I costi del GDPR
Non tutti i costi sostenuti per la conformità al GDPR da parte delle imprese sono uguali, ma alcuni dipendono dall’impreparazione.
In questa sezione le PMI possono trovare risposte a problemi operativi del loro business che ho affrontato e risolto con i clienti del mio studio legale.
Non tutti i costi sostenuti per la conformità al GDPR da parte delle imprese sono uguali, ma alcuni dipendono dall’impreparazione.
La conservazione digitale è l’attività finalizzata a proteggere e custodire nel tempo gli archivi di documenti e dati informatici.
Il sistema di conservazione, come previsto dall’art. 44 del CAD, garantisce autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti informatici.
Sempre più spesso mi rendo conto che le policy organizzative, senza un’adeguata attività di formazione che le sostenga e sia in grado di farne percepire il loro valore, non hanno sufficiente forza per imporsi come “arma vincente” per la protezione dei dati personali ed il loro legittimo trattamento. Nell’ambito delle attività di assessment che mi vengono affidate dai clienti, di norma dedico parte del tempo a stabilire un set di regole organizzative e tecniche finalizzate ad informare il personale sui rischi nel trattamento dei dati personali, sulle best practice cui attenersi e sui comportamenti da evitare, per garantire un’adeguata protezione dei dati. Purtroppo, quando, poi, mi ritrovo a chiedere a quelle stesse persone cosa ne pensano delle regole contenute nelle policy che hanno ricevuto, nella maggioranza dei casi mi accorgo che nessuno (o molto pochi) ha letto il documento al quale… Leggi tutto »Non c’è policy senza formazione
Il provvedimento del nostro Garante per la protezione dei dati personali pubblicato nelle scorse settimane (che potete trovare nella sezione “documenti utili” del Blog al n. 31 dell’elenco) in tema di valutazione di impatto sulla protezione dei dati, mi permette di tornare sul tema della DPIA, che già avevo trattato circa un anno fa (“la valutazione di impatto secondo le linee guida del WP29”). Come sappiamo, l’art. 35 del GDPR prevede che, “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili… Leggi tutto »Quando è richiesta la valutazione di impatto (DPIA)
Pochi giorni fa il nostro Garante per la Protezione dei dati Personali ha pubblicato sul proprio sito alcune istruzioni sul Registro dei trattamenti, sotto forma di FAQ (che potete reperire anche nella sezione della documentazione utile del Blog, cliccando qui). Già in precedenti occasioni mi sono soffermato sul Registro dei trattamenti (“Come si predispone il registro dei trattamenti“; “Registro dei trattamenti: chi ne può fare a meno?“), sottolineando che redigere il Registro dei trattamenti costituisce uno dei principali elementi di accountability del Titolare, dato che si tratta dello strumento più idoneo per fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione. Inoltre, il Registro dei trattamenti è il presupposto indispensabile per svolgere l’attività di risk assessment richiesta dal GDPR al Titolare. Come sappiamo, l’art. 30 del GDPR prescrive che sono tenuti a redigere il Registro dei trattamenti… Leggi tutto »Registro dei trattamenti: le FAQ del Garante
“La protezione dei dati personali e il danno non patrimoniale“, scritto da Giulio Ramaccioni ed edito da Jovene Editore, è davvero un libro ben fatto, completo, approfondito e gradevole, che ho letto durante l’estate e che vi consiglio. Il libro è, come avverte il sottotitolo, uno studio della persona nella prospettiva risarcitoria ed affronta a 360 gradi il tema della tutela dell’uomo contro le violazioni della sua identità, offrendo, nella parte introduttiva, un’interessantissima analisi dei problemi attuali concernenti l’utilizzo dei dati personali: facebook, fake news, social media, big data, chatbot, etc. L’excursus nell’attualità serve all’Autore solo come espediente per farci comprendere la centralità del tema che viene, poi, affrontato con approccio scientifico, sia nella prima parte, dedicata alla ricostruzione storica di come si è sviluppato – per fasi – il diritto alla privacy (oggi più opportunamente definito “diritto alla protezione… Leggi tutto »Qual è il danno non patrimoniale risarcibile per le violazioni al GDPR?
