Che lo vogliate o no… E’ arrivato il GDPR! (Parte 1)

Allora ci siamo.

Dal 14 Aprile 2016 finalmente è stato ratificato il nuovo Regolamento Europeo sul Data Protection (GDPR). E’ stata cosi laboriosa la gestazione e cosi estenuante il travaglio di parto che mi viene alla mente il Big One californiano. Il presunto mare e terremoto che tutti hanno aspettato dall’inizio del secolo dopo quello del 1906 e che non si è mai verificato ma tutti sanno che accadrà e affosserà nella crosta terrestre la California.
In effetti quello del 1989 non è stato una cosa da poco … ma torniamo a noi

PrivacyInCloud
Sono passati diversi decenni dalla Direttiva Europea del 1995; da lì in poi la Legge 675, il DM 318 del 1999 e infine il Dlg.vo 196/2003. In ognuno di questi passi si è cercato di normare seguendo le esigenze e le stringenze della evoluzione tecnologica.

Si è passati dall’era dei fax a 200dpi al Cloud Computing nell’era del BigData degli IoT e della CyberSecurity. In 20 anni quello che nella fisica è successo in un secolo passando da quella newtoniana a quella quantistica, dal pezzo di ferro agli ologrammi, dal mezzo trasmissivo di rame a wi-fi/GPS, dal codice su scheda perforata alle Apps che girano nello smatphone senza che neppure se ne abbia consapevolezza.

Eppure, nonostante questo salto dimensionale e funzionale globale, in fondo i principi ispiratori della Carta di Nizza, da cui la prima direttiva era derivata, sono gli stessi che troviamo oggi in questo nuovo GDPR.

In questo primo articolo riassumo schematicamente soltanto in modo preliminare, alcuni elementi rilevanti e dirompenti; come sempre è stato per le rubriche da noi curate, i contenuti di ogni singola tematica saranno approfonditi e aggiornati con gli specifici pubblicazioni. Non è concepibile esaurire le molte problematiche dell’esteso articolato della Riforma. Interi seminari e copiose pubblicazioni sarebbero necessari anche solo per uno dei molti argomenti influenzati dal GDPR; si pensi al mondo della Sanità e del fascicolo elettronico, alla Identificazione Univoca Digitale, al Data Retention, l’universo del Cyberspace e le veicolazioni di transazioni IoT, BlueTooth, WI-FI e i BYOD promiscui.

L’ordine con il quale commento non è da interpretare secondo priorità. Non esiste infatti un aspetto più critico di altri perchè non esiste un criterio unico per la miriade di attività produttive e di servizi che dovranno adeguarsi. Sia che abbiamo già un ottimo Sistema Privacy sia che comincino dalle fondamenta rischivendone uno isperato alla privacy By Default e By Design.

Ogni azienda ha una proprio situazione ICT, un campo di applicazione e una tipologia di trattamento dati diversa da qualunque altra. E’ la combinazione di molte variabili di impresa che determinerà il Sistema Data Protection Aziendale (SDPA), e la prima considerazione che ne discende è che non esiste un ciclostile per il Manuale del sistema di Data Protection (MDP); ma le persone serie sanno che anche prima con il Dlg.196/03 questo era vero.

REGOLAMENTO NON DIRETTIVA
Prima di tutto invito a riflettere che si tratta di un Regolamento e non di una Direttiva!
La più banale delle considerazioni di questo pertiene la sua applicabilità. In effetti le direttive sono nate con la Comunità Europea quando ancora il Parlamento e il Consiglio avevano compiti settoriali distinti.
La direttiva aveva tipicamente due anni di aspettativa prima di essere recepita dai paesi membri. Con ciò si intende che poi le singole legislazioni locali, intraprendevano un percorso legiferativo, ognuna con i propri iter parlamentari e tempi attuativi.

Il Regolamento è valido in tutti gli stati membri subito, nello stesso modo e allo stesso tempo. Semplicemente, sono previsti due anni dalla ratifica perchè diventino cogenti le sue prescrizioni; in sintesi, a fronte di controlli delle autorità e/o controversie legate agli adempimenti non conformi, si è esposti al sistema sanzionatorio.

UNIFICAZIONE E SOSTANZIALITA’
Essenzialmente il GDPR univica il mondo della Privacy (trattamento e protezione dei dati personali) con quello della Sicurezza Informatica (ICT-SEC). Questa messa a fattor comune di due ambiti intimamente correlati e mutuamente dipendenti è in realtà una cosa antica e ha vissuto negli ultimi due anni nella miriade di provvedimenti da parte della Autorità Garante, da Rodotà, Pizzetti e attualmente Soro, che ha sempre cercato di contenere l’enorma disattenzione e sprovvedutezza tipicamente italiane delle aziende tenute alla conformità e dei potenziali “interessati”, coloro che dovrebbero beneficiare della protezione dei dati personali.

Il termine Privacy non è più elettivo e si è diluito nella più grande accezione del termine Data Protection. In effetti la protezione è un concetto che implica Sicurezza (fisica, logica e di gestione), Confidenzialità, Continuità, Diritto all’Accesso, anti-contraffazione, non repudiabilità, Identificazione Digitale Univoca, Disponibilità, tutela dal furto di identità,

iftOgnuno di questi elementi è una disciplina per il quale sono scritti e saranno scritti volumi interi quindi il GDPR ha comportato uno sforzo enorme di armonizzazione e unificazione normativa, prescrittiva e multidisciplinare. Accanto a questo non ignoriamo la lunga attesa dovuta anche alle attività degli interessi lobbistici ma ne scrivo altrove.

Una seconda parola chiave è la Compliance che è collegabile a due standard internazionali ISO 19600 (l’approccio sistemico alle “obligation”) e la ultima ISO 9001 che comporta  il coinvolgimento degli stakeholder (il Regolamento è parte degli interessi) e l’analisi dei rischi (requisito innovativo del nuovo Regolamento formalizzato come modello di risk assessment e management assimilabile alla famiglia delle ISO 3100x).

