Come si fa il DPO in azienda: dialogo tra titolare e DPO

Come si fa il DPO in azienda? È una domanda spinosa. Potrei dire che servono esperienza, formazione e competenza. E sarebbe verissimo, sono qualità indispensabili, ma non basterebbero. Per fare il DPO in azienda serve fegato, bisogna essere bravi a fissare dei confini e a mantenerli. Bisogna farsi rispettare. È un compito duro quello del DPO. È una missione.

La missione del DPO: accompagnare verso la consapevolezza

Il Data Protection Officer consiglia e controlla, ma prima accompagna il titolare del trattamento verso la consapevolezza. Essere consapevoli, lo dico e lo ripeto, è il punto di partenza per la compliance al GDPR. Ma la consapevolezza non può essere imposta, deve partire da dentro. Allora ho ipotizzato come dovrebbe essere un dialogo tra DPO e titolare del trattamento. Un dialogo che, attraverso le domande e le risposte – in stile Platonico – aiuta il titolare a capire qual è il suo ruolo nel trattamento dei dati personali e qual è la funzione vera del Data Protection Officer.
I protagonisti di questo dialogo immaginario sono Andrea Kaiser, il mio alter ego, questa volta nei panni di un DPO esterno e l’amministratore delegato di una grande azienda, Silverio Faz (personaggio di fantasia).

Andrea Kaiser e la maieutica del GDPR

KAISER: Caro Silverio, come stai?
FAZ: Sto bene, Andrea, grazie. Finalmente ci ritroviamo. Ti confesso che ero un po’ in ansia. Ora che la tua attività di DPO per noi è iniziata, sono più tranquillo. Ma ho alcune domande da farti, perché voglio partire con il piede giusto, come mi hai consigliato la prima volta che ci siamo visti, quando ancora stavamo valutando se nominare un consulente o affidarci direttamente ad un DPO esterno.
KAISER: Benissimo, ti ascolto.

FAZ: La prima cosa che volevo chiederti è questa: mi hanno detto che in azienda devo avere il registro dei trattamenti. Abbiamo definito il budget per fare questo, ma non so che cosa è stato fatto. Quindi come prima attività da DPO, vorrei chiederti di fornirmi un registro dei trattamenti adeguato, perché mi hanno detto che è una delle prime cose che controllano durante la visita ispettiva. (CLICCA QUI PER LEGGERE ARTICOLO RELATIVO CORRELATO). Vorrei sapere che cos’è e se posso non farlo… Ma se proprio lo devo fare, ti chiedo se me lo puoi produrre velocemente.

KAISER: Bene, sono contento che come primo punto della scaletta tu abbia scelto proprio la redazione del registro dei trattamenti. Anche perché, prima che entrasse in vigore GDPR, c’era un altro documento. Forse lo ricordi. Noi che lavoriamo nel settore da anni lo abbiamo sempre chiesto alle aziende. È il DPS, il Documento Programmatico sulla Sicurezza? Lo avete tenuto?

FAZ: Sì, sì, anche se non era obbligatorio lo abbiamo tenuto.

KAISER: Allora partiamo da quello, che è un primo abbozzo, anche se è meno esaustivo del registro dei trattamenti. Così è più facile capire di cosa stiamo parlando. Se ricordi ti aiutava a mettere ordine nei trattamenti che facevi, nei dati che trattavi, come li usavi e così via. Sei hai presente il DPS, hai già un’idea di base.
FAZ: Sì più o meno ho capito, ma cosa cambia rispetto al registro?
KAISER: Il registro è più completo e chiede qualcosa di più. La ragione, pensa, è quella di toglierti delle zavorre burocratiche.
FAZ: Ma come? Mi stanno chiedendo di tenere dietro ad un altro documento…
KAISER: Sì, ma per un motivo. Sia il registro dei trattamenti che la nomina del DPO sono
due forme di mitigazione previste dal GDPR per eliminare altri obblighi di legge. Se ricordi, la vecchia direttiva sulla privacy obbligava il titolare del trattamento a fare una serie di cose, tra cui la notificazione dei trattamenti all’autorità.

FAZ: Lo ricordo vagamente…

KAISER: Bene. Poi, nel 2003, con la 196, che ha riscritto le norme sulla privacy, il Garante ha capito che tutte queste incombenze andavano semplificate, perché erano una zavorra per le aziende e pure per la sua attività. Era un adempimento burocratico fine a sé stesso. Non uno strumento che garantiva che l’azienda fosse effettivamente conforme alla normativa.

FAZ: Questa è una buona notizia, però non ho ancora capito perché mi chiedono di fare un altro documento, se tanto basta dichiarare che la mia azienda è in regola con il GDPR.

KAISER: Il punto è proprio questo, Silverio. Non basta dichiararlo. Il Garante prima e i legislatori europei dopo non hanno mai voluto che la compliance fosse solo formale. Hanno ribaltato la questione: non ti chiedono di dichiarare che sei conforme, ti chiedono di dimostrarlo. Per questo ti dicono: bene, ti ho tolto la zavorra della notifica obbligatoria, ma tu, titolare del trattamento, devi essere proattivo. Devi dimostrare che aderisci al Regolamento anche nei fatti, non basta un pezzo di carta.
FAZ: Quindi il registro serve a questo?
KAISER: Il registro è uno degli strumenti che ti permettono di dimostrare la tua accountability, cioè che sei consapevole, competente e responsabile dei dati che tratti. Il Garante adesso ti dice: non venirmi più a dire cosa fai. Decidi tu, titolare del trattamento, quali dati trattare e come, ma fallo bene. Non ti chiedo di inviarmi un documento tutti gli anni, entro una certa data, né come sei stato bravo. Ti chiedo di dimostrarmi che sei maturo, che hai cultura d’impresa, che sei credibile. Dimostra di avere le redini della situazione e di mettere in campo una serie di presidi: il registro, il DPO, la formazione agli addetti e ai responsabili esterni… Quindi, per tornare alla tua richiesta: non è il DPO il soggetto che scrive il registro dei trattamenti. Il DPO consiglia e controlla, non fa le cose al posto tuo.
FAZ: Eh ma, io ho pagato te per farlo…