Mi accade di continuo di essere contattato da clienti che mi chiedono come si devono comportare di fronte alla richiesta dei loro fornitori di sottoscrivere, a volte addirittura per accettazione, le loro informative privacy. Cerco di fare chiarezza sul punto, dato che la prassi che si è andata diffondendo in questi ultimi mesi è un manifesto fraintendimento delle norme del Regolamento UE 2016/679 (GDPR) in materia di trattamento dei dati personali. Occorre, in primo luogo, ribadire che il GDPR si applica unicamente alle persone fisiche individuate o individuabili, così come previsto dall’art. 4 (“dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno… Leggi tutto »Perchè lo scambio di informative tra fornitori non ha ragione d’essere
Benché l’attenzione della maggioranza dei commentatori del GDPR si soffermi, per lo più, sul rischio sanzionatorio connesso ad un accertamento dell’Autorità di controllo, come ho già sottolineato in precedenti post (“il danno reputazionale nell’era del GDPR“), l’inadeguatezza delle misure tecniche ed organizzative di un’azienda a presidio dei dati personali può avere rilevanti conseguenze anche sotto il profilo del danno reputazionale. Applicata al profilo della data protection, la “brand reputation” è, quindi, strettamente connessa alla capacità di un’azienda di garantire un’adeguata protezione dei dati personali che le sono affidati. Ma come si può dimostrare e calcolare il danno reputazionale a carico di un’azienda operante nel mercato digitale che ha subìto, ad esempio, un data breach per colpa di un fornitore/responsabile del trattamento ex art. 28 non adeguatamente verificato e controllato o che ha mentito in ordine alle misure di protezione che… Leggi tutto »Come si calcola il danno reputazionale?
È noto che il GDPR richiede l’adozione da parte del titolare del trattamento di misure tecniche e di misure organizzative adeguate al rischio per i diritti e le libertà degli interessati. Spesso, però, i clienti identificano questo requisito con le sole misure di sicurezza tecnologiche (finalizzate per lo più alla cyber security) che, tuttavia, rappresentano solo una parte dell’intero complesso di misure che il GDPR chiede al Titolare di adottare per tutelare i dati personali degli interessati. Secondo gli standard ISO “più vicini” alla data protection (penso, ad esempio allo standard ISO 27001) per misure organizzative, generalmente si intendono tutte quelle politiche, procedure, regolamenti idonei ad ottenere un livello di sicurezza e protezione delle informazioni (dei dati) coerente con gli obiettivi e le strategie dell’organizzazione. Rappresentano, ad esempio, misure organizzative quelle che: prevedono la separazione dei compiti; contemplano ed individuano… Leggi tutto »Quanto devono essere dettagliate le misure organizzative richieste dal GDPR?
Nella sezione del Blog RonchiLegal dedicata alla documentazione, ho inserito nuovi documenti che spero possano aiutarvi a trovare le risposte che cercate. I documenti aggiunti sono: il “position paper” del WP29 sull’obbligo di tenuta del Registro dei Trattamenti anche per le aziende con meno di 250 dipendenti; le FAQ di Assosoftware sull’applicazione del GDPR; le FAQ del Garante italiano sul DPO in ambito privato; la versione italiana del famoso trattato di Satoshi Nakatomo sui Bitcoin; uno studio di McKinsey sul possibile impatto dell’automazione nel mondo; il testo del Regolamento UE sul geoblocking; tre documenti pubblicati nella seconda parte del mese di aprile dall’Autorità Indipendente Spagnola in tema di a) valutazione del rischio; b) guida alla valutazione di impatto; c) la check list di accompagnamento ai primi due documenti; Nella Sezione link utili ho, inoltre, aggiunto alcuni siti che ho trovato… Leggi tutto »Nuovi link e documenti utili sul Blog RonchiLegal
Il 28 febbraio 2018 l’Europa ha adottato il Regolamento UE 2018/302, anche detto geoblocking Regulation: si tratta, cioè, di una normativa, direttamente applicabile in tutta l’Unione Europea, che vieta i blocchi geografici ingiustificati nel mercato interno. Il geoblocking è una pratica discriminatoria che impedisce ai clienti on-line di accedere ed acquistare prodotti o servizi da un sito web posizionato in un Stato membro diverso da quello dell’utente: con questa tecnica, i gestori di negozi on-line sono in grado di escludere gli utenti stranieri da offerte promosse in un determinato Stato membro o di indirizzarli automaticamente a una pagina con prezzi più elevati. Il geoblocking è, cioè, un sistema che limita l’accesso a un sito o ne modifica i contenuti a seconda della posizione geografica dell’utente: viene utilizzato principalmente per impedire che materiale protetto da diritto d’autore venga visualizzato al di… Leggi tutto »Quali sono i vantaggi del geoblocking Regulation?