Per l’ambito giuridico i cambiamenti sono molto evidenti, l’indirizzo è quello di una  responsabilità che coinvolge sempre di più l’organizzazione come soggetto (approccio della responsabilità “penale” dell’impresa presente stabilmente dal 2001 con il Dlg.231/01. L’ OdV (organismo di vigilanza) implicito nelle prescrizioni legali, recependo una logica della applicazione delle buone pratiche e quelle di riferimento ISO27001 e la BS 10012, dovrebbe altrettando implicitamente annoverare al suo interno la fidura del DPO introdotto dal GDPR (vedi avanti “La finta questione de DPO”).

THE VERY FIRST GLIMPSE
Il titolo di quest paragrafo è provocatoriamente in inglese, perchè si allude al fatto che già dalle prime traduzioni del testo GDPR originale (peraltro il primo in assoluto è in francese), si è avuta la sensazione che alcune porzioni, soprattutto quelle di carattere prescrittorio e legale, avressero quello che internazionalmente è noto come “missing in translation” e che qui in Italia chiamiamo “discrasia”. Detto in termini estremamente riassuntivi, ci sono alcuni articoli che per essere bene interpretati e attesi, è meglio siano studiati dall’inglese. Peraltro, in molti dei 28 paesi della UE, si adotta direttamente il testo della versione inglese (n.d.r.).

Globalmente considerata l’intera “faccenda” è diventata molto meno formale e più sostanziale! Con ciò si intende che sono finiti per sempre i tempi della Privacy comprata a chili di carta. Ispirata alle normazioni contrattuali volontarie, ISO e BSI per citare quelle internazionali storiche, il GDPR deve essere atteso, attuato e dimostrabile con fatti e non solamente qualche foglio di carta.

Quando il GAT (nucleo speciale della GdF) effettuasse una ispezione, ovvero in sede di controversia (denuncia di terzi alla Autorità), non è più sufficiente mostrare una generica informativa, qualche foglio firmato dai dipendenti e un presunto manuale di 10 pagine che ricorda più ad una Carta di Servizi nella home di un sito di una clinica privata.
Si dovrà avere una chiara distribuzione delle nomine e delle designazioni dei ruoli del SDPA, un credibile e pertinente documento di valutazione dei Rischi e degli Impatti (cosidetto Privacy Impact Analisys, PIA), Piano di informazione e formazione attuato, provabile e aggiornato, una politica di qualificazione delle forniture ICT a mezzo di SLA e PLA, un piano di Audit effettivo e comprovabile da terzi, se adottata la strutturazione e l’inquadramento di un Data Protection Officer (DPO), il Disciplinare interno con eventuali certificazioni del Data Center on Premise (ISO20000 per i servizi e ISO27001 per la sicurezza della infrastruttura dei Sistemi Informativi). Naturalmente citiamo a braccio, ma la lista sopra non è esaustiva!

 

NOTIFICAZIONE NO, ANZI SI
E’ vero ! Non esite più la prima Notificazione presso il Registro del Garante a Piazza Monte Citorio. Tuttavia, forse un onere più impegnativo, è previsto che una azienda si doti di un impianto strutturale (sia formale, che procedurale) per far fronte alla tempestiva Notificazione del cosidetto Data Breach.

In definitiva, la Notificazione storica è solo sostituita da quella per la Sicurezza Informatica e Telematica. In sintesi, le società devono dotarsi di un sistema di gestione delle evenienze avverse di danni informatici. Non tanto e solamente per prevenirli, quanto nella escalation di valutazione di un indicente informatico del quale devono entro una settimana avvisare l’Autorità di riferimento e tutti gli Interessati i cui dati sono stati (anche solo presumibilmente) coinvolti nell’incidente. Vediamo meglio nel caso parliamo di operatori del settore delle comunicazioni elettroniche e successivamente presente in diversi provvedimenti specifici riguardanti per esempio la biometria, la condivisione di banche dati particolarmente ampie tra soggetti pubblici, le tutele dei dati sanitari contenuti nel dossier sanitario elettronico.

Nel Regolamento Art. 32 Bis, si adotta il concetto di adempimenti conseguenti ad una violazione di dati personali che coinvolge in modo diretto anche i fornitori di servizi di comunicazione elettronica accessibili al pubblico; tutti hanno l’obbligo della comunicazione all’Autorità Garante di eventuali violazioni di dati personali da essi conservati. Laddove esista poi il pregiudizio ai dati personali o alla riservatezza di un contraente o di altra persona, questi dovranno essere avvisati dell’avvenuta violazione anche se solo per pregiudiziale nocumento.  Il “Provvedimento in materia di attuazione della disciplina sulla
comunicazione delle violazioni di dati personali” già indica :
a) un termine di 24 ore per fornire all’Autorità le prime sommarie informazioni con la possibilità di estendere a ulteriori 3 giorni l’integrazione di eventuali notizie utili;
b) l’istituzione di un registro in cui annotare le violazioni;
c) le modalità di compilazione del modulo di notifica formato da ben 17 punti.

Quindi  già dal 2015 anche le pubbliche amministrazioni che detengono banche dati di  grandi dimensioni a cui possono legittimamente accedere plurimi soggetti pubblici, devono comunicare al Garante, nelle 48 ore dalla conoscenza del fatto, le violazioni occorse ai dati  personali detenuti e gli incidenti informatici. Tutti gli altri hanno 72 ore.