KAISER: No, tu mi hai pagato perché ti aiutassi – con la consulenza ed il controllo – ad essere compliant. E questo significa che potrei anche dirti delle cose poco piacevoli. Tu sei l’amministratore delegato Silverio, io parlo con te perché se i tu che decidi. Non parlo con il direttore marketing, quello delle risorse umane o tutti capi e capetti che sono sotto di te. Io parlo con te, ti dico la mia, ma sei tu che prendi le decisioni.

FAZ: Ho capito. Spetta a me, ma allora il registro a chi lo faccio fare?
KAISER: Guarda, puoi farlo anche tu con un banalissimo file di Excel, perché la legge non ti obbliga ad usare un software o quant’altro per compilare il registro dei trattamenti. Se la tua fosse un’aziendina con 15 dipendenti potrei anche chiudere un occhio. Ti potrei dire che il registro non te lo faccio, ma ti aiuto a costruirlo. Però, visto che la tua è un’azienda grande che vuol fare le cose per bene, ti lascio io un riferimento. Prova PrivacyLab e usa il loro modello, che funziona benissimo, è certificato e pensato cum grano salis. L’importante è che tu abbia un documento in cui tieni traccia dei trattamenti che fai, delle finalità, della natura dei dati che tratti e degli strumenti della retention, cioè dei tempi di conservazione.

FAZ: Quindi il registro lo faccio fare ad un consulente PrivacyLab e tu poi cosa fai?

KAISER: Io te lo controllo. Però sono un DPO esterno, non un DPO interno, quindi mi devi dare accesso ad un’area riservata dove posso entrare con un VPN o nel modo che decidi tu. Ma devo poter accedere al registro in qualsiasi momento e senza passare attraverso di te per chiederti il permesso. Perché devo essere indipendente e potermi scrivere da qualche parte che sono andato sul registro nella tal data, ho verificato se era aggiornato oppure no. Se vedo che sono 6 mesi che il registro è sempre uguale o che non ci ha mai messo le mani nessuno, vengo da te.

FAZ: Ma quindi non ho nessun controllo…

KAISER: Ce l’hai se dimostri la tua accountability, perché hai messo in piedi dei processi chiari e sai che cosa stai facendo. Silverio, non mi paghi perché io ti faccia un torto. Mi paghi perché io ti faccia da specchio su come tratti i dati. Se vedo che non aggiorni il registro per mesi, ho l’obbligo di fartelo presente. È possibile che un’azienda con una struttura tecnologica come la tua, in un mese, non abbia neanche un cambiamento rispetto a mezzi, finalità, tipologia di dati trattati?

FAZ: Aspetta un attimo. Sì, è vero che abbiamo un’infrastruttura tecnologica importante. E adesso che ci penso, quando a maggio è arrivato il GDPR abbiamo fatto una volata per adeguarci. Nel 2019 siamo stati stabili e adesso che siamo nel 2020 non è cambiato niente. Quindi, sul registro non ci sarebbe niente…

KAISER: Prendo atto. Tieni conto, però, che il Garante quando ti controlla, guarda come eri prima e come sei adesso. Vuole vedere se sei cresciuto, se sei migliorato nella compliance al GDPR, nell’essere accountability. Se gli dici così, anche il Garante ne prende atto, purché tu possa dimostrarlo. Cioè ti chiede di dimostrare che il registro non è aggiornato perché non c’è stato motivo di aggiornarlo e di dimostrare che il rischio residuale sui dati che tratti è basso. Se non cambia niente, non fai niente. Ma se ci sono dei cambiamenti 10 volte al mese – banalmente, assumi una nuova persona, qualcuno perde una chiavetta con dentro i nomi di chi usa la mensa aziendale, rubano un computer eccetera – devi registrarli. Devi farlo tu, in quanto titolare del trattamento, incaricando un addetto, se vuoi, che può essere la tua segretaria o un’altra persona fisica che lavora per te, ma spetta all’azienda non al DPO. Io devo solo controllare.

FAZ: Va bene, ho capito. Vedo che la responsabilità è mia e che avevo male interpretato il compito del DPO. Per piacere, passami quel contatto di quell’azienda che mi dicevi per scrivere il registro. Però avrei un’altra domanda da farti. Abbiamo delle macchine aziendali, le usano diversi dei nostri dipendenti, soprattutto i commerciali che girano per andare dai clienti. Sulle macchine aziendali c’è il Telepass. Mio cugino, che è avvocato, mi ha detto che devo togliere il Telepass perché è un trattamento non consentito. Adesso mi è ben chiaro che devo attrezzarmi e soprattutto che devo alzare la mano e chiederti un consiglio quando naso che sto trattando dei dati. Quindi ti domando: devo togliere il Telepass? Ma poi come facciamo senza? Oppure c’è qualcosa di particolare che posso fare?

