GDPR e Privacy

 

In questa sezione del blog trovate tutti i miei articoli dedicati alle PMI, con risposte e soluzioni concrete per l’applicazione delle norme del GDPR e, in generale, sul tema della protezione dei dati.

1 anno di GDPR: il video dell’EDPB

L’European Data Protection Board (EDPB) ha dedicato al primo anno di vita del GDPR un video di due minuti dal titolo: ” 1 year ago, the GDPR entered into application, but what has changed for you?”

data breach

L’importanza delle istruzioni del Titolare

Il corollario dell’obbligo del Titolare del trattamento di dare le istruzioni necessarie ai propri sottoposti (interni e/o esterni) è quello di controllare periodicamente che le proprie istruzioni siano osservate dai destinatari.

Diritto di accesso

L’accountability del Titolare del trattamento

Un corretto approccio basato sul principio di accountability delle misure di protezione adottate, permette al Titolare del trattamento di soddisfare le esigenze di sicurezza desiderate, in primis, dai propri clienti, con ritorni economici significativi.

Diritto di accesso

Quale tutela per i dati sindacali?

Dopo aver letto il provvedimento del 7 dicembre 2018 del nostro Garante per la Protezione dei Dati Personali sul trattamento dei dati personali idonei a rivelare l’adesione sindacale dei dipendenti, sorrido al pensiero di certe discussioni con alcuni clienti che, pur di semplificarsi la vita nella fase di assessment risk, sostengono di non avere la minima conoscenza dell’appartenenza dei propri lavoratori ad un determinato sindacato. Benché l’intervento del Garante faccia ancora riferimento alla disciplina previgente (tant’è vero che, nel testo, si discute di “dati sensibili” e non di “categorie particolari di dati” ex art. 9 GDPR), il principio espresso ha certamente valenza interpretativa anche oggi, nell’era del GDPR. Un’esame della fattispecie analizzata dal Garante appare, quindi, opportuna. In seguito ad una complessa vicenda giudiziaria, un’Azienda pubblica ha informato con e-mail la RSU dell’intervenuta variazione dell’affiliazione sindacale di alcuni suoi dipendenti: tale decisione… Leggi tutto »Quale tutela per i dati sindacali?

Diritto di accesso

Il risk based audit per il GDPR

Uno degli aspetti più difficili da far assimilare ai clienti, quando si parla di GDPR, è la necessità di svolgere una verifica periodica delle misure tecniche ed organizzative individuate ed adottate per la prevenzione del rischio nel trattamento dei dati. Non basta, cioè, aver costruito un valido sistema organizzativo di tutela dei dati se i processi non vengono, poi, testati ed aggiornati nel tempo. Anche i rapporti tra Titolare e Responsabile del trattamento sono improntati al rispetto delle istruzioni del primo da parte del secondo nel tempo, il che equivale a dire che il Titolare ha l’obbligo di controllare nel tempo l’osservanza delle regole date al Responsabile, verificando puntualmente che le categorie di dati trattati e le operazioni su di essi eseguite siano sempre posti in essere rispettando i parametri di liceità stabiliti dalle istruzioni fornite. Uno degli strumenti utili alla… Leggi tutto »Il risk based audit per il GDPR

data breach

Business continuity nel GDPR

Le procedure di business continuity rappresentano uno degli elementi di valutazione dell’adeguatezza delle misure tecniche ed organizzative richieste dal  GDPR al Titolare del trattamento per garantire la sicurezza dei trattamenti. L’art. 32 GDPR prevede, infatti, che “tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Titolare del trattamento (…) mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendo, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità… Leggi tutto »Business continuity nel GDPR

Diritto di accesso

Quando il reclamo al Garante è efficace?

E’ noto che, tra le novità introdotte dal GDPR, vi è anche quella di informare esplicitamente l’interessato nelle informative del suo “diritto di proporre reclamo ad un Autorità di controllo“ (art. 13, comma 2, lett, d). Sappiamo anche che l’art. 77 GDPR dispone che “fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente Regolamento, ha diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione”. In esecuzione delle predette norme e di quanto previsto dal nostro nuovo Codice Privacy modificato dal D.lgs 101/2018, il nostro Garante per la Protezione dei Dati ha pubblicato sul proprio sito un modello di reclamo utilizzabile da chiunque. Al riguardo, il Garante precisa che “il reclamo è… Leggi tutto »Quando il reclamo al Garante è efficace?

GDPR e privacy

Come affrontare la vacatio del DPO?

Qualche giorno fa un cliente mi ha posto un quesito in merito alla figura del DPO che vi sottopongo, dato che, nelle mie ricerche, non sono riuscito a trovare spunti decisivi in merito alla questione. Il cliente, società soggetta all’obbligo di nomina del DPO, si trova nella condizione di dover svolgere una nuova selezione per la nomina del medesimo, dato che il suo attuale Data Protection Officer (selezionato dalla società appositamente per ricoprire questo ruolo e assunto a tempo pieno) ha dato le dimissioni, con preavviso in scadenza a breve. Poiché le selezioni per la nomina del nuovo DPO non hanno ancora portato all’individuazione della persona adatta, come dovrebbe affrontare il cliente il periodo di vacatio tra il vecchio DPO ed il nuovo? Analizzando la normativa di riferimento, vengono in rilievo le seguenti norme del GDPR: considerando 97: “il titolare… Leggi tutto »Come affrontare la vacatio del DPO?

Diritto di accesso

Registro dei trattamenti: uno, nessuno o centomila?

L’estate è trascorsa, perlomeno quella di noi professionisti, nell’attesa dell’ormai “mitico” “decreto del Governo che sarà pubblicato in G.U.” , che dovrebbe chiarire i molti dubbi in merito all’applicazione del GDPR sul suolo italiano. Nel frattempo, prosegue l’applicazione pratica delle misure previste dal GDPR da parte delle imprese e, nel confronto con clienti e colleghi, si evidenziano ancora ancora molti spazi interpretativi da colmare con le giuste soluzioni. Uno dei quesiti che mi è stato posto durante l’estate è se un Responsabile del trattamento che svolge la medesima tipologia di trattamenti per tutti i propri clienti (pensiamo, ad esempio, ad un centro elaborazione paghe): debba redigere un Registro per ciascun cliente oppure può tenere un unico Registro, elencando i nomi di tutti i propri clienti nella sezione dedicata al nominativo del Titolare del trattamento, semplificando, così, l’onere a suo carico.… Leggi tutto »Registro dei trattamenti: uno, nessuno o centomila?

EDPB

Qual è l’opinione dell’EDPB sul trasferimento di dati personali verso Paesi terzi?

L’EDPB – l’European Data Protection Board che, con l’entrata in vigore del GDPR, ha sostituito il Working Party 29 – ha recentemente espresso il proprio parere sul tema delle deroghe al trasferimento di dati personali verso Paesi terzi disciplinato dall’art. 49 GDPR. Ricordo, in sintesi, che l’art. 49 GDPR prevede che, nei casi in cui non vi sia una decisione di adeguatezza da parte della Commisione Europea e neppure siano esistenti garanzie adeguate ai sensi dell’art. 46 GPDR, il trasferimento di dati personali verso un Paese terzo (o un’Organizzazione Internazionale) può, comunque, avvenire se: l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei rischi di questo tipo di trasferimenti (lettera a); il trasferimento risulta necessario per l’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento o per l’esecuzione di misure precontrattuali adottate su istanza… Leggi tutto »Qual è l’opinione dell’EDPB sul trasferimento di dati personali verso Paesi terzi?