TUTTO SCHIACCIATO E SEMPLIFICATO, FORSE…
Una delle parole chiave molto di moda non solo per la Privacy, ma anche per molti altri ambiti legislativi parlamentari è quella della “Semplificazione”. In effetti anche per il nuovo Regolamento, alcune semplificazioni possono essere identificate… Attenzione però, che non necessariamente una semplificazione rende più “semplice” l’attendere gli adempimenti. Ciò che sicuramente si è semplificato è lo stile di emanazione degli articolati che secondo la tendenza internazionale, mira non tanto alla legiferazioni dettagliate di “cosa” si può e di “come” si deve fare riferendosi a tabelle prescrittive definite; piuttosto, cosi come accade con le linee guida (Guide Lines), le norme di buona operatività (good practisies) e le pratiche dovute (due diligence) indicano le direttive di condotta e i criteri da soddisfare per conformarsi ai requisiti di legge e agli adempimenti sul campo.

Uno tra i molti aspetti precocemente riscontrabile di questa filosofia riguarda la semplificazione della gestione delle nomine e delle deleghe dei soggetti e dei ruoli all’interno di un SDPA. In un certo senso ci si emancipa verso una semplificazione della articolata gerarchia fatta di Titolari del Trattamento, Responsabili del trattamento (esterni nel caso di fornitori), gestori delle chiavi, amministratori di sistema (interni o esterni), operatori del trattamento verso due fondamentali soggetti : Data Controllers e Data Processors.etica
Non conviene pensare di tradurli, tanto nel manuale del SDP converrà citarli cosi anche inconsiderazione della internazionalizzazione delle procedure (vedi più avanti “Dove vanno i dati transfrontalieri ma soprattutto da dove vengono“)

Altra cosa che non conviene interpretare è che sia tutto quì. A parte il caso del DPO di cui parliamo dopo, comunque occorreranno gli Amministratori di Sistema come figure se stanti, ma, nel caso di una terzializzazione di servizi ICT (Es. Cloud SaaS, PaaS, Sec-aaS, Storage-aaS ecc.) diventano Joint-Controllers (precedenti co-titolari). Peraltro, un corretto inquadramento negoziale dell’istituto del Joint Controller
rispetto ai trattamenti condivisi, se non vissuto solamente come prescrizione legale per i gruppi di imprese, è una occasione per definire responsabilità specifiche sui dati, e potrebbe rappresentare un vantaggio competitivo strategico per le corporates.

La cosa rivoluzionaria è che in caso di controversia (denuncia di un Interessato), danno informatico ai dati o di breccia/intrusione ICT queste figure, siano esse interne alla organizzazione o società esterne saranno congiuntamente responsabili e perseguibili ai fini della comminazione di sanzioni.

Questa si che è una entusiasmante nuova prospettiva…

 

 

DOVE FINISCONO LE AUTORITA’ NAZIONALI?
Alle organizzazioni che trattano dati personali, di qualunque classe e dimensione, saranno concessi due anni per adeguarsi. Questa è la notizia più direttamente connessa con la domanda frequente posta dalle aziende che negli ultimi anni ha aspettato la Riforma Europea : ma che fine fanno le Autorità a livello Nazionale?

GDPRNonostante le profonde e storiche diversità tra gli Stati membri, in maniera idiosincratica l’Europa si appresta ad avere nuove norme ancora più uniformi in materia di circolazione dei dati personali e la concertazione tra autorità nazionali, come conferma anche il piano
d’azione per il 2016 annunciato ad inizio febbraio dall’art. 29 Working Party (WP29).
Il piano prevede, tra i vari punti, la costituzione di una task-force WP29- European Data Protection Board (organo di coordinamento delle autorità Garanti nazionali), nonché l’implementazione di sistemi informatici nell’ambito del c.d. One stop shop (sportello unico).

Molta importanza ha il ruolo che le Autorità locali avranno nel periodo di inter-regno di validità delle precedenti versioni nazionali fino al decorrere della cogenza vera e propria del nuovo European Regulation. Nel proprio Paese, le autorità avranno ampia facoltà di emanazione di provvedimenti e norme di interpretazione e applicazione dell’articolato nel GDPR. Ad esempio in merito agli obblighi distinti tra Pubblico e Privato nella nomina obbligatoria del DPO sulla base di trattamenti di dati particolarmente sensibili.

 

 

LA FINTA QUESTIONE DEL DPO
Quella del Data Protection Officer è una questione molto controversa e decisamente non chiara. Diversamente da molti altri adempimenti esplicitamente cogenti e mandatori, questo è stato discusso per anni. Più che per un problema di accountability, il DPO rappresenta un problema nel caso di trattamenti “particolari” (quelli che prima erano i dati sensibili) e nelle organizzazioni disseminate e dipartimentalizzate. Non è solo un risparmio economico, piuttosto la necessità di una competenza interdisciplinare e terza che in prima approssimazione ricorda il ruolo dell’ Auditor Interno e/o il Responsabile AQ di un Sistema di Qualità e Sicurezza in ambiente ISO.

turistaNella prima fase di elaborazione del GDPR, il DPO fu pensato come indispensabile, poi ci si è resi conto del fatto che questo Cristo deve conoscere tutte le normazioni europee, essere un esperto di leggi e di giurisprudenza (Es. Dlg231/01), essere certificato in almeno tre ambiti di Sicurezza Informatica (IT-ISO27001/ISO20000, Cyber Security e Risk Analysis NIST-CLUSIT, Cloud Computing – CSA/ENISA, Gestione di Processo – ITIL/CoBIT), essere un esperto certificato di progettazione e analisi dei rischi, deve essere esperto di docenza e formazione, deve essere terzo rispetto alla Proprietà aziendale più un’altra decina di expertise secondarie solo in ordine di excursus professionale per Sistemi di Qualità e Sicurezza.
Una simile profilazione individua qualcosa come 4 o 5 persone in tutta Italia, e se esistono si  tratta di persone che su LinkedIn troviamo felicemente accasate all’interno di una organizzazione. Difficilmente, passerebbero al mondo del libero professionismo per girare come trottole e guadagnare molto meno.
Insomma, l’adozione di un DPO è definita non mandatoria ma raccomandabile ed eventualmente figura giuridica esterna.