KAISER: Allora, partiamo da un concetto. La tecnologia non è una novità degli anni 2.000. Tecnologia è anche la lancia che usavano i nostri antenati per cacciare 400.000 anni fa. La tecnologia di per sé è una cosa neutra. È sempre stata neutra. Dipende da come la usi. Ma quando la usi e ti adegui a determinate regole di base, va bene. Ne approfitto per fare un inciso. Anche se non me l’hai chiesto, vorrei rispondere ad una domanda importante: c’è qualcosa che non puoi fare mai? La risposta è sì. Quello che non puoi fare mai è l’analisi profilata sui cosiddetti dati sensibili, che adesso si chiamano dati particolari: l’analisi delle malattie, degli orientamenti sessuali, della vocazione religiosa eccetera per fini di marketing e di vendita. Questo non lo puoi fare. Non lo puoi fare neanche se ti danno il consenso! Quello che invece puoi fare è tutto il resto, ma seguendo le regole. Torniamo al Telepass. Se ho capito bene quello che dice tuo cugino è che il Telepass può creare dei problemi legati alla geolocalizzazione.

FAZ: Sì, c’è la questione del controllo a distanza del lavoratore…

KAISER: Be’, innanzitutto bisogna capire che cos’è la geolocalizzazione. La geolocalizzazione non è solo la capacità di vedere dov’è un automezzo su una mappa, ma è la capacità che la tecnologia ti offre di seguire l’automezzo in movimento. Misura lo spostamento del veicolo. E su questo c’è già un provvedimento sanzionatorio del Garante. Il Telepass geolocalizza? No, non è un dispositivo costantemente acceso che a ogni metro che tu fai mi fa vedere dove ti trovi. Il Telepass non è uno strumento di geolocalizzazione, quindi non richiede assolutamente alcun tipo di cautela intesa come geolocalizzazione.

FAZ: Bene…

KAISER: Aspetta. Questo vale per le situazioni normali. Se però hai il fondato sospetto che un tuo lavoratore utilizzi la macchina aziendale durante l’orario di lavoro per andare a fare il furbino con le donnine appostate in tangenziale e passa sempre dallo stesso casello autostradale di Modena nord, la cosa cambia. Prima di tutto, devi tenere conto delle norme di diritto del lavoro e se hai un fondato sospetto, puoi chiamare l’avvocato che insieme all’agenzia investigativa farà un controllo. Quello che non puoi fare è un controllo fai da te. Questo tipo di analisi devi farla sempre all’interno delle regole.

FAZ: Ma quindi posso usare i dati del Telepass?

KAISER: Sì, certo, se servono per la fatturazione, per i pedaggi autostradali eccetera. Ma se poi ti stampi la lista di tutti quelli che sono usciti a Modena nord per fare adescamento e li appiccichi in bacheca, ti si dovrebbero drizzare le antenne… Dovrebbe venirti il dubbio che forse quel trattamento lì non è da fare… Ma non è il Telepass in sé, è come lo stai usando. Così è più chiaro?

FAZ: Sì, grazie. Adesso è molto più chiaro. Senti, già che ci siamo, mi aiuti a chiarire un’altra cosa? Noi per prenotare i viaggi dei nostri dipendenti in tutto il mondo usiamo un’agenzia viaggi esterna che gestisce la prenotazione dell’hotel, del treno e dell’aereo attraverso il suo portale, dove i nostri dipendenti si registrano, mettono dentro le date, caricano le copie dei passaporti eccetera e che passano per il Cloud. Mi ha chiamato proprio stamattina il responsabile dell’agenzia viaggi per dirmi che sono entrati gli hacker russi nel suo sistema, hanno rubato tutte le informazioni che c’erano sul portale e le hanno messe in vendita nel dark web. Ne approfitto, visto che ora ci sei tu, per chiederti un consiglio su come dobbiamo fare.

KAISER: Hai fatto bene a dirmelo. Qui ci sono diversi elementi da considerare. C’è un problema legato al trasferimento di dati fuori dai confini dell’Unione Europea, che è un trasferimento di dati all’estero, e poi ce n’è uno legato alla violazione dei dati e alle responsabilità. Prima cosa. L’agenzia viaggi è un responsabile esterno o un titolare autonomo del trattamento secondo te?
FAZ: Un responsabile esterno.
KAISER: Alt! Il responsabile esterno è un soggetto a cui deleghi le attività che potresti fare tu, ma che preferisci dare fuori. Parliamo di attività tipiche. Quindi bisogna distinguere tra soggetti terzi a cui esternalizzi una funzione aziendale, per esempio chi ti fa le buste paga, e terzi a cui ti affidi per attività che tu non puoi fare perché non è una tua attività tipica. L’agenzia viaggi di cui mi stai parlando non fa un’attività che è vostra tipica, giusto?

FAZ: No, la nostra è un’azienda produttiva.

KAISER: Bene, quindi non sei obbligato a nominare l’agenzia viaggi come responsabile esterno. Da parte sua, l’agenzia sta facendo trattamenti per fini e mezzi propri. È un titolare autonomo. Come sai c’è differenza tra Titolare, Co-titolare, Responsabile e Addetto. Se fosse un responsabile esterno, avresti il dovere di chiedere come tratta i dati che gli affidi, ma ad un titolare autonomo come l’agenzia viaggi non lo devi chiedere. Premesso questo, ci sono altri problemi. Uno è il Cloud. C’è un provvedimento del Garante del 2010 che dice questo: il Cloud in sé non crea una giurisdizione extra europea, ma il titolare di un trattamento, se decide di dare i dati ad un fornitore di servizi Cloud, deve stipulare un contratto e capire chi è, cosa fa che giurisdizione ha. Faccio un esempio classico: se il contratto che stipuli per usare il Cloud di Google è Google Ireland e non Google inc. stai facendo un contratto con un soggetto sottoposto alla giurisdizione europea e che quindi deve attenersi al GDPR. Se è con Google inc. invece no, perché è in un paese terzo. Quindi dobbiamo approfondire. Per piacere cerca di chiarire un po’ meglio come funziona il rapporto con l’agenzia viaggi.