Negli scorsi giorni l’Associazione nazionale di categoria delle software house, AssoSoftware, ha pubblicato un interessante documento (che potete trovare, nel testo integrale, nella sezione del Blog dedicata alla documentazione utile, cliccando qui) per rispondere ad alcuni quesiti ricorrenti dei produttori di software in vista dell’entrata in vigore del GDPR il prossimo 25 maggio 2018. Il documento è stato redatto dal Gruppo di lavoro di AssoSoftware (di seguito, “GdL”) che si occupa di data protection e privacy, in seguito a numerosi incontri con i rappresentanti delle principali software house associate, aiutati da esperti in materia di data protection e con il periodico confronto con il nostro Garante. I principali temi trattati sono: registro dei trattamenti; ruoli e organizzazione; informativa e consenso; valutazione del rischio e valutazione di impatto; diritti dell’interessato; misure di sicurezza. Vediamo di seguito quali sono gli aspetti più… Leggi tutto »Software house e GDPR
Sono moltissime le ricerche svolte negli ultimi anni da cui emerge un significativo ritardo dell’Italia nello sviluppo dell’ecommerce. Secondo una delle più recenti statistiche, l’Italia è al terz’ultimo posto in Europa, a pari merito con Cipro e appena sopra Bulgaria e Romania, nell’utilizzo del canale ecommerce: solo il 29% degli italiani fa shopping online; i consumatori più attivi sono di età compresa tra i 25 e i 34 anni (42%) e i giovanissimi tra i 16 e i 24 anni (40%). Col progredire dell’età aumenta, purtroppo, la diffidenza nei confronti del mercato digitale: soltanto il 18% dei cittadini di età tra i 55 e i 64 anni e il 7% dei cittadini di età tra i 65 e i 74 anni acquista online e, in ogni caso, la frequenza degli acquisti è molto bassa e di valore non rilevante (quasi… Leggi tutto »Ecommerce e tutela del consumatore
La Corte UE si è recentemente espressa sui limiti del diritto alla privacy del lavoratore dipendente in relazione all’uso del pc aziendale, dando ancora una volta risalto all’importanza di dotarsi di un’adeguata policy aziendale sull’utilizzo degli strumenti informatici. I fatti sottoposti all’esame della Corte UE sono, in sintesi, i seguenti: la società statale francese che gestisce le ferrovie (Sncf) aveva licenziato uno dei suoi dirigenti dopo aver scoperto che, tra i file salvati sul suo computer in ufficio, c’erano anche false attestazioni e materiale pornografico. Il dipendente si era rivolto ai Giudici Europei sostenendo che l’azienda non poteva, a suo giudizio, esaminare il contenuto dei documenti custoditi nel pc in dotazione in sua assenza, trattandosi di comportamento illecito e lesivo del suo diritto alla privacy. Secondo la Corte UE, invece, le ferrovie francesi non hanno violato la privacy del dipendente accedendo… Leggi tutto »La privacy del dipendente secondo la Corte UE
La sicurezza delle stampanti viene spesso sottovalutata ma questa periferiche sono, sempre più spesso, il principale obiettivo degli attacchi informatici alle aziende. “Prima ho ottenuto il controllo delle stampanti, poi il controllo della rete, infine il controllo dei loro dati… E grazie a quanto ho rubato qui, queste persone stanno per passare una gran brutta giornata”. Si tratta di un estratto dal cortometraggio prodotto da HP, con protagonista Christian Slater nella parte di “the wolf”, in cui l’attore dimostra come una semplice stampante in ufficio possa rivelarsi una minaccia per la sicurezza. Come sappiamo, molte stampanti includono funzionalità per la scansione e la stampa da remoto; la maggior parte è dotata di hard disk simili a quelli dei pc, in cui vengono archiviate copie digitali di tutti i documenti sottoposti a scansione, copiati, inviati tramite email e stampati: informazioni personali… Leggi tutto »Quali accorgimenti adottare per la sicurezza delle stampanti?