A livello di comunità europea (Parlamento, Consiglio e Commissione o Trilogo), per un certo periodo gli emendamenti controversi hanno riguardato i DPO e le discussioni sembravano orientate a rendere questa figura mandatoria in ragione della dimensione della organizzazione (tipo numero di dipendenti), ma è stato fatto notare di come alcune attività di agenzia (Per es.: Centrali di rischio o studi di investigazione ), seppure con pochi dipendenti può effettuare controlli estremamente critici e dannosi sui dati personali. Quindi ha preso piede la metrica basata sulla quantità di records detenuti. Ma anche  in questo senso si andava incontro a discriminazioni ed elusioni irragionevoli.

TrioPrivacyInsomma alla fine il DPO si è reso facoltativo a discrezione del Data Controller (principale nel caso di joint Controllers).

Di fatto un DPO potrebbe essere indispensabile per una azienda che habbia un Data Center intramurale (on premise), in quanto più efficace ed economico rispetto alla consulenza di una delle Big Four o di un lungo percorso certificativo che comunque non può garantire dalle prescrizioni legali. Si legga, non è che perchè abbiamo una certificazione ISO9001 significa che scongiuriamo le sanzioni del GDPR.

Il DPO è un finto problema perchè in realtà rappresenta un vantaggio competitivo per la società risolvendo e armonizzando ambiti legislativi, progettuali e di governo della Informatica e integrando gli obblighi delle normazioni di compliance.

 

MA QUANTO MI COSTA E COSA RISCHIO
Questa è la domanda che tutti noi consulenti ci sentiamo fare dai clienti. E va suddivisa su due voci di costo : quella del disegno, della progettazione e della implementazione di un nuovo SDPA e quella della esposizione nel caso di sanzione.

gatLa seconda preoccupazione è piuttosto banale da chiarire. Tutte le cifre precedenti sono più che raddoppiate. Sono cioè possibili multe milionarie in quanto si è inteso valutare la rilevanza del danno provocato più che la solita considerazione amministrativa (che peraltro non ha funzionato mai come terrorismo minatorio presso le società). Per un senso di pudore dell lobby che hanno condizionato il Trilogo, si è concesso che nel caso delle multinazionali, a discrezione del giudice, per avere un conclamato effetto di deterrenza, si può arrivare dino al 4% dell’ultimo fatturato dichiarato a bilancio societario. E’ cioè sensibilizzata anche la multi-nazionale ala quale pagare qualche migliaia di Euro non cambia molto.

Forse perchè consulente, penso al mio primo Disciplinare Tecnico e DPS nel 1998 per una Clinica Privata nelle campagnie del Piacentino, mi concentro sui costi di realizzazione di un Sistema di Data Protection aziendale (SDPA).
Come spiegato in incipit, un sistema privacy non è ciclostilabile, soprattutto perchè i controlli saranno orientati alle verifiche sui sistema ICT :  procedure di backup, misure di protezione perimetrale, formazione specifica per ogni ruolo, controllo delle forniture ICT, dove presente della compliance della impiantistica anti-intrusione e videosorveglianza per citare le prima a mente.

Ulteriore considerazione generale causale rispetto al precedente punto, il fatto che la tipologia di trattamenti (cartacei, digitali, DB distribuiti o pubblicati), la classe della dotazione informatica e delle piattaforme software utilizzate (LAN,WAN BladeSystem, virtualizzazione ecc), le finalità del trattamento (Legali, profilazione ecc.), il trasferimento e la condivisione con l’esterno dei dati (scambio transfrontaliero), l’ambito del processo di business (e-commerce, pubblicitario, assicurazioni, produzione, servizi ICT ecc.) rendono non plausibile pensare ad un lavoro uniforme e ripetitivo.

tuttofareChe sia nominato DPO o si conporti come fornitore di prestazione consulenziale, un professionista deve svolgere attività comparative e multi disciplinarie di GRC (Governance, Risk and Compliance management).

Quindi per esaurire in modo riassuntivo, il costo e la quantità di lavoro consulenziale e di affiancamento, se possibile è decuplicato rispetto ai precedenti Sistemi Privacy. E che non sembri paradossale, ma questo è dovuto proprio al fatto che non si chiede più di avere una postura formale cartacea, ma un effettiva e attuata pletora di procedure e istruzioni operative comprovate e comprovabili di Sicurezza Informatica. Come abbiamo visto sopra nel paragrafo della Notificazione, per rendere obbligatoria e non eludibile questo ultimo adempimento si è previsto un articolato specifico per il rispetto del provvedimento sul Data Breach. Era in realtà previsto da prima con il Dlg.196/03, ma ora è posto alla stregua della Informativa e del Consenso al trattamento.

 

L’ARTICOLO 17 E IL DIRITTO ALL’OBLIO
La questione tanto dibattuta del diritto all’oblio è apparentemente legata ad uno scontro ideologico della civiltà delle persone come individui nei confronti del cyberspace. In merito all’indiscutibile posizione che sia o meno giusto, esauriamo la discussione dicendo semplicemente che si tratta di una ipocrisia, vissuta in quella linee di confine mai definita tra l’esigenza della tutela del singolo e il diritto di sapere de molti.

Affrontiamo in vece secondo lo spirito molto pratico di questo articolo mirato a capire cosa operativamente comporta l’adozione del Data Protection.

E’ sempre esistito il diritto dell’interessato all’esercizio dell’Art. 7 del Dlg.196/03 per la richiesta di accesso ai propri dati, al loro aggiornamento… Adesso è del tutto esplicito che l’interessato (chiunque) possa rivolgersi ad una organizzazione richiedendo in qualunque momento la completa, definitiva e retrospettica cancellazione dei dati che lo riguardano.

Chi sa’ cosa comporta la gestione di grandi repertori di DataBase, può incorrere in uno svenimento!!! Pensiamo cosa accadrebbe se tutti scrivessero ad una qualunque delle istituzioni pubbliche.