FAZ: Allora, io all’interno dell’ufficio risorse umane ho due persone – due dipendenti – che si coordinano con l’agenzia. Recuperano i passaporti, gestiscono tutti viaggi in Europa, in strutture alberghiere europee eccetera. Poi parlano con l’agenzia viaggi esterna, caricando tutte le informazioni sul suo portale, e questa a sua volta verifica la disponibilità degli alberghi europei, prenota i viaggi eccetera. Tant’è che io, come azienda, non ho ancora capito sei miei 2 addetti stanno lavorando per me o per conto della agenzia… Perché l’agenzia mi ha messo a disposizione il suo server con sede in Italia, dove i miei addetti caricano e prenotano tutte le informazioni… la situazione è complessa!

KAISER: Il punto è che non sempre c’è una perfetta coincidenza tra il diritto privato – quindi i contratti – e le figure privacy e GDPR. Quindi per alcuni aspetti il Regolamento non c’entra. Se limitiamo la questione al GDPR, i due titolari del trattamento, tu e l’agenzia in questo caso, restate responsabili a casa vostra. Quindi, per esempio, se il tuo dipendente che inserisce i dati nel portale ruba delle informazioni e le rivende, è un problema tuo, te la vedi tu perché la gestione del data breach legato al furto di dati interessa te. Invece, le cose cambiano se il portale è un colabrodo e i dati sono stati rubati per questo motivo. Non è tua la responsabilità, ma della controparte, l’agenzia viaggi, che è titolare autonomo.

FAZ: E se nomino l’agenzia responsabile esterno faccio un guaio?

KAISER: No, non è una grossa cosa. Mi può anche star bene che tu e l’agenzia abbiate deciso di regalarvi così. Però non sta facendo un servizio proprio tuo tipico. Per legge potresti sia nominarlo responsabile esterno oppure verificare che si comporti da titolare e nomini la tua azienda responsabile esterna in quanto alcune attività che servono a lui vengono fatte da tuoi dipendenti. Considera anche che c’è un altro aspetto importante che devi tenere a mente. Con il GPDR, a differenza del passato, oggi il responsabile esterno ha piena responsabilità dei trattamenti che fa. Una volta era responsabile il titolare, oggi anche il responsabile esterno si becca la sanzione, il dolo, la colpa grave e così via… quindi che tu lo nomini o no, in quanto titolare o in un quanto responsabile esterno, poco importa, cambia la operatività .

FAZ: Mi è chiaro. Andrea, ti ringrazio. All’inizio l’idea di dover nominare un DPO non mi allettava molto, lo confesso, ma oggi ho capito che senza il tuo aiuto sarei andato alla deriva. Mi hai aperto gli occhi e mi è chiaro anche qual è il tuo ruolo, che non è semplice. Vieni, ti presento i direttori dei vari uffici, così mettiamo subito in chiaro che risponderà solo a me e che non sei qui per farti dire cosa fare, ma che sono loro che devono ascoltare il tuo consiglio.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

Compliance GDPR – Cosa significa accountability?

Compliance GDPR – Cosa significa accountability?

Accountability vuol dire responsabilità e quindi significa essere responsabili, essere degni di fiducia.
Accountable è l’azienda, l’ente, l’associazione o il professionista che tratta i dati personali con la consapevolezza che quelle informazioni non sono sue e che deve fare tutto il possibile perché non accada loro nulla di male.
È come quando saliamo sul Frecciarossa, che in fondo non è altro che una scatola di metallo che viaggia a 300 km orari. Saremmo dei pazzi a decidere consapevolmente di prendere un mezzo del genere, ma noi ci fidiamo. Ci fidiamo di chi l’ha costruito, di chi fa la manutenzione, di chi fa le riparazioni, perché sono accountable: sono consapevoli del rischio che potrebbero correre i passeggeri se qualcosa dovesse andare storto e hanno progettato il treno e i sistemi di sicurezza per ridurre i pericoli ai minimi termini.
La stessa cosa avviene con i dati personali. Chi li raccoglie ha l’obbligo di essere responsabile, ancora prima di fare qualsiasi trattamento. Lo dice il Regolamento Europeo sulla protezione dei dati, ma è anche una questione di etica e di buon senso: i dati personali dei dipendenti, dei clienti, dei pazienti, degli alunni, dei cittadini non sono nostri, ce li hanno affidati e noi abbiamo il dovere di proteggerli.
Dobbiamo essere degni della loro fiducia e il GDPR ha formalizzato questo dovere con il concetto di accountability.

Accountability: consapevoli, competenti e responsabili

Il Regolamento ci dice che ancora prima gestire il dato – in quanto titolari e responsabili – dobbiamo verificare che il trattamento abbia un rischio residuale basso.
Quindi ci dice che dobbiamo agire prima del problema, essere proattivi, valutando in anticipo i rischi e adottando delle contromisure: è il concetto di privacy by design.
Benissimo. Quindi la prima cosa che devi fare per la tua accountability è essere consapevole dei trattamenti che fai, altrimenti come fai a sapere quali rischi corrono i dati se non sai quali dati tratti?

Consapevolezza: sai quali dati personali tratti?

