il Garante ha precisato che le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.
Il Working Party 29 (WP29) ha recentemente pubblicato il suo “position paper” in merito al Registro dei trattamenti (i.e., “Registri delle attività di trattamento”) previsto dall’art. 30 del GDPR. Al Registro dei trattamenti ho già dedicato alcuni articoli (vi segnalo, ad esempio, “come si predispone il Registro dei trattamenti?” pubblicato nel febbraio 2018) per descriverne finalità e contenuti. Per quanto riguarda le finalità, ricordo che il Registro dei trattamenti permette di dimostrare documentalmente la conformità della propria organizzazione alle prescrizioni del GDPR perché consente: di sviluppare un’idonea analisi del rischio; di descrivere l’organizzazione aziendale sotto il profilo delle attività di trattamento a fini di informazione, consapevolezza e condivisione interna dei flussi di dati; di costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati, per garantirne la loro integrità, riservatezza e disponibilità. Il… Leggi tutto »Registro dei trattamenti: chi ne può fare a meno?
Le Binding Corporate Rules (BCR) sono uno strumento previsto dal Regolamento UE 2016/679 (GDPR) volto a consentire il trasferimento di dati personali dal territorio dello Stato verso Paesi extra-UE, tra società facenti parti dello stesso gruppo d’impresa. Le Binding Corporate Rules si concretizzano in un documento contenente una serie di clausole (rules) che fissano i principi vincolanti (binding) a cui sono tenute tutte le società appartenenti ad uno stesso gruppo (corporate). Le BCR hanno lo scopo di semplificare gli oneri amministrativi a carico delle società di carattere multinazionale con riferimento ai flussi intra-gruppo di dati personali. Il rilascio di un’autorizzazione al trasferimento di dati personali tramite le Binding Corporate Rules consente, pertanto, alle filiali della società multinazionale che ne abbia fatto richiesta, anche se stabilite in diversi Paesi, di trasferire, all’interno del gruppo d’impresa, i dati personali oggetto delle BCR,… Leggi tutto »Binding Corporate Rules secondo il WP29