L’ARTICOLO 18 E IL DIRITTO ALLA PORTABILITA’

Non a caso dopo l’oblio (Art.17), troviamo l’articolo successivo relativo alla portabilità
Ci sarebbe un discorso molto articolato, soprattutto di natura giurisprudenziale, ma per farla breve e sempre coerenti con lo spirito riassuntivo di questa pubblicazione, una società deve approntare dimostrabili procedure che attestano come, a fronte della richiesta di cancellazione dagli archivi, è in grado di effettuarla dandone peraltro riscontro in tempi veloci ed in formati standardizzati fruibili secondo portabilità da un Interessato.
La esigenza di standardizzare formati fruibili in risposta alla richiesta di un interessato è finalizzata e finalizzabile alle esigenze di portabilità
Si intende con ciò la facoltà di conservare un proprio record di dati personali spostandolo da un repertorio ad un altro.

 

Nella migliore delle pochissime policies ufficialmente documentate, i grandi player danno la possibilità di esportare dei dati (CSV,XLM,ASCII o simile), ma con metriche di tracciato record del tutto arbitrarie… Quindi, come sempre è stato nell mondo dei DBs, gli oneri sono sempre dalla parte della struttura recipient. Che equivale a dire, tutti affari dell’ Interessato… Se vuole portarsi via i dati ne faccia quello che crede con chi gli pare.

Di questo, e molte altre cose, potremo solo etologicamente osservare la evoluzione ! Al momento nessuno sa’ cosa potrà realisticamente succedere perchè anche in un mondo come quello del Cloud Computing, di fatto la portabilità è pressocchè mitologia.

 

continua nella Parte 2

 

 

 

Annunci

Non esiste la Privacy certificata, ma voi dovete essere certificabili

Quella della Certificazione Privacy è una dei tanti temi male interpretati e misdiretti a causa della sindrome da divulgazione e disseminazione con cui è permesso anche a incompetenti di fare “informazione”.

Purtroppo, con il pretesto di svolgere una importante funzione sociale, il tema della Privacy e della Protezione dei dati viene pubblicata in inutili trafiletti (per lo più riportati da altri trafiletti), anche nelle riviste di maglia e cucito per donne sole. Un quadro se possibile ulteriormente esasperato dall’avvento del decreto di coordinamento ed integrazione che ha novellato il Codice privacy: il Dlg.101/2018 del 19 Settembre 2018

Per gli addetti ai lavori che conoscono la materia, la triste conferma della sindrome della “impermanenza di senso” tradizionalmente italiana. In parole aforistiche:

Tutti dicono di sapere <cosa> fare, nessuno spiega <come>!

Questo non riguarda solo la Certificazione ma un po’ tutta la rivoluzionaria compagine di Principi e Criteri fondanti la materia della Protezione dei Dati così come Riformata dal GDPR/16/EU, in Italia il Regolamento 679/16.

Pensiamo alla “Accountability” (Rendere conto di… e non responsabilizzazione), alla “Data Breach“, al “Legitimate Interest“, “D-PIA“, la Privacy “By Design & By Default” per citare i più rilevanti. 

Il grado di superficialità e disattenzione a questa rivoluzione culturale per le aziende italiane, è pari solamente alla preoccupazione con la quale imprenditori e loro managers a vario titolo coinvolti nella responsabilità del Sistema Privacy aziendale, cercano solo di eludere gli obblighi e gli adempimenti pensando che, come in passato, basterà avere qualche firma di consenso e qualche foglio di nomina… 

Non è più una questione formale ma sostanziale!

Veniamo al punto del post e ci sia perdonata la drasticità dello stile da Blogger e non da narratore. Non è plausibile per le aziende risolvere con una Certificazione semplicemente perché

La certificazione Privacy non esiste!

Non solo, anche se in azienda ne avete già una ISO (che si tratta della famiglia 9000, 14000, 20000, 27000, 18000 ecc ecc.), questo non vi manleva dagli adempimenti del Regolamento 679/16. Soprattutto dal 19 Settembre sopra citato!

E’ però ragionevole pensare di sfruttare l’investimento in Qualità e Sicurezza per economizzare dei costi della Privacy. Se operate seriamente gli impegni economici potrebbero essere contenuti a poche migliaia di euro di HW, qualche centinaio per un po’ di licenze SW!!!

Se poi il vostro consulente Privacy (che non deve e non può essere un DPO), è anche un esperto, allora vi proporrà un Sistema di Privacy e Protezione dei Dati (SPPD) il cui manuale non sia cartaceo ma elettronico/digitale e, soprattutto, sia compatibile e integrato con il vostro preesistente sistema SQS ISO, grazie ad uno schema Privacy 4.0.

Non volete aggiornare il vostro modello Impresa 4.0, aiutatevi con la Privacy 4.0 perchè sarà sufficiente essere certificabili e non occorre essere certificati.

Chi scrive  ha usato consulenzialmente uno schema di Audit Privacy TQM già dalla prima direttiva 46/EU/95 perché applicare un metodo SQS ispirato al Ciclo PDCA, è semplicemente l’unico modo unificato per la Industri 4.0; non è infatti casuale che dal 2015 la stessa ISO ha creato l’Annex SL ( Index HLS, Indice di Alto Livello di Struttura).

Non è plausibile pensare anche solo di intraprendere una introduzione alla tematica, ma sempre più manager e imprenditori cominciano a farsi domande e cercano soluzioni come quelle proposte in Italia da alcune agenzie di consulenza e/o grandi produttori.

Tutti hanno quella che definiscono “Soluzione Privacy”

In ogni caso, non serve una Certificazione Privacy, ma averne una in casa semplifica e fa risparmiare la compliance con il Regolamento e scongiura la esposizione al sistema sanzionatorio che dal 19 Settembre ha introdotto 4 nuovi reati privacy che possono portare al penale e alla detenzione da 3 a 6 anni.