Il problema oggi è proprio questo: aziende, imprenditori, consulenti, professionisti non sono consapevoli.
Alla domanda: “Sai quali trattamenti fai?”
La risposta dell’imprenditore medio è: “Ma dai, i soliti, quelli obbligatori per legge.”
E io: “Ok, va benissimo, ma quali sono?”
E lui: “I soliti: buste paga, permessi… le solite cose…”
“Bene” gli dico “Hai un sito web?”
E lui: “Ma certo!”
“La Pagina Facebook?”
E lui: “Certamente”
“Ok, cosa ci fai con la Pagina Facebook?”
E scopro che ci fa le sporcaccionate più grosse!
Prende e clusterizza le informazioni, le mette nel cruscotto di Mailchimp dove automaticamente manda le mail a quelli che hanno visitato la sua Pagina Facebook e hanno messo mi piace a certe cose, fa Google ADS, usa le App…
E lo fanno tutti. Fanno sporcaccionate con i dati personali degli altri e non se ne rendono conto. Non sanno che quelli sono trattamenti.
Quindi la prima cosa da fare per essere consapevoli è formarsi e avere dei consulenti al proprio fianco che siano un aiuto. Non rivolgersi a dei gibboni che creano solo confusione e allarmismi, ma a professionisti capaci, che sappiano spiegare con chiarezza e che affianchino il titolare del trattamento e i responsabili nel processo di compliance GDPR, perché sappiano sempre dove si trovano i dati raccolti, di chi sono, come vengono utilizzati e perché.

Competenza: i trattamenti che stai facendo hanno un rischio residuale basso?

Il GDPR dice che bisogna fare trattamenti solo se il rischio residuale è basso. Quindi va fatta un’analisi dei rischi. E sull’analisi dei rischi ho visto di tutto.
Ho visto Associazioni di Categoria che, per mettere a norma le imprese, hanno mandato questionari in Excel con una lista di domande fenomenali, del tipo: dai una valutazione da 1 a 10 sulla capacità empatica dei capoufficio di riuscire a rispondere in maniera corretta alle tue domande. 
Ma perché? Che senso ha?! 
Perché l’artigiano, il panettiere, l’azienda con 3 dipendenti – occhio che il GDPR riguarda tutti, anche loro! – deve stare lì a diventare di gomma con una lista di 119 accadimenti per fare l’analisi dei rischi? Non è efficiente, non è razionale.
Le cose vanno fatte cum grano salis!
Invece, alle volte sembra davvero che la valutazione dei rischi sulla protezione dei dati sia qualcosa di incomprensibile, che si debba scomodare il CERN per calcolarli, mettendoci dentro di tutto: incendi, terremoti, l’invasione aliena, il meteorite… Ma l’incendio non è un rischio, è una sfiga, è un accadimento, per quanto riguarda la privacy; il terremoto e il meteorite che colpisce la Terra non sono rischi, sono accadimenti. I rischi per i dati personali sono pochi e facilmente identificabili.

I rischi per i dati personali sono 6

I rischi per i dati personali sono solo 6 e vanno valutati guardando al caso specifico, a quello che fa l’azienda e a come si muove:

DISPONIBILITÀ 

1 – Distruzione accidentale o illegale

Esempio – Cancello l’unico file con l’anagrafica dei clienti persone fisiche della mia azienda e non posso più recuperarli

2 – Indisponibilità 

Esempio – L’azienda prende un Cryptolocker che blocca tutti i documenti e non permette l’accesso

3 – Perdita
Esempio – Viene rubato un portatile con all’interno una serie di documenti, o si rompe il disco del Computer e non sono più disponibili i file

INTEGRITÀ 

4 – Alterazione
Esempio – Modifico per errore i dati personali di Giulia archiviati nell’anagrafica dipendenti

RISERVATEZZA 

5 – Divulgazione 

Esempio – Pubblico sulla Pagina Facebook dell’azienda una foto di 3 dipendenti mentre si ubriacano alla festa di fine anno.

6 – Accesso
Esempio – Viene bucato il gestionale della banca. I dati di centinaia di migliaia di correntisti sono visibili agli hacker.
Quindi l’analisi dei rischi non si basa su lunghe check list complicate o su tabelle che attraverso formule matematiche compilate da un ingegnere termonucleare tentano di determinare se l’azienda è a rischio di incendio oppure no. Così è un costo. È una scelta inefficiente. L’analisi dei rischi è efficace quando il suo fine ultimo è determinare l’esistenza dei sei rischi indicati nel Regolamento e le contromisure prese per ridurli. Solo in questo modo l’analisi dei rischi sarà adeguata allo stile dell’azienda, alle sue modalità di lavoro e alla sua capacità di spesa e si rivelerà davvero utile per evitare sanzioni.

Le contromisure per ridurre il rischio

Quali contromisure adottare per ridurre il rischio? Non c’è niente di obbligatorio e qualche contromisura è solo consigliata, quindi possono essere diverse e di diversa natura, ed è il titolare del trattamento che deve decidere quali contromisure utilizzare.
Anche qui però ho visto di tutto, per esempio la Focus Station, una piccola piramide in alabastro che viene caricata di energia positiva a fronte dei tuoi trattamenti e ti garantisce un abbattimento del rischio. Ma stiamo scherzando? E questo è il caso eclatante, perché c’è anche chi ti dice che devi mettere gli estintori nuovi e che sono obbligatori per il GPDR. Ma dico. Perché devi dire una cosa del genere? Non funziona così.
Primo, le contromisure non sono solo quelle fisiche, ma sono anche organizzative, e in tutti i casi richiedono logica e buon senso. Secondo, il percorso per l’accountability non è fatto solo di strumenti, è fatto anche di persone e di comportamenti, di formazione agli addetti e ai responsabili.
Quindi in base ai dati che tratti, a come li tratti, perché li tratti, dovrai trovare le contromisure più adatte per avere un rischio residuale basso. Lascia perdere la Focus Station e gli estintori GDPR compliant!

