Vai al contenuto

GDPR e Privacy

 

In questa sezione del blog trovate tutti i miei articoli dedicati alle PMI, con risposte e soluzioni concrete per l’applicazione delle norme del GDPR e, in generale, sul tema della protezione dei dati.

Come prevenire un data breach

Il Regolamento UE 2016/679 (GDPR) richiede alle imprese uno sforzo significativo per identificare e mettere in atto le misure, tecniche ed organizzative, più idonee per prevenire le violazioni dei dati trattati e mitigare al massimo il rischio di data breach a carico dei sistemi ICT aziendali. E’ importante comprendere che, in relazione al profilo della sicurezza, il GDPR non prevede più, come avveniva in passato, misure minime di sicurezza ma si basa sul principio di accountability del Titolare del trattamento (e del Responsabile) che deve, pertanto, individuare le misure realmente adeguate in funzione delle specifiche caratteristiche della propria organizzazione. L’impegno di prevenzione richiesto al Titolare del trattamento dal GDPR per fronteggiare possibili casi di data breach è, oggi, ancora più stringente in considerazione della crescita esponenziale dei fenomeni di cyber crime, che mettono a rischio sia il business delle aziende… Leggi tutto »Come prevenire un data breach

GDPR e privacy

Come si predispone il Registro dei trattamenti?

Più di un cliente mi ha chiesto come deve essere strutturato il Registro dei trattamenti (rectius, delle attività di trattamento) previsto dall’art. 30 del GDPR; quali requisiti deve rispettare e su chi incombe l’onere di verificare la sua regolare e corretta tenuta. Vediamo, quindi, in concreto, come le imprese devono procedere per rispettare i requisiti di legge. E’ opportuno premettere che il Registro delle attività di trattamento non è un obbligo che incombe su tutti in quanto il GDPR prevede l’esenzione dalla tenuta di tale documento per tutte le aziende che non raggiungono la soglia dei 250 dipendenti (salvo ipotesi particolari di rischio per le libertà individuali previste all’art. 30, comma 5, GDPR). L’obbligo di tenuta del Registro grava sul Titolare del trattamento (che lo può, comunque, delegare al Responsabile) e permette di assolvere all’onere probatorio di documentazione della conformità… Leggi tutto »Come si predispone il Registro dei trattamenti?

Insidie dei cookie

Ho deciso di dedicare un articolo al tema dei cookie dopo aver vissuto personalmente un’esperienza emblematica di come il monitoraggio dei dati di navigazione sul web possa portare ad una palese violazione della privacy di un individuo. Da qualche mese mi sono accorto che le ricerche on-line (e, in un caso, anche un acquisto) svolte da mia moglie sui alcuni siti di e-commerce tramite il suo I-Phone “rimbalzano”, sotto forma di banner pubblicitari, nelle applicazioni del mio smartphone Android. Addirittura, pochi giorni fa, un’immagine presente nella mia Galleria foto (salvata automaticamente da Whatsapp dopo averla ricevuta da un amico, che l’aveva copiata da un sito di e-commerce) è “magicamente” apparsa sotto forma di banner promozionale sullo smartphone di mia moglie! La prima volta che mi sono reso conto della situazione ho sorriso, pensando alla furbizia dell’algoritmo che, tracciando le ricerche… Leggi tutto »Insidie dei cookie

GDPR e privacy

Il consenso nel GDPR

Con le recenti linee guida del 28 novembre 2017, il WP29 si è soffermato sul tema delle condizioni per il consenso al trattamento dei dati disciplinate, in particolare, dall’art. 7 del GDPR. Il WP29 ha, innanzitutto,  posto l’accento sul fatto che il consenso rappresenta solo una delle possibili basi giuridiche previste dal GDPR per il trattamento dei dati, considerato che l’art. 6 GDPR (lettere da b a f) ne prevede altre cinque: esecuzione di un contratto; adempimento di un obbligo legale; interessi vitali dell’interessato; esecuzione di un compito di interesse pubblico o connesso con l’esercizio di pubblici poteri; legittimo interesse. E’, quindi, indispensabile che il titolare del trattamento si domandi sempre, nel caso concreto, se il consenso sia l’appropriata base giuridica del trattamento perché, in base alla lettura combinata dell’art. 6 e dell’art. 7 del GDPR, il trattamento dei dati… Leggi tutto »Il consenso nel GDPR

Business

Binding Corporate Rules secondo il WP29

Le Binding Corporate Rules (BCR) sono uno strumento previsto dal Regolamento UE 2016/679 (GDPR) volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi extra-UE, tra società facenti parti dello stesso gruppo d’impresa. Le Binding Corporate Rules si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) a cui sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate). Le BCR hanno lo scopo di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali. Il rilascio di un’autorizzazione al trasferimento di dati personali tramite le Binding Corporate Rules consente, pertanto, alle filiali della società multinazionale che ne abbia fatto richiesta, anche se stabilite in diversi Paesi, di trasferire, all’interno del gruppo d’impresa, i dati personali oggetto delle BCR,… Leggi tutto »Binding Corporate Rules secondo il WP29

categorie particolari

Qual è la vostra policy per la conservazione dei dati personali?