Articoli e contenuti sullo schema di Audit TQM per la Privacy 4.0 sul sito del consulente

Consultate i termini di utilizzo e di manleva nella informativa sul sito dell’autore


Presentazione corso sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Salvo Reina

CaimansT22ore - Copia

 

Dopo il 101/2018 – Se mi chiedono il Registro dei Trattamenti? …e se vi ferma la Polizia Stradale e vi chiedono la patente?

Se vi ferma la Polizia Stradale vi chiede “patente e libretto” (una volta anche il tagliando della assicurazione se non era esposto in bella mostra… Adesso il nuovo Codice della Strada usa le banche dati!)

Beh, se avete una ispezione del GAT prima di tutto mostrate il Registro, anzi, i Registri dei Trattamenti…

Tutto è dettagliato nell’art. 30 del Regolamento n. 679/2016 derivato da quello europeo GDPR/EU/2016 (di seguito “Regolamento”) che indica il Registro come uno dei primari  adempimenti del Titolare e delle figure privacy  corresponsabilizzate nel Sistema Privacy della organizzazione.

NON UNO, MA DUE!
La prima osservazione non esplicitata ma desumibile dal Regolamento  è che i Registri sono in realtà due. Uno per il TdT e l’altro per il Rdt (o “Designato”m nuova figura individuata dal Dlg. 101/2018). Come vedremo più avanti anche la Autorità di Controllo ha messo a disposizione due modelli di foglio elettronico relativi appunto a due versioni di un Registro fac-simile

CARTA O HARD-DISK!
La seconda osservazione preliminare è che il registro può essere tenuto, e quindi mostrato alla pattuglia ispettiva, in formato elettronico! Naturalmente il file deve essere conservato in un volume, cartella e/o area del web della organizzazione il cui accesso sia possibile solamente ai Soggetti Autorizzati che lo gestiscono per contro del TdT.

Parliamo di  un documento che riassume ed elenca  le informazioni richieste dall’art. 30 del Regolamento) delle operazioni di trattamento svolte dal titolare e, se
nominato, dal responsabile del trattamento (la versione del responsabile ha alcune differenze che dettagliamo in seguito).

Il Registro dimostra la vostra “accountability“,  e visualizza la situazione di insieme aggiornata dei trattamenti che sono correntemente condotti all’interno della propria
organizzazione; peraltro, senza il Registro, non si potrebbe giustificare la coerente attività di valutazione o analisi del rischio (altro obbligo indispensabile!).

SENZA NIENTE DPIA!
Altra osservazione deducibile: il Registro è quindi precedente rispetto alla Analisi dei Rischi e della eventuale valutazione degli impatti. Quindi sia esso in avere forma cartacea o elettronica, e deve essere fatto.

§ § §

Nella PA praticamente tutti i titolari/responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del Regolamento).

Nell’ambito privato, i soggetti obbligati sono derivabili dai paragrafi citati:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di
    250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche
    non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di
    250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di
    250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui
    all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a
    reati di cui all’articolo 10 RGPD.

 

NOTA: con il termine “organizzazioni” di cui all’art. 30, par. 5 si intende anche le associazioni, fondazioni e i comitati.

§ § §

In merito a chi certamente lo deve redarre possiamo elencare, seppure non in modo conclusivo (vedi nota sotto elenco):

  • Esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar,
    ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei
    clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • Liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati
    relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati,
    fisioterapisti, farmacisti, medici in generale);
  • Associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati
    relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.;
  • Associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.;
  • Associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati;
  • Aassociazioni e movimenti a carattere religioso);
  • Il condominio che tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L.n.13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

 

NOTA: dopo il  19 Settembre 2018 con il Dlg101/2018 il legislatore ha indicato possibili future emanazioni dalla AC in merito alle semplificazioni e le imprese e organizzazioni con meno di 250 dipendenti comunque obbligate al Registro potrebbero beneficiare di alcune future misure di semplificazione. Ad esempio la redazione del Registro contiene solo specifiche attività di trattamento di c.d. dati particolari di un solo lavoratore dipendente.

Oltre ai casi obbligatori, la tenuta  del Registro è comunque caldeggiata dal considerando  82 del Regolamento, la AC ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, perché si tratta di uno strumento vincente a prescindere e contribuisce ad attuare in modo semplice il principio di accountability. Soprattutto il TdT declina e dimostra un atteggiamento collaborativo e costruttivo nel “rendere conto” per i controllo dell’ AC.

Illuminante per questo aspetto il documento interpretativo del 19 aprile 2018 del Gruppo ex art. 29 (Ora Comitato europeo per la protezione dei dati) reperibile al seguente
link: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045

§ § §

In merito alle informazioni contenute nel Registro delle attività di trattamento del titolare (art. 30, par. 1 del RGPD) e in quello del responsabile (art. 30, par. 2 del RGPD) possiamo suggerire il seguente prospetto.

Più che un vincolo formale, l’approccio deve essere sostanziale come in tutta la manualistica documentale nello spirito della Riforma Europea della Protezione dei Dati.

Basta seguire i fac-simile del foglio elettronico reso disponibile dalla AC.

Finalità del trattamento: questa informazione deve prima di tutto distinguere le varie tipologie di trattamento; si pensi a dei dati dei dipendenti per la gestione del rapporto di lavoro piuttosto che dati di contatto dei fornitori per la gestione degli ordini.
Non dimenticate di mettere la base giuridica dello stesso (v. art. 6 del Regolamento) soprattutto se state ricorrendo  al “legittimo interesse”!

Quando vi appellate al legittimo interesse, dovere descrivere in dettaglio le derivanti “garanzie adeguate” e di fatto diventa mandatoria la preventiva valutazione d’impatto (Provv. del Garante del 22 febbraio 2018 – [doc web n. 8080493]).