Responsabilità: sai se i tuoi responsabili esterni sono compliant al GDPR?

Una delle novità più impattanti introdotte dal GDPR, oltre al privacy by design, è la nomina del responsabile del trattamento. Il Regolamento ci dice che dobbiamo nominare responsabili tutte le figure esterne che trattano i dati per conto nostro.
Come nominare i responsabili esterni? Con un atto di nomina o con apposite clausole all’interno di un contratto fra le parti, in ogni caso va fatto per iscritto. Bene, di fronte a questo si è scatenato l’inferno.
Tutti a nominare responsabili del trattamento a ruota libera e senza freni.
Aziende che ti dicono: “Tu tratti i dati miei? Tiè, ti nomino responsabile!”
E io: “Ok, bene. Fammi vedere la nomina.”
Guardo la nomina e c’è scritto: “Lei è responsabile del trattamento dei dati dei miei dipendenti.”
E io: “Di tutti i trattamenti?”
E l’azienda: “Sì, di tutti! Me l’ha scritta l’avvocato!”
E io: “No, io tratto nomi e cognomi per questa finalità. Stop. E su questo trattamento ti devo garantire il rischio residuale basso.”
Ma acciderbolina, io – come PrivacyLab – sarò responsabile solo di alcuni trattamenti. Non posso essere responsabile di tutti i trattamenti che riguardano i tuoi dipendenti. Lo studio paghe sarà responsabile per alcuni trattamenti, così come chi gestisce il software, chi ti segue per gli aspetti legali e così via.
Questo è il primo aspetto, poi come responsabile esterno devo dimostrare di essere GDPR compliant e infatti il Regolamento Europeo stabilisce anche che:
  • il titolare del trattamento ha l’obbligo di verificare che il suo responsabile esterno sia compliant GDPR e quindi che si comporti in maniera adeguata, abbia adeguate contromisure, tratti i dati in modo che il rischio residuale sia basso;
  • il titolare del trattamento deve avere sotto controllo costante la catena dei responsabili; quindi, per esempio, se affida dei dati allo studio paghe, perché faccia le paghe dei suoi dipendenti, deve sapere se lo studio paghe, a sua volta, affida una parte dei trattamenti ad un altro responsabile, che potrebbe essere chi gli ha fatto il software, chi gli gestisce il Cloud e così via. Questa catena deve essere chiara dall’inizio.
Per essere accountable deve essere certificata tutta la catena dei comportamenti e della compliance al GDPR.

Accountability significa anche fornire delle prove

Sei accountable? Bene, ma non basta dire che lo sei. Devi anche testimoniarlo, dare delle prove.
Devi riuscire a documentare che sei consapevole, competente e responsabile, riportare tutto quello che fai nel Registro dei trattamenti, quali contromisure hai adottato e perché.
Devi dimostrare di riuscire a governare il processo. Non sei un pilota in balìa delle onde. Sei un pilota che sa quello che fa e lo puoi dimostrare, perché hai preso la patente nautica, hai GPS e strumenti, hai partecipato a decine di regate. Non subisci, ma gestisci.
Inoltre, dimostrare la propria accountability è fondamentale anche nella gestione di un Data Breach.
Se c’è stata una violazione dei dati di tipo 2 – una violazione che può mettere a rischio i diritti e le libertà delle persone, e che quindi va notificata al Garante e agli interessati – e riesci a testimoniare che hai trattato i dati i dati a fronte di un privacy by design con rischio residuale basso, hai fatto la DPIA e hai messo in atto tutte le contromisure necessarie, sei più difendibile.
Perché le violazioni succedono e tu devi essere pronto a dimostrare di aver fatto tutto il possibile per minimizzare i rischi.
FONTE: BLOG PRIVACYLAB – DI ANDREA CHIOZZI
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

Privacy e violazione di dati personali: esempi e casi pratici

L’Autorità Garante per la protezione dei dati ha un problema: stanno arrivando centinaia di notifiche per violazioni dei dati personali, ma la maggior parte di queste o non sono violazioni o lo sono, per carità, ma non andrebbero segnalate!
Da maggio 2018 sono arrivate un sacco di richieste anche a noi: gente nel panico più totale che non sa se notificare, se non notificare, se l’evento segnalato è una violazione oppure no…insomma il caos.
Perché sta succedendo?
Fondamentalmente per due ragioni, che hanno un nome ben preciso: eccesso di zelo e ignoranza. Quindi o si segnala per mettere le mani avanti – l’avvocato ha detto che bisogna segnalare perché altrimenti se lo scopre il Garante finisci in galera – oppure segnali perché non sai.
Ma perché dobbiamo far perdere tempo al Garante con delle richieste che non hanno senso?
Teniamo a bada l’ansia da prestazione da Data Breach e usiamo un metodo per capire:
  • se l’incidente segnalato è una violazione oppure no (nel nostro esempio se la perdita della chiavetta USB è una violazione o no)
  • se la violazione va notificata oppure no.

