovare risposte a problemi operativi del loro business che ho affrontato e risolto con i clienti del mio studio legale.

Ristorazione gdpr

Registro dei trattamenti: le FAQ del Garante

Pochi giorni fa il nostro Garante per la Protezione dei dati Personali ha pubblicato sul proprio sito alcune istruzioni sul Registro dei trattamenti, sotto forma di FAQ (che potete reperire anche nella sezione della documentazione utile del Blog, cliccando qui). Già in precedenti occasioni mi sono soffermato sul Registro dei trattamenti (“Come si predispone il registro dei trattamenti“; “Registro dei trattamenti: chi ne può fare a meno?“), sottolineando che redigere il Registro dei trattamenti costituisce uno dei principali elementi di accountability del Titolare, dato che si tratta dello strumento più idoneo per fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione. Inoltre, il Registro dei trattamenti è il presupposto indispensabile per svolgere l’attività di risk assessment richiesta dal GDPR al Titolare. Come sappiamo, l’art. 30 del GDPR prescrive che sono tenuti a redigere il Registro dei trattamenti… Leggi tutto »Registro dei trattamenti: le FAQ del Garante

Libri

Qual è il danno non patrimoniale risarcibile per le violazioni al GDPR?

“La protezione dei dati personali e il danno non patrimoniale“, scritto da Giulio Ramaccioni ed edito da Jovene Editore, è davvero un libro ben fatto, completo, approfondito e gradevole, che ho letto durante l’estate e che vi consiglio. Il libro è, come avverte il sottotitolo, uno studio della persona nella prospettiva risarcitoria ed affronta a 360 gradi il tema della tutela dell’uomo contro le violazioni della sua identità, offrendo, nella parte introduttiva, un’interessantissima analisi dei problemi attuali concernenti l’utilizzo dei dati personali: facebook, fake news, social media, big data, chatbot, etc. L’excursus nell’attualità serve all’Autore solo come espediente per farci comprendere la centralità del tema che viene, poi, affrontato con approccio scientifico, sia nella prima parte, dedicata alla ricostruzione storica di come si è sviluppato – per fasi – il diritto alla privacy (oggi più opportunamente definito “diritto alla protezione… Leggi tutto »Qual è il danno non patrimoniale risarcibile per le violazioni al GDPR?

Diritto di accesso

Perchè lo scambio di informative tra fornitori non ha ragione d’essere

Mi accade di continuo di essere contattato da clienti che mi chiedono come si devono comportare di fronte alla richiesta dei loro fornitori di sottoscrivere, a volte addirittura per accettazione, le loro informative privacy. Cerco di fare chiarezza sul punto, dato che la prassi che si è andata diffondendo in questi ultimi mesi è un manifesto fraintendimento delle norme del Regolamento UE 2016/679 (GDPR) in materia di trattamento dei dati personali. Occorre, in primo luogo, ribadire che il GDPR si applica unicamente alle persone fisiche individuate o individuabili, così come previsto dall’art. 4 (“dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno… Leggi tutto »Perchè lo scambio di informative tra fornitori non ha ragione d’essere

Come si calcola il danno reputazionale?

Benché l’attenzione della maggioranza dei commentatori del GDPR si soffermi, per lo più, sul rischio sanzionatorio connesso ad un accertamento dell’Autorità di controllo, come ho già sottolineato in precedenti post (“il danno reputazionale nell’era del GDPR“), l’inadeguatezza delle misure tecniche ed organizzative di un’azienda a presidio dei dati personali può avere rilevanti conseguenze anche sotto il profilo del danno reputazionale. Applicata al profilo della data protection, la “brand reputation” è, quindi, strettamente connessa alla capacità di un’azienda di garantire un’adeguata protezione dei dati personali che le sono affidati. Ma come si può dimostrare e calcolare il danno reputazionale a carico di un’azienda operante nel mercato digitale che ha subìto, ad esempio, un data breach per colpa di un fornitore/responsabile del trattamento ex art. 28 non adeguatamente verificato e controllato o che ha mentito in ordine alle misure di protezione che… Leggi tutto »Come si calcola il danno reputazionale?