La base giuridica è un aspetto critico anche nel caso di “categorie particolari di dati”,
(art. 9, par. 2 del Regolamento.  Infatti, per i trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’Art. 10 del Regolamento.

Categorie di interessati e delle categorie di dati personali – qui vanno dettagliate le tipologie di interessati come clienti, fornitori, dipendenti ecc.,  e quelle di dati personali trattati come dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc..

Categorie di destinatari a cui i dati sono stati o saranno comunicati – quella dei “Destinatari” è una nuova definizione introdotta rispetto al Codice Privacy del Dlg.196/03. Nella cella del foglio elettronico si devono compilare, anche in modo essenziale per categoria di appartenenza, eventuali Co-titolarità!
Infatti, altri eventuali titolari cui siano comunicati i dati come ad esempio enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi, sono considerati alla stregua di soggetti ai quali responsabili e sub-responsabili del trattamento siano essi interni o esterni alla organizzazione.  Questo perché i dati trasmessi (comunicati o diffusi) da parte del titolare ad un soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento, devono condividere la responsabilità e gli obblighi derivanti dagli adempimenti del Regolamento.

Trasferimenti di dati personali verso un paese terzo  – andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente alla indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del Regolamento (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.)

 

Termini ultimi previsti per la cancellazione – assicuratevi di indicare i tempi di cancellazione per ogni tipologia e ogni diversa finalità di trattamento. Se pensiamo ai dati di un rapporto contrattuale saranno sicuramente stoccati per 10 anni dalla ultima registrazione  (Art. 2220 del codice civile”). Dove non conoscete a priori un termine massimo, esprimete i tempi di conservazione indicando “fasce di criteri” come le prassi settoriali usati dalle norme di legge. Una formula suggerita nelle linee guida diffuse dal Garante dei Garanti europei potrebbe essere “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”.

Descrizione generale delle misure di sicurezza –  anche solo in modo sommario, non trascurate du indicare le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del Regolamento. Tenere sempre a mente che dipende solo dal titolare la valutazione finale del livello di sicurezza “adeguato” ai rischi presentati dalle attività di trattamento effettive. Attenzione alla massima credibilità di questo elenco di misure che non sarà mai fisso visto che è un obbligo quello di revisionare e continuamente aggiornare la dotazione tecnologica con con gli sviluppi della tecnologia e l’evolvere delle forme di minacce informatiche.

Una raccomandazione: usate uno stile riassuntivo e sintetico del quadro generale e complessivo secondo le attività effettivamente svolte (non fate cut & paste con i registri di altri!). Semmai in legenda rinviate a riferimenti al Manuale del Sistema Privacy e Protezione dei Dati (MSPPD con procedure organizzative interne; prassi operative, security policy e registrazioni  ecc. ) dove spiegate in dettaglio eventuali valutazioni specifiche 

Infine, ricordate che dal 101/2018 in poi se il TdT ha una figura “Referente Privacy Interno” e/o un “Designato Privacy”, sfruttate il Registro per aggiungere trattamenti di dati relativi alla raccolta del consenso, alle valutazioni di impatto nei vari trattamenti!

I fac-simile forniti possono essere arricchiti e migliorati, soprattutto se dimostrate di avere coerenza sostanziale con le misure fisiche, logiche ed organizzative effettivamente implementate dal vostro sistema Privacy!

Salvo Reina

Per approfondimenti: Web Media-Learning center, Area Tematica divulgativa, Biblioteca sitografica Privacy TQM, Webinars gratuiti dell’autore

Facsimile dell’Autorità di Controllo:

  1. Modello Semplificato per RdT PMI (PDF, XLS)
  2. Modello Semplificato per TdT PMI (PDF, XLS)

 

NOTA: L’autore riporta i riferimenti sitografici ufficiali così come resi disponibili al tempo della pubblicazione della fonte primaria ma non risponde dell’aggiornamento e della disponibilità dei contenuti dei siti di altri.

Consultate i termini di utilizzo e di manleva nella informativa sul sito dell’autore


Presentazione corso sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Salvo Reina

CaimansT22ore - Copia

Seminari WEB di Privacy 4.0 – Dlgs.101/2018

Dal 19 Settembre 2018 uscito in Gazzetta Ufficiale il Dlg.s101/2018 che armonizza e integra il Codice Privacy (Dlg.196/03) con il Regolamento Europeo (GDPR/2016/EU) in Italia ratificato come Reg.679/2016.

Una immensa quantità di divulgazione e disseminazione si riversa su tutte le forme giornalistiche cartacee e digitali, di settore o generaliste… eppure…

Tutti sanno cosa si deve fare ma nessuno spiega come!

Abbiamo sezionato l’enorme scenario di tematiche legate alla rivoluzione tecnologico-normativa che investe aziende, imprese, società e organizzazioni di ogni grandezza e tipologia merceologica creando un percorso formativo (come) e non solo informativo (cosa) fruibile comodamente davanti allo schermo.

GDPR a chiacchere senza la “i”

  1. Introduzione alla Data Protection in azienda (Parte 1)
  2. Introduzione alla Data Protection in azienda (Parte 2)
  3. Dal dato, alla informazione, alla comunicazione e alla diffusione
  4. Ontogenesi e filogenesi delle norme: storiografia ragionata della evoluzione della Privacy 4.0
  5. GDPR in Italia col Reg. 679/16: vessazione o opportunità di crescita evolutiva delle imprese?
  6. Fondamenti e pilastri dei concetti e dei criteri di adempimento DP 
  7. DPO or not DPO: that is the question!
  8. Reg.679/16: rivoluzione Titolare del Trattamento centrico
  9. Sistema di Data Protection in azienda: implementazione e documentazione
  10. Sistema di Data Protection in azienda: Soggetti e figure attuative e operative – Seminario in due video: Parte 1 e Parte 2 (dedicata ai Responsabili Esterni)
  11. Sistema di Data Protection in azienda: DPO come consigliere del Titolare del Trattamento
  12. Aree critiche e situazioni speciali: DP e Jobs Act
  13. Ingaggio e approccio alle ispezioni: fronteggiare l’autorità senza timore di sanzioni
  14. Il GDPR a chiacchere: ERRATA CORRIGE

 

Come sempre, buon lavoro e buona privacy con i nostri webinars nel corso multimediale su youtube!

