Vai al contenuto

GDPR e Privacy

 

In questa sezione del blog trovate tutti i miei articoli dedicati alle PMI, con risposte e soluzioni concrete per l’applicazione delle norme del GDPR e, in generale, sul tema della protezione dei dati.

data breach

Business continuity nel GDPR

Le procedure di business continuity rappresentano uno degli elementi di valutazione dell’adeguatezza delle misure tecniche ed organizzative richieste dal  GDPR al Titolare del trattamento per garantire la sicurezza dei trattamenti. L’art. 32 GDPR prevede, infatti, che “tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Titolare del trattamento (…) mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendo, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità… Leggi tutto »Business continuity nel GDPR

Diritto di accesso

Quando il reclamo al Garante è efficace?

E’ noto che, tra le novità introdotte dal GDPR, vi è anche quella di informare esplicitamente l’interessato nelle informative del suo “diritto di proporre reclamo ad un Autorità di controllo“ (art. 13, comma 2, lett, d). Sappiamo anche che l’art. 77 GDPR dispone che “fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente Regolamento, ha diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione”. In esecuzione delle predette norme e di quanto previsto dal nostro nuovo Codice Privacy modificato dal D.lgs 101/2018, il nostro Garante per la Protezione dei Dati ha pubblicato sul proprio sito un modello di reclamo utilizzabile da chiunque. Al riguardo, il Garante precisa che “il reclamo è… Leggi tutto »Quando il reclamo al Garante è efficace?

GDPR e privacy

Come affrontare la vacatio del DPO?

Qualche giorno fa un cliente mi ha posto un quesito in merito alla figura del DPO che vi sottopongo, dato che, nelle mie ricerche, non sono riuscito a trovare spunti decisivi in merito alla questione. Il cliente, società soggetta all’obbligo di nomina del DPO, si trova nella condizione di dover svolgere una nuova selezione per la nomina del medesimo, dato che il suo attuale Data Protection Officer (selezionato dalla società appositamente per ricoprire questo ruolo e assunto a tempo pieno) ha dato le dimissioni, con preavviso in scadenza a breve. Poiché le selezioni per la nomina del nuovo DPO non hanno ancora portato all’individuazione della persona adatta, come dovrebbe affrontare il cliente il periodo di vacatio tra il vecchio DPO ed il nuovo? Analizzando la normativa di riferimento, vengono in rilievo le seguenti norme del GDPR: considerando 97: “il titolare… Leggi tutto »Come affrontare la vacatio del DPO?

Diritto di accesso

Registro dei trattamenti: uno, nessuno o centomila?

L’estate è trascorsa, perlomeno quella di noi professionisti, nell’attesa dell’ormai “mitico” “decreto del Governo che sarà pubblicato in G.U.” , che dovrebbe chiarire i molti dubbi in merito all’applicazione del GDPR sul suolo italiano. Nel frattempo, prosegue l’applicazione pratica delle misure previste dal GDPR da parte delle imprese e, nel confronto con clienti e colleghi, si evidenziano ancora ancora molti spazi interpretativi da colmare con le giuste soluzioni. Uno dei quesiti che mi è stato posto durante l’estate è se un Responsabile del trattamento che svolge la medesima tipologia di trattamenti per tutti i propri clienti (pensiamo, ad esempio, ad un centro elaborazione paghe): debba redigere un Registro per ciascun cliente oppure può tenere un unico Registro, elencando i nomi di tutti i propri clienti nella sezione dedicata al nominativo del Titolare del trattamento, semplificando, così, l’onere a suo carico.… Leggi tutto »Registro dei trattamenti: uno, nessuno o centomila?

EDPB

Qual è l’opinione dell’EDPB sul trasferimento di dati personali verso Paesi terzi?

L’EDPB – l’European Data Protection Board che, con l’entrata in vigore del GDPR, ha sostituito il Working Party 29 – ha recentemente espresso il proprio parere sul tema delle deroghe al trasferimento di dati personali verso Paesi terzi disciplinato dall’art. 49 GDPR. Ricordo, in sintesi, che l’art. 49 GDPR prevede che, nei casi in cui non vi sia una decisione di adeguatezza da parte della Commisione Europea e neppure siano esistenti garanzie adeguate ai sensi dell’art. 46 GPDR, il trasferimento di dati personali verso un Paese terzo (o un’Organizzazione Internazionale) può, comunque, avvenire se: l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei rischi di questo tipo di trasferimenti (lettera a); il trasferimento risulta necessario per l’esecuzione di un contratto concluso tra l’interessato e il titolare del trattamento o per l’esecuzione di misure precontrattuali adottate su istanza… Leggi tutto »Qual è l’opinione dell’EDPB sul trasferimento di dati personali verso Paesi terzi?

data breach

Titolare, responsabile o contitolare?

