GDPR e Privacy

 

In questa sezione del blog trovate tutti i miei articoli dedicati alle PMI, con risposte e soluzioni concrete per l’applicazione delle norme del GDPR e, in generale, sul tema della protezione dei dati.

data breach

Titolare, responsabile o contitolare?

Nel corso di un convegno a cui ho partecipato settimana scorsa, si è discusso dei ruoli di titolare, responsabile e contitolare del trattamento. Durante un intervento, la relatrice ha sostenuto che: la scelta della categoria dei commercialisti e di quella dei consulenti del lavoro di ricorrere, nella quasi totalità dei casi, alla qualifica di responsabile del trattamento non sarebbe affatto “illuminata” e potrebbe, anzi, esporli a problemi in futuro; come responsabile del trattamento, il consulente fiscale o del lavoro sarebbe soggetto a qualsiasi scelta del titolare, che potrebbe in ipotesi imporgli modalità di trattamento dei dati e di protezione degli stessi estremamente gravose; meglio sarebbe, invece, se queste categorie di professionisti valutassero l’ipotesi di considerarsi contitolari, gestendo di comune accordo i dati degli interessati con i loro clienti. Ammetto che non avevo considerato, fino a quel momento, il rapporto tra… Leggi tutto »Titolare, responsabile o contitolare?

Diritto di accesso

I dati perenni: storia di ordinaria conservazione.

Il GDPR afferma che i dati personali devono essere conservati solo per il tempo necessario a conseguire la finalità in relazione alla quale sono stati raccolti e che tali dati devono, inoltre, essere esatti e trattati secondo il principio di minimizzazione del rischio (art. 5 del GDPR). Questa settimana ho constatato personalmente come questi principi, peraltro già noti sotto la vigenza del nostro Codice Privacy, sono ignorati o, se vogliamo essere benevoli, non tenuti in debita considerazione anche da imprenditori con significative attività di trattamento di dati personali. Dovendo, infatti, pubblicare un necrologio su di un quotidiano locale per partecipare al lutto di un amico, ho contattato telefonicamente la società che gestisce questo servizio per conto della testata giornalistica della mia Provincia. Una volta dettato l’annuncio, l’operatrice mi ha gentilmente richiesto i miei dati personali per inviarmi (per posta ordinaria,… Leggi tutto »I dati perenni: storia di ordinaria conservazione.

data breach

GDPR: applicatelo con buon senso

Ci siamo. Benvenuto GDPR! Il 25 maggio è entrata in vigore un’unica normativa che regolamenta in modo uniforme la data protection dei cittadini di tutta Europa: il Regolamento UE 2016/679 (GDPR). Chi, come me, si è occupato di questo tema presso i clienti, ha assistito nel corso degli ultimi mesi ad una vera e propria escalation di attenzione all’argomento, giunta, con l’approssimarsi della scadenza, a veri e propri atteggiamenti da “fine del mondo”, insospettabili fino a qualche mese fa e sorprendenti anche per chi si occupa della materia da tempo. In un recente meeting, il Prof. Franco Pizzetti ha dichiarato che “il nuovo GDPR è una vera rivoluzione copernicana rispetto alla protezione dati che abbiamo conosciuto negli scorsi venti anni. Al centro del nuovo sistema sta la tutela di un diritto fondamentale riconosciuto a tutti gli europei ma anche la… Leggi tutto »GDPR: applicatelo con buon senso

Il GDPR secondo l’Autorità indipendente spagnola AGPD

A pochi giorni dall’entrata in vigore del Regolamento UE 2016/679 (generalmente noto come “GDPR“), ritengo possa essere utile esaminare ciò che le Autorità Indipendenti degli altri Paesi membri stanno facendo per aiutare imprese e cittadini ad entrare in sintonia e prendere confidenza con le nuove norme sulla data protection, partendo da una visita al sito dell’AGPD (Agencia Espanola de Protecciòn de Datos). In base all’art. 51 GDPR, “ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare l’applicazione del presente Regolamento”, contribuendo “alla coerente applicazione” dello stesso “in tutta l’Unione”. Molto spesso, in questi mesi, sono stati richiamati, anche da me, i provvedimenti dell’ICO (UK) e della CNIL (Francia), come punto di riferimento qualificato per la comprensione ed applicazione pratica del GDPR, ma le Autorità Indipendenti Europee sono molte di più ed è, quindi, utile… Leggi tutto »Il GDPR secondo l’Autorità indipendente spagnola AGPD

Diritto di accesso

Quando il dato personale è “esatto”?

L’art. 5, comma 1, lettera d) del GDPR stabilisce che il dato personale deve essere, tra le altre cose, “esatto e, se necessario, aggiornato: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”. Il principio di esattezza del dato implica che, se il dato raccolto è inesatto, il trattamento non è lecito: ciò impone al Titolare del trattamento di verificare periodicamente l’attendibilità dei dati personali, anche senza un’espressa richiesta dell’Interessato o del Garante. Il Titolare deve, quindi: adottare le misure necessarie per rettificare o eliminare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati; verificare la correttezza dei dati raccolti con quelli inerenti lo stesso interessato ma raccolti in momenti diversi o che abbiano diversa provenienza. Il dato inesatto potrebbe anche non essere… Leggi tutto »Quando il dato personale è “esatto”?