Uno degli adempimenti espressamente richiesti dal GDPR – con un significativo impatto sia dal punto di vista organizzativo (per la necessità di definire delle policy ad hoc) sia dal punto di vista tecnico, per gli interventi richiesti sui sistemi informatici aziendali – è quello legato alla definizione dei tempi di conservazione dei dati personali ed alla loro conseguente cancellazione al termine del periodo previsto per il trattamento. Per esperienza personale, questa previsione normativa coglie quasi tutti i miei interlocutori di sorpresa, generando in loro reazioni varie: di stupore, di incredulità e, per qualcuno, addirittura, di fastidio (quest’ultima sensazione coglie, per lo più, coloro che si prefigurano i costi). Quando, infatti, pongo al cliente la fatidica domanda (“dopo quanto tempo cancellate i dati personali conservati nei vostri database?”), nella migliore delle ipotesi mi rispondono un orgoglioso: “mai!“; il più delle volte,… Leggi tutto »Qual è la vostra policy per la conservazione dei dati personali?

L’ePrivacy europea del futuro

E’ noto che, nel gennaio del 2017, la Commissione Europea ha presentato una proposta di Regolamento (Regolamento ePrivacy) finalizzata ad aggiornare, modificandola, la Direttiva 2002/58 (Direttiva ePrivacy) per uniformare a livello europeo la disciplina del trattamento dei dati personali nelle comunicazioni elettroniche, quale fisiologico completamento della disciplina introdotta dal GDPR. Il Regolamento ePrivacy dovrebbe essere approvato in tempo utile perché entri in vigore contemporaneamente al GDPR, cioè per il 25 maggio 2018. La bozza del Regolamento ePrivacy ha già raccolto i pareri (sostanzialmente favorevoli) del Gruppo di lavoro Articolo 29 (parere WP29 n. 1/2017 del 4 aprile 2017) e del Garante Europeo per la protezione dei dati (parere GEPD n. 6/2017 del 24 aprile 2017) ma l’iter di approvazione sta subendo ritardi significativi perché i principali attori della rete (i cosiddetti “Over The Top” o “OTT”), stanno esercitando forti pressioni per “ammorbidire”… Leggi tutto »L’ePrivacy europea del futuro

Risk-based approach e GDPR

Uno dei principali compiti posti a carico del titolare del trattamento dal GDPR è quello di vagliare i rischi sottesi alle attività di trattamento dei dati personali: il risk-based approach si pone, quindi, come prerequisito per l’individuazione delle misure tecniche e organizzative adeguate richieste dall’art. 24 per dimostrare il corretto trattamento dei dati personali da parte delle aziende. L’approccio mentale orientato al c.d. risk based thinking è sempre più indispensabile: basti pensare allo standard ISO 9001:2015, che prescrive l’analisi dei rischi in capo ad ogni processo organizzativo, in relazione al contesto ed alle esigenze di volta in volta interessate. Ciò significa che le aziende devono essere in grado di valutare costantemente, per ciascun processo produttivo ed organizzativo, i rischi provenienti dalle fonti interne ed esterne. In materia di data protection, il Garante italiano, trattando il tema del documento programmatico di sicurezza… Leggi tutto »Risk-based approach e GDPR

GDPR e privacy

La valutazione di impatto (DPIA) secondo le linee guida del WP29

In base all’art. 35 del GDPR, quando si è in presenza di una tipologia di trattamento dei dati personali che – per l’uso di nuove tecnologie o per la natura, l’oggetto, il contesto o le finalità del trattamento – può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare preventivamente una valutazione di impatto dei trattamenti (Data Protection Impact Assessment – DPIA) previsti sulla protezione dei dati personali. Sull’argomento è recentemente intervenuto il Data Protection Working Party ex art. 29 (WP29), aggiornando le proprie Linee Guida proprio allo scopo di offrire un’interpretazione uniforme delle situazioni in cui, in base al GDPR, si deve ritenere integrato il requisito del “rischio elevato per i diritti e le libertà delle persone”. Il WP29 ha, innanzitutto, chiarito che il DPIA è un importante strumento… Leggi tutto »La valutazione di impatto (DPIA) secondo le linee guida del WP29

GDPR e privacy

Anonimizzazione dei dati personali

E’ noto che l’art. 4 del Regolamento UE 679/2016 (GDPR) definisce dato personale “qualsiasi informazione riguardante una persona fisica identificata o identificabile“ e che il requisito dell’identificabilità si ravvisa quando una “persona fisica può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online, uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Da tale definizione discende il corollario che il dato anonimo, cioè l’informazione che non si riferisce ad una persona identificata o identificabile o quel dato che è stato reso sufficientemente anonimo da non consentire più l’identificazione del soggetto, non cade sotto la disciplina del GDPR (così dispone, in modo esplicito, il considerando n. 26). Occorre, pertanto, domandarsi quando un dato può ragionevolmente considerarsi anonimo? E’ notizia… Leggi tutto »Anonimizzazione dei dati personali

GDPR e privacy

Chi assicura il DPO?