Nel corso di un convegno a cui ho partecipato settimana scorsa, si è discusso dei ruoli di titolare, responsabile e contitolare del trattamento. Durante un intervento, la relatrice ha sostenuto che: la scelta della categoria dei commercialisti e di quella dei consulenti del lavoro di ricorrere, nella quasi totalità dei casi, alla qualifica di responsabile del trattamento non sarebbe affatto “illuminata” e potrebbe, anzi, esporli a problemi in futuro; come responsabile del trattamento, il consulente fiscale o del lavoro sarebbe soggetto a qualsiasi scelta del titolare, che potrebbe in ipotesi imporgli modalità di trattamento dei dati e di protezione degli stessi estremamente gravose; meglio sarebbe, invece, se queste categorie di professionisti valutassero l’ipotesi di considerarsi contitolari, gestendo di comune accordo i dati degli interessati con i loro clienti. Ammetto che non avevo considerato, fino a quel momento, il rapporto tra… Leggi tutto »Titolare, responsabile o contitolare?

Diritto di accesso

I dati perenni: storia di ordinaria conservazione.

Il GDPR afferma che i dati personali devono essere conservati solo per il tempo necessario a conseguire la finalità in relazione alla quale sono stati raccolti e che tali dati devono, inoltre, essere esatti e trattati secondo il principio di minimizzazione del rischio (art. 5 del GDPR). Questa settimana ho constatato personalmente come questi principi, peraltro già noti sotto la vigenza del nostro Codice Privacy, sono ignorati o, se vogliamo essere benevoli, non tenuti in debita considerazione anche da imprenditori con significative attività di trattamento di dati personali. Dovendo, infatti, pubblicare un necrologio su di un quotidiano locale per partecipare al lutto di un amico, ho contattato telefonicamente la società che gestisce questo servizio per conto della testata giornalistica della mia Provincia. Una volta dettato l’annuncio, l’operatrice mi ha gentilmente richiesto i miei dati personali per inviarmi (per posta ordinaria,… Leggi tutto »I dati perenni: storia di ordinaria conservazione.

data breach

GDPR: applicatelo con buon senso

Ci siamo. Benvenuto GDPR! Il 25 maggio è entrata in vigore un’unica normativa che regolamenta in modo uniforme la data protection dei cittadini di tutta Europa: il Regolamento UE 2016/679 (GDPR). Chi, come me, si è occupato di questo tema presso i clienti, ha assistito nel corso degli ultimi mesi ad una vera e propria escalation di attenzione all’argomento, giunta, con l’approssimarsi della scadenza, a veri e propri atteggiamenti da “fine del mondo”, insospettabili fino a qualche mese fa e sorprendenti anche per chi si occupa della materia da tempo. In un recente meeting, il Prof. Franco Pizzetti ha dichiarato che “il nuovo GDPR è una vera rivoluzione copernicana rispetto alla protezione dati che abbiamo conosciuto negli scorsi venti anni. Al centro del nuovo sistema sta la tutela di un diritto fondamentale riconosciuto a tutti gli europei ma anche la… Leggi tutto »GDPR: applicatelo con buon senso

Il GDPR secondo l’Autorità indipendente spagnola AGPD

A pochi giorni dall’entrata in vigore del Regolamento UE 2016/679 (generalmente noto come “GDPR“), ritengo possa essere utile esaminare ciò che le Autorità Indipendenti degli altri Paesi membri stanno facendo per aiutare imprese e cittadini ad entrare in sintonia e prendere confidenza con le nuove norme sulla data protection, partendo da una visita al sito dell’AGPD (Agencia Espanola de Protecciòn de Datos). In base all’art. 51 GDPR, “ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente Regolamento”, contribuendo “alla coerente applicazione” dello stesso “in tutta l’Unione”. Molto spesso, in questi mesi, sono stati richiamati, anche da me, i provvedimenti dell’ICO (UK) e della CNIL (Francia), come punto di riferimento qualificato per la comprensione ed applicazione pratica del GDPR, ma le Autorità Indipendenti Europee sono molte di più ed è, quindi, utile… Leggi tutto »Il GDPR secondo l’Autorità indipendente spagnola AGPD

Diritto di accesso

Quando il dato personale è “esatto”?

L’art. 5, comma 1, lettera d) del GDPR stabilisce che il dato personale deve essere, tra le altre cose, “esatto e, se necessario, aggiornato: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”. Il principio di esattezza del dato implica che, se il dato raccolto è inesatto, il trattamento non è lecito: ciò impone al Titolare del trattamento di verificare periodicamente l’attendibilità dei dati personali, anche senza un’espressa richiesta dell’Interessato o del Garante. Il Titolare deve, quindi: adottare le misure necessarie per rettificare o eliminare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati; verificare la correttezza dei dati raccolti con quelli inerenti lo stesso interessato ma raccolti in momenti diversi o che abbiano diversa provenienza. Il dato inesatto potrebbe anche non essere… Leggi tutto »Quando il dato personale è “esatto”?