Cos’è una violazione e quando va segnalata

Le violazioni dei dati personali possono essere accidentali – capitano per sbaglio o per errore – o volontarie, e sono:

1. Accesso non autorizzato (spionaggio se la violazione è volontaria) e si verifica se un terzo non autorizzato accede a dei dati personali.
2. Copia non autorizzata (furto se la violazione è volontaria) e si verifica quando un terzo non autorizzato ha copiato i dati dove non doveva.
3. Divulgazione non prevista (diffusione se la violazione è volontaria) e si verifica quando vengono diffusi dati personali che non dovevano essere divulgati.
4. Modifica non autorizzata (compromissione se la violazione è volontaria) e si verifica quando
un terzo modifica dati che non poteva modificare.
5. Perdita d’accesso (cifratura se la violazione è volontaria) e si verifica quando i dati personali vanno persi.
6. Cancellazione dei dati (distruzione volontaria se la violazione è voluta) e si verifica quando viene cancellato il file che conteneva dati personali che erano salvati solo lì.
Le violazioni vanno sempre documentate nel registro; ma quando notificarle?
Il GDPR ci dice che vanno notificate entro 72 ore dal momento in cui se ne viene a conoscenza ma solo se la violazione può mettere a rischio i diritti e le libertà degli interessati (cioè le persone fisiche a cui appartengono i dati personali violati).
A chi notificare? Al Garante e/o agli interessati.
In questo articolo invece vediamo dei casi pratici e cerchiamo di capire se l’evento accaduto è una violazione e se è il caso di notificarla.

È un Data Breach? Esempi e casi pratici

Adesso prendiamo alcuni casi e cerchiamo di capire se sono violazioni oppure no e se vanno notificate oppure no.

Caso della struttura sanitaria che ha un portale dove i pazienti possono scaricare i referti

L’ospedale XYZ ha un contratto con una società esterna che gestisce una piattaforma web. La struttura sanitaria usa la piattaforma per caricare i PDF dei referti, così i pazienti li possono scaricare sul loro computer ed evitare la fila per il ritiro degli esami di persona.
Un giorno Antonio Rossi, paziente dell’ospedale, va sulla piattaforma per scaricare i suoi esami del sangue di routine – emocromo e così via – e si accorge che il documento non è suo ma è l’esame del colesterolo di Peppino Rossi. Scrive una mail alla struttura sanitaria per segnalare che c’è stato un errore e che ha già cancellato il file dal suo computer, poi chiede che gli mandino i suoi esami.
L’incidente è stato causato da un problema tecnico. La probabilità che si verificasse era bassissima. Quindi si è trattato di un caso più unico che raro, ma la sfiga ci vede bene ed è accaduto lo stesso.
Domanda: secondo te quello che è capitato è una violazione?
Risposta: sì, perché un terzo non autorizzato ha visto dati particolari (dati sensibili) di un altro.
Domanda: questa violazione va notificata?

Prima di rispondere, ti racconto cos’è accaduto dopo l’incidente.

Il DPO della struttura sanitaria valuta il caso con il team privacy interno e decidono di notificare al Garante. E sai cosa succede? Il Garante fa partire il procedimento sanzionatorio per una comunicazione di dati particolari a terzi non autorizzati. In pratica, un treno in faccia.
Forse si poteva evitare. È vero che c’è stata una violazione, ma ha riguardato un unico caso, oltretutto per esami di routine – non HIV, tumori e altre malattie gravi – siamo sicuri che questo caso porterebbe a gravi conseguenza sui diritti e le libertà di Peppino? Ecco che valutare con Tools la presunta gravità diventa utilissimo per non farsi prendere né da ansia né da eccessiva faciloneria. Questa violazione poteva molto probabilmente essere riportata solamente nel registro delle violazioni. Poi l’ospedale e il responsabile esterno avrebbero dovuto prendere tutte le precauzioni del caso per evitare che si ripetesse, ma poteva finire lì. Invece l’ospedale, per eccesso di zelo, si è beccato nei denti un procedimento sanzionatorio.

Caso della società per il lavoro e dell’invio a centinaia di persone della posizione giuslavoristica di Antonio

Giulia lavora per una società di somministrazione di lavoro interinale. È l’addetta che invia le mail ai lavoratori. Prima di Natale, scrive una mail a 300 persone in somministrazione ad un’azienda cliente della società, per spiegare come devono gestire il piano ferie. Fa tutto bene – fa attenzione a mettere gli indirizzi in copia e non in chiaro, controlla che la lista per l’invio includa solo le persone interessate – ma invece di prende il file Excel con le indicazioni del piano ferie, per sbaglio allega alla mail il file con tutta la posizione giuslavoristica – dati anagrafici, inquadramento, legge 104, permessi, malattie eccetera eccetera – di Antonio, uno dei lavoratori interinali della lista. E spedisce la mail. Dopo qualche minuto, riceve la segnalazione di Antonio che furioso le chiede spiegazioni.
Domanda: secondo te quello che è capitato è una violazione?
Risposta: sì, perché terzi non autorizzati hanno visto i dati personali di un altro.
Domanda: questa violazione va segnalata?
Risposta: secondo me sì, perché i dati di Antonio che sono stati diffusi sono molti e in molti li hanno visti.
E se invece della posizione giuslavoristica, Giulia avesse inviato la lista con il numero di volte che Antonio ha usato la mensa aziendale? È una violazione da notificare?
No, perché non è una violazione e non c’è un rischio per i diritti e le libertà di Antonio.

Caso dell’azienda di profumi a cui vengono rubati 40 computer

L’azienda di profumi XYZ organizza il family day negli spazi aziendali. Durante l’evento uno dei partecipanti va in una stanza e apre la finestra. Nessuno se ne accorge. Di notte insieme ai suoi complici entra in azienda dalla finestra e ruba 40 computer con l’obiettivo di rivenderli. 30 computer sono formattati perché, allo spegnimento, in automatico si formattano e non contengono nessun dato personale.
Domanda: secondo te quello che è capitato è una violazione? E se sì va segnalata?