GDPR e privacy

Quanto devono essere dettagliate le misure organizzative richieste dal GDPR?

È noto che il GDPR richiede l’adozione da parte del titolare del trattamento di misure tecniche e di misure organizzative adeguate al rischio per i diritti e le libertà degli interessati. Spesso, però, i clienti identificano questo requisito con le sole misure di sicurezza tecnologiche (finalizzate per lo più alla cyber security) che, tuttavia, rappresentano solo una parte dell’intero complesso di misure che il GDPR chiede al Titolare di adottare per tutelare i dati personali degli interessati. Secondo gli standard ISO “più vicini” alla data protection (penso, ad esempio allo standard ISO 27001) per misure organizzative, generalmente si intendono tutte quelle politiche, procedure, regolamenti idonei ad ottenere un livello di sicurezza e protezione delle informazioni (dei dati) coerente con gli obiettivi e le strategie dell’organizzazione. Rappresentano, ad esempio, misure organizzative quelle che: prevedono la separazione dei compiti; contemplano ed individuano… Leggi tutto »Quanto devono essere dettagliate le misure organizzative richieste dal GDPR?

Documenti utili

Nuovi link e documenti utili sul Blog RonchiLegal

Nella sezione del Blog RonchiLegal dedicata alla documentazione, ho inserito nuovi documenti che spero possano aiutarvi a trovare le risposte che cercate. I documenti aggiunti sono: il “position paper” del WP29 sull’obbligo di tenuta del Registro dei Trattamenti anche per le aziende con meno di 250 dipendenti; le FAQ di Assosoftware sull’applicazione del GDPR; le FAQ del Garante italiano sul DPO in ambito privato; la versione italiana del famoso trattato di Satoshi Nakatomo sui Bitcoin; uno studio di McKinsey sul possibile impatto dell’automazione nel mondo; il testo del Regolamento UE sul geoblocking; tre documenti pubblicati nella seconda parte del mese di aprile dall’Autorità Indipendente Spagnola in tema di a) valutazione del rischio; b) guida alla valutazione di impatto; c) la check list di accompagnamento ai primi due documenti; Nella Sezione link utili ho, inoltre, aggiunto alcuni siti che ho trovato… Leggi tutto »Nuovi link e documenti utili sul Blog RonchiLegal

Geoblocking

Quali sono i vantaggi del geoblocking Regulation?

Il 28 febbraio 2018 l’Europa ha adottato il Regolamento UE 2018/302, anche detto geoblocking Regulation: si tratta, cioè, di una normativa, direttamente applicabile in tutta l’Unione Europea, che vieta i blocchi geografici ingiustificati nel mercato interno. Il geoblocking è una pratica discriminatoria che impedisce ai clienti on-line di accedere ed acquistare prodotti o servizi da un sito web posizionato in un Stato membro diverso da quello dell’utente: con questa tecnica, i gestori di negozi on-line sono in grado di escludere gli utenti stranieri da offerte promosse in un determinato Stato membro o di indirizzarli automaticamente a una pagina con prezzi più elevati. Il geoblocking è, cioè, un sistema che limita l’accesso a un sito o ne modifica i contenuti a seconda della posizione geografica dell’utente: viene utilizzato principalmente per impedire che materiale protetto da diritto d’autore venga visualizzato al di… Leggi tutto »Quali sono i vantaggi del geoblocking Regulation?