Registro dei trattamenti: chi ne può fare a meno?

Il Working Party 29 (WP29) ha recentemente pubblicato il suo “position paper” in merito al Registro dei trattamenti (i.e., “Registri delle attività di trattamento”) previsto dall’art. 30 del GDPR. Al Registro dei trattamenti ho già dedicato alcuni articoli (vi segnalo, ad esempio, “come si predispone il Registro dei trattamenti?” pubblicato nel febbraio 2018) per descriverne finalità e contenuti. Per quanto riguarda le finalità, ricordo che il Registro dei trattamenti permette di dimostrare documentalmente la conformità della propria organizzazione alle prescrizioni del GDPR perché consente: di sviluppare un’idonea analisi del rischio; di descrivere l’organizzazione aziendale sotto il profilo delle attività di trattamento a fini di informazione, consapevolezza e condivisione interna dei flussi di dati; di costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati, per garantirne la loro integrità, riservatezza e disponibilità. Il… Leggi tutto »Registro dei trattamenti: chi ne può fare a meno?

GDPR e privacy

Quali sono le competenze richieste al DPO?

Si è molto parlato – e ancora molto si discute – di quali debbano essere le competenze e le qualità che deve possedere il (o, meglio, che non possono mancare al) Data Protection Officer (DPO) o, all’italiana, al Responsabile della Protezione dei Dati (RPD). In base all’art. 37 del GDPR, il DPO: è designato in funzione delle sue qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacità di assolvere ai compiti previsti dall’art. 39 GDPR; può essere un dipendente del Titolare del trattamento o del Responsabile del trattamento oppure un consulente esterno con il quale il Titolare stipula un apposito contratto di servizi. Come da tempo chiarito dal nostro Garante, allo stato non vi sono certificazioni in grado di attestare la sussistenza, in capo ad un soggetto, delle… Leggi tutto »Quali sono le competenze richieste al DPO?

data breach

Il GDPR? “Solo un costo”

Il GDPR è “solo un costo”. Questo è il risultato del sondaggio chiuso venerdì 29 marzo sul Blog RonchiLegal che chiedeva ai professionisti qual è il pensiero dominante dei loro clienti in relazione al nuovo Regolamento UE sulla data protection. E’ un dato che non stupisce ma fa riflettere su quale sia la concreta percezione dei Titolari del trattamento alla richiesta dell’Europa di porre una maggiore e più sostanziale attenzione ai dati che ciascuno di noi custodisce e tratta, confermando una linea di tendenza che avevo già personalmente constatato e descritto in un mio post del mese di settembre 2017 (che potete trovare qui). Per chi, come me, cerca ogni giorno di far apprezzare gli aspetti positivi del GDPR ai propri clienti, è difficile far breccia nella generalizzata rassegnazione e disillusione delle aziende, illustrando i potenziali benefici della normativa europea, sia… Leggi tutto »Il GDPR? “Solo un costo”

GDPR e privacy

Quando si può adottare l’accordo interno tra contitolari del trattamento?

Una delle novità introdotte dal GDPR è l’accordo interno tra contitolari del trattamento. L’accordo interno può essere previsto quando “due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento“. Secondo le indicazioni dell’art. 26 del GDPR, i contitolari “determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente Regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 (…). L’accordo (deve) riflette(re) adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati”. Presupposto dell’accordo interno tra contitolari è, dunque, la presenza di una codecisione in merito alle finalità ed a i mezzi di un determinato trattamento tra coloro che esercitano l’effettivo potere decisorio effettuando scelte, prendendo decisioni, impartendo ordini e direttive vincolanti… Leggi tutto »Quando si può adottare l’accordo interno tra contitolari del trattamento?

notifica data breach

Quando si può omettere la notifica al Garante di un evento di data breach?

L’art. 33  del GDPR impone al Titolare del trattamento la notifica al Garante di eventuali violazioni di dati personali (data breach) entro 72 ore da quando ne è venuto a conoscenza. Nel corso del webinar organizzato da The Innovation Group su questo tema, sono state fornite utili indicazioni per ciascuna delle fasi caratteristiche di un evento di data breach che danno luogo alla procedura di notifica al Garante. PRIMA FASE: fase di rilevazione dell’evento. In questa fase, è opportuno raccogliere le evidenze e le segnalazioni del possibile evento di data breach derivanti da: sistemi ICT; clienti/utenti; fornitori/outsourcer (particolarmente importante è determinare contrattualmente gli obblighi di questi soggetti nella rilevazione e gestione di data breach); dipendenti, collaboratori, consulenti; autorità pubbliche (Garante Privacy, Polizia Postale, etc.); mezzi di comunicazione (giornali, blog, siti specializzati, etc.). SECONDA FASE: fase di valutazione. In questa fase… Leggi tutto »Quando si può omettere la notifica al Garante di un evento di data breach?