Registro dei trattamenti: chi ne può fare a meno?

Il Working Party 29 (WP29) ha recentemente pubblicato il suo “position paper” in merito al Registro dei trattamenti (i.e., “Registri delle attività di trattamento”) previsto dall’art. 30 del GDPR. Al Registro dei trattamenti ho già dedicato alcuni articoli (vi segnalo, ad esempio, “come si predispone il Registro dei trattamenti?” pubblicato nel febbraio 2018) per descriverne finalità e contenuti. Per quanto riguarda le finalità, ricordo che il Registro dei trattamenti permette di dimostrare documentalmente la conformità della propria organizzazione alle prescrizioni del GDPR perché consente: di sviluppare un’idonea analisi del rischio; di descrivere l’organizzazione aziendale sotto il profilo delle attività di trattamento a fini di informazione, consapevolezza e condivisione interna dei flussi di dati; di costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati, per garantirne la loro integrità, riservatezza e disponibilità. Il… Leggi tutto »Registro dei trattamenti: chi ne può fare a meno?

GDPR e privacy

Quali sono le competenze richieste al DPO?

Si è molto parlato – e ancora molto si discute – di quali debbano essere le competenze e le qualità che deve possedere il (o, meglio, che non possono mancare al) Data Protection Officer (DPO) o, all’italiana, al Responsabile della Protezione dei Dati (RPD). In base all’art. 37 del GDPR, il DPO: è designato in funzione delle sue qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere ai compiti previsti dall’art. 39 GDPR; può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure un consulente esterno con il quale il Titolare stipula un apposito contratto di servizi. Come da tempo chiarito dal nostro Garante, allo stato non vi sono certificazioni in grado di attestare la sussistenza, in capo ad un soggetto, delle… Leggi tutto »Quali sono le competenze richieste al DPO?

data breach

Il GDPR? “Solo un costo”

Il GDPR è “solo un costo”. Questo è il risultato del sondaggio chiuso venerdì 29 marzo sul Blog RonchiLegal che chiedeva ai professionisti qual è il pensiero dominante dei loro clienti in relazione al nuovo Regolamento UE sulla data protection. E’ un dato che non stupisce ma fa riflettere su quale sia la concreta percezione dei Titolari del trattamento alla richiesta dell’Europa di porre una maggiore e più sostanziale attenzione ai dati che ciascuno di noi custodisce e tratta, confermando una linea di tendenza che avevo già personalmente constatato e descritto in un mio post del mese di settembre 2017 (che potete trovare qui). Per chi, come me, cerca ogni giorno di far apprezzare gli aspetti positivi del GDPR ai propri clienti, è difficile far breccia nella generalizzata rassegnazione e disillusione delle aziende, illustrando i potenziali benefici della normativa europea, sia… Leggi tutto »Il GDPR? “Solo un costo”

GDPR e privacy

Quando si può adottare l’accordo interno tra contitolari del trattamento?

Una delle novità introdotte dal GDPR è l’accordo interno tra contitolari del trattamento. L’accordo interno può essere previsto quando “due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento“. Secondo le indicazioni dell’art. 26 del GDPR, i contitolari “determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente Regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 (…). L’accordo (deve) riflette(re) adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati”. Presupposto dell’accordo interno tra contitolari è, dunque, la presenza di una codecisione in merito alle finalità ed a i mezzi di un determinato trattamento tra coloro che esercitano l’effettivo potere decisorio effettuando scelte, prendendo decisioni, impartendo ordini e direttive vincolanti… Leggi tutto »Quando si può adottare l’accordo interno tra contitolari del trattamento?

notifica data breach

Quando si può omettere la notifica al Garante di un evento di data breach?

L’art. 33  del GDPR impone al Titolare del trattamento la notifica al Garante di eventuali violazioni di dati personali (data breach) entro 72 ore da quando ne è venuto a conoscenza. Nel corso del webinar organizzato da The Innovation Group su questo tema, sono state fornite utili indicazioni per ciascuna delle fasi caratteristiche di un evento di data breach che danno luogo alla procedura di notifica al Garante. PRIMA FASE: fase di rilevazione dell’evento. In questa fase, è opportuno raccogliere le evidenze e le segnalazioni del possibile evento di data breach derivanti da: sistemi ICT; clienti/utenti; fornitori/outsourcer (particolarmente importante è determinare contrattualmente gli obblighi di questi soggetti nella rilevazione e gestione di data breach); dipendenti, collaboratori, consulenti; autorità pubbliche (Garante Privacy, Polizia Postale, etc.); mezzi di comunicazione (giornali, blog, siti specializzati, etc.). SECONDA FASE: fase di valutazione. In questa fase… Leggi tutto »Quando si può omettere la notifica al Garante di un evento di data breach?