Software house e GDPR

Negli scorsi giorni l’Associazione nazionale di categoria delle software house, AssoSoftware,  ha pubblicato un interessante documento (che potete trovare, nel testo integrale, nella sezione del Blog dedicata alla documentazione utile, cliccando qui) per rispondere ad alcuni quesiti ricorrenti dei produttori di software in vista dell’entrata in vigore del GDPR il prossimo 25 maggio 2018. Il documento è stato redatto dal Gruppo di lavoro di AssoSoftware (di seguito, “GdL”) che si occupa di data protection e privacy, in seguito a numerosi incontri con i rappresentanti delle principali software house associate, aiutati da esperti in materia di data protection e con il periodico confronto con il nostro Garante. I principali temi trattati sono: registro dei trattamenti; ruoli e organizzazione; informativa e consenso; valutazione del rischio e valutazione di impatto; diritti dell’interessato; misure di sicurezza. Vediamo di seguito quali sono gli aspetti più… Leggi tutto »Software house e GDPR

piattaforme on-line

Ecommerce e tutela del consumatore

Sono moltissime le ricerche svolte negli ultimi anni da cui emerge un significativo ritardo dell’Italia nello sviluppo dell’ecommerce. Secondo una delle più recenti statistiche, l’Italia è al terz’ultimo posto in Europa, a pari merito con Cipro e appena sopra Bulgaria e Romania, nell’utilizzo del canale ecommerce: solo il 29% degli italiani fa shopping online; i consumatori più attivi sono di età compresa tra i 25 e i 34 anni (42%) e i giovanissimi tra i 16 e i 24 anni (40%). Col progredire dell’età aumenta, purtroppo, la diffidenza nei confronti del mercato digitale: soltanto il 18% dei cittadini di età tra i 55 e i 64 anni e il 7% dei cittadini di età tra i 65 e i 74 anni acquista online e, in ogni caso, la frequenza degli acquisti è molto bassa e di valore non rilevante (quasi… Leggi tutto »Ecommerce e tutela del consumatore

categorie particolari

La privacy del dipendente secondo la Corte UE

La Corte UE si è recentemente espressa sui limiti del diritto alla privacy del lavoratore dipendente in relazione all’uso del pc aziendale, dando ancora una volta risalto all’importanza di dotarsi di un’adeguata policy aziendale sull’utilizzo degli strumenti informatici. I fatti sottoposti all’esame della Corte UE sono, in sintesi, i seguenti: la società statale francese che gestisce le ferrovie (Sncf) aveva licenziato uno dei suoi dirigenti dopo aver scoperto che, tra i file salvati sul suo computer in ufficio, c’erano anche false attestazioni e materiale pornografico. Il dipendente si era rivolto ai Giudici Europei sostenendo che l’azienda non poteva, a suo giudizio, esaminare il contenuto dei documenti custoditi nel pc in dotazione in sua assenza, trattandosi di comportamento illecito e lesivo del suo diritto alla privacy.  Secondo la Corte UE, invece, le ferrovie francesi non hanno violato la privacy del dipendente accedendo… Leggi tutto »La privacy del dipendente secondo la Corte UE

sicurezza stampanti

Quali accorgimenti adottare per la sicurezza delle stampanti?

La sicurezza delle stampanti viene spesso sottovalutata ma questa periferiche sono, sempre più spesso, il principale obiettivo degli attacchi informatici alle aziende. “Prima ho ottenuto il controllo delle stampanti, poi il controllo della rete, infine il controllo dei loro dati… E grazie a quanto ho rubato qui, queste persone stanno per passare una gran brutta giornata”. Si tratta di un estratto dal cortometraggio prodotto da HP, con protagonista Christian Slater nella parte di “the wolf”, in cui l’attore dimostra come una semplice stampante in ufficio possa rivelarsi una minaccia per la sicurezza. Come sappiamo, molte stampanti includono funzionalità per la scansione e la stampa da remoto; la maggior parte è dotata di hard disk simili a quelli dei pc, in cui vengono archiviate copie digitali di tutti i documenti sottoposti a scansione, copiati, inviati tramite email e stampati: informazioni personali… Leggi tutto »Quali accorgimenti adottare per la sicurezza delle stampanti?