Come prevenire un data breach

Il Regolamento UE 2016/679 (GDPR) richiede alle imprese uno sforzo significativo per identificare e mettere in atto le misure, tecniche ed organizzative, più idonee per prevenire le violazioni dei dati trattati e mitigare al massimo il rischio di data breach a carico dei sistemi ICT aziendali. E’ importante comprendere che, in relazione al profilo della sicurezza, il GDPR non prevede più, come avveniva in passato, misure minime di sicurezza ma si basa sul principio di accountability del Titolare del trattamento (e del Responsabile) che deve, pertanto, individuare le misure realmente adeguate in funzione delle specifiche caratteristiche della propria organizzazione. L’impegno di prevenzione richiesto al Titolare del trattamento dal GDPR per fronteggiare possibili casi di data breach è, oggi, ancora più stringente in considerazione della crescita esponenziale dei fenomeni di cyber crime, che mettono a rischio sia il business delle aziende… Leggi tutto »Come prevenire un data breach

GDPR e privacy

Come si predispone il Registro dei trattamenti?

Più di un cliente mi ha chiesto come deve essere strutturato il Registro dei trattamenti (rectius, delle attività di trattamento) previsto dall’art. 30 del GDPR; quali requisiti deve rispettare e su chi incombe l’onere di verificare la sua regolare e corretta tenuta. Vediamo, quindi, in concreto, come le imprese devono procedere per rispettare i requisiti di legge. E’ opportuno premettere che il Registro delle attività di trattamento non è un obbligo che incombe su tutti in quanto il GDPR prevede l’esenzione dalla tenuta di tale documento per tutte le aziende che non raggiungono la soglia dei 250 dipendenti (salvo ipotesi particolari di rischio per le libertà individuali previste all’art. 30, comma 5, GDPR). L’obbligo di tenuta del Registro grava sul Titolare del trattamento (che lo può, comunque, delegare al Responsabile) e permette di assolvere all’onere probatorio di documentazione della conformità… Leggi tutto »Come si predispone il Registro dei trattamenti?

Insidie dei cookie

Ho deciso di dedicare un articolo al tema dei cookie dopo aver vissuto personalmente un’esperienza emblematica di come il monitoraggio dei dati di navigazione sul web possa portare ad una palese violazione della privacy di un individuo. Da qualche mese mi sono accorto che le ricerche on-line (e, in un caso, anche un acquisto) svolte da mia moglie sui alcuni siti di e-commerce tramite il suo I-Phone “rimbalzano”, sotto forma di banner pubblicitari, nelle applicazioni del mio smartphone Android. Addirittura, pochi giorni fa, un’immagine presente nella mia Galleria foto (salvata automaticamente da Whatsapp dopo averla ricevuta da un amico, che l’aveva copiata da un sito di e-commerce) è “magicamente” apparsa sotto forma di banner promozionale sullo smartphone di mia moglie! La prima volta che mi sono reso conto della situazione ho sorriso, pensando alla furbizia dell’algoritmo che, tracciando le ricerche… Leggi tutto »Insidie dei cookie

GDPR e privacy

Il consenso nel GDPR

Con le recenti linee guida del 28 novembre 2017, il WP29 si è soffermato sul tema delle condizioni per il consenso al trattamento dei dati disciplinate, in particolare, dall’art. 7 del GDPR. Il WP29 ha, innanzitutto,  posto l’accento sul fatto che il consenso rappresenta solo una delle possibili basi giuridiche previste dal GDPR per il trattamento dei dati, considerato che l’art. 6 GDPR (lettere da b a f) ne prevede altre cinque: esecuzione di un contratto; adempimento di un obbligo legale; interessi vitali dell’interessato; esecuzione di un compito di interesse pubblico o connesso con l’esercizio di pubblici poteri; legittimo interesse. E’, quindi, indispensabile che il titolare del trattamento si domandi sempre, nel caso concreto, se il consenso sia l’appropriata base giuridica del trattamento perché, in base alla lettura combinata dell’art. 6 e dell’art. 7 del GDPR, il trattamento dei dati… Leggi tutto »Il consenso nel GDPR

Business

Binding Corporate Rules secondo il WP29

Le Binding Corporate Rules (BCR) sono uno strumento previsto dal Regolamento UE 2016/679 (GDPR) volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi extra-UE, tra società facenti parti dello stesso gruppo d’impresa. Le Binding Corporate Rules si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) a cui sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate). Le BCR hanno lo scopo di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali. Il rilascio di un’autorizzazione al trasferimento di dati personali tramite le Binding Corporate Rules consente, pertanto, alle filiali della società multinazionale che ne abbia fatto richiesta, anche se stabilite in diversi Paesi, di trasferire, all’interno del gruppo d’impresa, i dati personali oggetto delle BCR,… Leggi tutto »Binding Corporate Rules secondo il WP29