L’art. 37 del Regolamento UE 679/2016 (GDPR) prevede la nomina obbligatoria di un Data Protection Officer (DPO) in tre casi: quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico; quando le attività principali consistono in trattamenti di dati che, per loro natura, ambito, applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; quando le attività principali consistono nel trattamento su larga scala di dati sensibili, genetici, giudiziari o biometrici. La figura del DPO, novità introdotta dal GDPR, ha acceso moltissimi dibattiti in merito alle caratteristiche che dovrà avere questo “specialista” che, secondo l’art. 37, comma 5 del GDPR, dovrà essere individuato “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, delle capacità di assolvere ai compiti di… Leggi tutto »Chi assicura il DPO?

GDPR e privacy

Il danno reputazionale nell’era del GDPR

Il concetto di reputazione non è certamente nuovo al diritto, ma l’avvento del web e dei social media ha enormemente ampliato le occasioni di una sua lesione, con conseguente danno per le aziende. La reputazione è tradizionalmente definita come la considerazione di cui un individuo gode nell’ambiente sociale in cui vive ed opera; per quanto riguarda le persone giuridiche, già da tempo la Suprema Corte di Cassazione ha sancito la risarcibilità, ex art. 2043 c.c., della lesione della reputazione commerciale (la cosiddetta brand reputation) dell’impresa che subisce un danno di immagine per il fatto di un proprio dipendente o di un dirigente o, ancora, di un concorrente. Nell’era del web, la nozione di danno alla reputazione commerciale si è evoluta o, se vogliamo, ha trovato la sua maturità: “la reputazione è fondamentale, sia essa riferita alla persona (Personal Reputation) o a un’azienda… Leggi tutto »Il danno reputazionale nell’era del GDPR

GDPR e privacy

L’adeguamento dell’informativa privacy alle prescrizioni del GDPR

Il Regolamento UE 679/2016 (GDPR) impone a tutti gli operatori di riesaminare, quanto prima possibile, il modello di informativa attualmente in uso perché, dal 25 maggio 2018, il GDPR prevede una serie di cambiamenti a tale documento, alcuni dei quali molto importanti ed indifferibili. Cosa cambia, esattamente, dal 25 maggio 2018? Cerchiamo di fare sinteticamente il punto, anche alla luce delle prime indicazioni offerte dal nostro Garante Privacy. Il GDPR ribadisce, in primo luogo, in linea di continuità con il passato, che l’informativa deve essere concisa, trasparente, intelligibile, facilmente accessibile e deve usare un linguaggio semplice e chiaro. L’informativa può essere rilasciata all’interessato anche in formato elettronico (art. 12), che è da preferirsi al formato cartaceo anche se questa seconda modalità, comunque, rimane un’alternativa valida e consentita. Indipendentemente dal mezzo (tradizionale o elettronico) scelto per fornire l’informativa, è fondamentale che il titolare del trattamento possa sempre dimostrare di… Leggi tutto »L’adeguamento dell’informativa privacy alle prescrizioni del GDPR

GDPR e privacy

Il nuovo Regolamento UE in materia di privacy (GDPR) entra in vigore il 25 maggio 2018: siete pronti?

Dall’inizio dell’anno si susseguono interventi della stampa, anche specializzata, che evidenziano un importante ritardo delle aziende italiane nell’adeguamento alle nuove norme in materia di privacy introdotte dal Regolamento UE 679/2016 (General Data Protection Regulation – GDPR) che entrerà in vigore, in tutti gli Stati Membri, il 25 maggio 2018. Già nel mese di gennaio veniva segnalato che, a distanza di oltre un anno dall’approvazione del GDPR  “le aziende italiane non conoscono il nuovo Regolamento” (così il sito Innovationpost.it che, a sua volta, richiamava dati pervenuti anche da altri osservatori) e che “la consapevolezza delle imprese sull’argomento è limitata: al momento, solo un’azienda italiana su cinque ne conosce nel dettaglio le implicazioni e solo il 9% ha avviato un progetto per adeguarsi alla normativa”. La situazione non sembra essere significativamente migliorata neppure nei mesi successivi se si considera che, ancora a metà giugno,… Leggi tutto »Il nuovo Regolamento UE in materia di privacy (GDPR) entra in vigore il 25 maggio 2018: siete pronti?