blog RonchiLegal

Come scrivere un’informativa efficace, semplice e chiara

L’art. 12 del GDPR impone ai Titolari del trattamento di predisporre un’informativa: concisa; trasparente; intelligibile; facilmente accessibile; con linguaggio semplice e chiaro. Il GDPR richiama, quindi, l’attenzione del Titolare del trattamento sulla forma dell’informativa da rilasciare agli interessati, imponendo requisiti molto precisi sulla qualità del linguaggio da utilizzare, in particolare se la comunicazione è diretta ai minori, che deve tendere alla massima trasparenza possibile. La “vecchia” informativa che tutti conosciamo – molto formale, spesso lunga e scritta con espressioni tecnico-giuridiche di difficile comprensione e, nel complesso, poco interessante per l’utente, come certe noiosissime informative privacy di alcune app o siti web – dovrà, quindi, cedere il passo ad un documento molto più agile e, nel contempo, più curato ed attento all’aspetto comunicativo. Il GDPR richiede, in sintesi, che l’informativa sia: breve (requisito della concisione), tenendo anche conto del fatto che… Leggi tutto »Come scrivere un’informativa efficace, semplice e chiara

5 consigli per la protezione dei device mobili

Alcuni clienti hanno una reazione di sorpresa quando chiedo loro in che modo proteggono i device mobili aziendali e dei dipendenti (smartphone e tablet) contro possibili perdite e/o violazioni di dati. Se, da un lato, è raro trovare un imprenditore che non abbia pensato a proteggere gli strumenti ICT presenti in azienda, dall’altro lato, non è inconsueto constatare una certa noncuranza per quanto riguarda l’adozione di adeguate misure di sicurezza, tecniche ed organizzative, sui device mobili. Ciò accade, soprattutto, quando i lavoratori utilizzano device mobili di loro proprietà, vi installano le applicazioni che preferiscono e si interfacciano con le rete aziendale tramite questi dispostivi: questa tendenza – denominata Byod (Bring your own device) – è in atto da diversi anni ed è sempre più difficile vietarla, imponendo una suddivisione tra strumenti personali e professionali. Poiché non è ipotizzabile, soprattutto nelle… Leggi tutto »5 consigli per la protezione dei device mobili

Eccessi del remarketing

Nel mondo dell’e-commerce tutte le aziende utilizzano, nel proprio piano di marketing, tecniche di remarketing. L’obiettivo del remarketing è quello di riproporsi a utenti che hanno già visitato il sito in precedenza per aumentare la probabilità di convertirli oppure a clienti già acquisiti per stimolare un nuovo acquisto. Il vantaggio di questa strategia commerciale è costituito dal fatto che il venditore si rivolge ad un gruppo specifico di persone che hanno già interagito con l’azienda e che, grazie a strumenti di direct email marketing (c.d. DEM) specificamente progettati, sono stati profilati perché hanno visitato lo shop on-line per comprare o semplicemente perché hanno lasciato i loro dati di contatto. La strategie di remarketing più diffuse e di norma utilizzate sono: email remarketing, è la forma di remarketing più diffusa ed utilizzata dalle aziende. Permette di generare inserzioni destinate a utenti… Leggi tutto »Eccessi del remarketing

La portabilità dei dati come fattore di concorrenzialità tra imprese

La portabilità dei dati personali acquisisce, nell’attuale “società dell’informazione”, un ruolo non secondario, considerata l’importanza rivestita dai flussi di dati nello sviluppo di ogni settore produttivo e commerciale. Come sappiamo, i dati – che fino a non molto tempo fa costituivano semplicemente uno strumento funzionale ai traffici commerciali – sono oggi divenuti essi stessi merci e, a tutti gli effetti, beni economici con un proprio intrinseco valore. Nell’era del web, dell’IoT, dei social network e dei big data, i dati vengono raccolti in grande quantità, digitalizzati, aggregati, combinati, studiati e, soprattutto, venduti e sfruttati economicamente o per altre finalità. In questo contesto, l’Unione Europea ha correttamente individuato nel diritto alla portabilità uno strumento importante a supporto della libera circolazione dei dati che può favorire in modo significativo la concorrenza nell’economia digitale: questo nuovo diritto intende, infatti, facilitare il passaggio da… Leggi tutto »La portabilità dei dati come fattore di concorrenzialità tra imprese