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Salvo Reina

CaimansT22ore - Copia

Il GDPR a chiacchere: ERRATA CORRIGE

GDPR a chiacchere senza la “i”

A due mesi dalla iniziativa GRPR a Chiacchere senza la “i” riportiamo una collezione di osservazioni, segnalazioni e rettifiche arrivate all’autore. Con il consueto stile informale e discorsivo si risponde e commentano i vari punti emersi dai frequentatori dei seminari. Da osservazioni folkloristiche e temi controversi una doverosa replica a chi ha seguito la nostra divulgazione. Che siano apprezzamenti o critiche un grazie a tutti voi

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

13. Ingaggio e approccio alle ispezioni: fronteggiare l’autorità senza timore di sanzioni

GDPR a chiacchere senza la “i”

Dal 2010 il numero di controlli e la somma di Euro comminati è sistematicamente cresciuta. Quello delle ispezioni è un tema a cui tutti si riferiscono e di cui nessuno spiega: come si svolge, quale ingaggio sostenere, quali diritti del TdT, come viene svolta l’ispezione, cosa comporta il sanzionamento e quanti tipi di ispezioni esistono? La pattuglia del GAT (nucleo investigativo della GdF legato alla Autorità Garante da Protocolloo di Intesa) deve in realtà seguire a sua volta gli adempimenti e le prassi prescritte nel Reg.680/2016. Questa ed altre utili nozioni sono trattate in questa clip con il consueto stile informale e sostanziale.

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

 

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c’è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo

 

12. Aree critiche e situazioni speciali: DP e Jobs Act

GDPR a chiacchere senza la “i”

Dopo aver seguito il percorso tematico delle precedenti sessioni, dovremmo aver acquisito una idea più chiara e precisa del mondo della Data Protection. Avendo introiettato i concenti fondamentali, gli elementi strutturali primari e una vista armonica sugli adempimenti e il progetto del SPD aziendale, rimangono alcune aree critiche e delle situazioni speciali. La criticità di questi punti è dovuta a possibili mistificazioni tecnologiche, incomprensione dei concetti fondanti la norma (Es. Privacy by design & by default) ma anche semplicemente alla peculiarità del tipo di business della azienda e il suo assetto in ambito ICT. Dopo il consueto riassunto delle lezioni precedenti focalizziamo il punto del Jobs Act nella azienda e il controllo remoto dei lavoratori

Quì affrontiamo, singolarmente prese, ognuna delle figure e dei soggetti del SPD puntualizzando obblighi, prassi e responsabilità assegnate dal Regolamento; come da nostro stile pragmatico, svolgiamo degli esempi paradigmatici di situazioni aziendali tipizzate sulla alberatura gerarchica delle figure SPD come derivata dalle scelte del TDT e dei propri collaboratori. Già nel nostro webinar n.9 sul Manuale dell Sistema di Protezione dei Dati (MSDP) abbiamo spiegato il criterio delle nomine/deleghe, ma in questo contesto scendiamo nel dettaggio di ogni soggetto a fronte del relativo articolato del regolamento.

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

 

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c’è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo

 

11. Sistema di Data Protection in azienda: DPO come consigliere del Titolare del Trattamento

GDPR a chiacchere senza la “i”

Dopo Questa puntata assume una piena conoscenza della clip n.7 con la quale abbiamo esaurito un completo percorso di valutazione della figura del DPO o RPD. Se avete questa acquisizione allora possiao tornare ad un aspetto di primaria importanza che attiene la interazione professionale tra il Titolare del Trattamento e il DPO (laddove presente). Ci soffermiamo soprattutto sulle aspettative del TDT spiegando cosa si può esigere, cosa rivelare, cosa pagare un DPO. Da questo rapporto scaturiscono le scelte di investimenti e la struttura progettuale dell’intero impianto normativo del Regolamento all’interno della azienda e nel formalismo della documentazione del MSDP.

Grazie

Salvo Reina
http://www.salvoreina.it
dpo@salvoreina.it

 

Per chi poi desidera approfondire il tema della Data Protection sul campo segnaliamo anche il primo sforzo editoriale pubblicato di un Fac Simile elettronico di un Manuale di Sistema Privacy cosi come reso fruibile via web Intralan aziendale

Link del corso ospitato sul sito dell’autore: Quello che nessuno dice sulla Privacy 4.0

Collezione di webinar professionali orientati alla implementazione di Sistemi di Data Protection compliant con il Reg.679/16 recepito dalla riforma europea GDPR Facciamo un primo giro di boa per studiare il percorso e il vento. Impariamo dove cazzare la randa e svolgere il fiocco senza strambare. Per coloro che non vivono in una città di mare diremo che questa clip offre una prima ricognizione di confronto tra il Codice Privacy e il nuovo Regolamento sulla Protezione dei dati. Cosa c’è di nuovo, cosa rimane o cosa cambia e in che modo. La solita chiaccherata si sviluppa incidendo maggiormente sui temi controversi e problematici così che alla fine del video siano chiare le priorità e gli ambiti di intervento per affrontare il GDPR in azienda. La visibilità delle clip non è vincolata e per ottenere i repertori completi delle diapositive è sufficiente inviare una e-mail di richiesta all’autore. Il formato espositivo non è accademico o shematico. Con una chiaccherata Tutto il materiale è originale tuttavia l’autore ne rilascia facoltà di riutilizzo a chiunque e per qualunque scopo

 

 

Annunci