Risposta: no e no. I computer erano puliti e protetti e con c’era bisogno di fare alcuna notifica né di registrare nessuna violazione.

Caso del sistema di prenotazione alberghiera che subisce un attacco hacker

L’azienda che fornisce un sistema di prenotazione alberghiera online subisce un attacco. Gli hacker rubano un certo numero di mail e vedono quali utenti hanno prenotazioni in essere.
Antonio è un utente della piattaforma e ha prenotato la settimana bianca a Cortina con la famiglia all’Hotel XYZ. Dopo l’attacco hacker riceve una mail dall’albergo XYZ – una mail normalissima, dalla casella di posta dell’hotel – dove il finto addetto riepiloga i dettagli della sua prenotazione e chiede un acconto del 10%. La mail è falsa, ma sembra autentica.

Se Antonio avesse già mandato l’acconto e fosse uno un po’ sgamato, magari gli si accenderebbe la lampadina. Gli verrebbe il dubbio e chiamerebbe l’Hotel XYZ per sapere se effettivamente la mail l’hanno mandata loro. Ma nella maggior parte dei casi, dato che si tratta di piccoli importi, alle persone non viene questo scrupolo e cadono nella truffa.

Domanda: secondo te quello che è capitato è una violazione?
Risposta: sì, perché terzi non autorizzati hanno visto i dati personali di altri.
Domanda: questa violazione va segnalata?
Risposta: secondo me sì, ma agli interessati, non al Garante e non tanto per un problema legato al GDPR, ma piuttosto per evitare che le persone con prenotazioni in essere subiscano la truffa.

Sei un titolare del trattamento? Usa un metodo oggettivo per identificare le violazioni

Prima di tutto devi avere un’ottima procedura di segnalazione sia esterna (da parte dei responsabili esterni) sia interna (da parte degli addetti). Poi devi spiegare ai responsabili esterni che se ricevono una segnalazione, non devono notificare al Garante. Perché se lo fanno, gli tagli la prima falange del dito, ma devono segnalare a te, titolare del trattamento. Sei tu che poi devi prendere le decisioni.
Poi devi capire se la segnalazione è una violazione.

Sono andati persi, rubati, cancellati eccetera dei dati personali?

Risposta: no. Allora non è una violazione.
Risposta: sì. Bene, allora la documenti nel registro delle violazioni e vai avanti.
Chiediti: La violazione lede i diritti e le libertà delle persone?
Risposta: no. Allora registra quello che hai fatto e che farai per risolvere il problema.
Risposta: sì. Allora devi decidere se notificare o meno e a chi (Garante e interessati).
In ogni caso devi documentare tutto quello che è stato fatto e perché.
Ricordati che se subisci una visita ispettiva non è più come una volta, dove magari si soffermavano solo sugli aspetti formali. Adesso ti chiedono ragione di quello che hai fatto e di dimostrare i ragionamenti che ti hanno portato a prendere le tue decisioni.
Fonte: PrivacyLab – www.privacylab.it
Autore Andrea Chiozzi
Read More

Privacylab GDPR – Le novità di Marzo 2020

Caro Rivenditore Consulente,
PrivacyLab GDPR continua ad aggiornarsi costantemente e a rilasciare sempre qualcosa di nuovo.
Le ultime novità sono:
1. ATTESTATO DI SUPERAMENTO CORSO E-LEARNING
Per il modulo del corso E-Learning (sia Avanzato che Base) è stata introdotta la possibilità di scaricare il proprio attestato una volta completato positivamente il test finale.
Nella schermata dei risultati, per chi ha ottenuto un punteggio superiore a 70/100, si troverà un pulsante “PDF” affianco ad ogni nome.
Da qui si potrà ottenere il relativo attestato, per poter dimostrare la formazione dei soggetti autorizzati al trattamento di dati personali.
2. GESTIONE DEI WORKFLOW SUL CALENDARIO
Grazie al Tool di Sorveglianza si ha accesso alla specifica Area Sorveglianza di PrivacyLab utilizzando le credenziali dell’utente superuser.
Su questo portale, oltre a tenere sotto controllo tutte le aziende con attivo il Tool, è prevista una nuova funzione pensata per agevolare la sorveglianza. Si tratta della gestione di nuovi workflow attraverso l’apposito calendario.
Sarà possibile registrare eventi o appuntamenti ed in più si potranno programmare notifiche (Email o SMS) da ricevere, relative ad azioni su una o più aziende associate. Sulle licenze che vorrai tenere sotto controllo, potrai scegliere su cosa attivare il workflow (quindi la tipologia) e quale deve essere la specifica del Trigger che azionerà la notifica in arrivo (quindi se attivarlo quando nella tipologia viene creatomodificato o eliminato un campo).
I dettagli dei Trigger e dei Workflow sono tutti personalizzabili, in modo da creare la notifica su misura per ogni caso di sorveglianza!
Fonte: Blog Privacylab
Read More

PrivacyLab Day, 7 febbraio 2020

Fonte: Redazione Blog Privacylab – Febbraio 2020

Venerdì 7 febbraio 2020, Ruote da Sogno, Reggio Emilia: ecco le coordinate della seconda edizione del “PRIVACYLAB DAY”, l’appuntamento annuale dedicato a rivenditori, consulenti, partner ed amici di PrivacyLab, parte di Warrant Hub S.p.A – Tinexta Group.

“Dal click al valore”: il tema della seconda edizione

“Dal click al valore” è stato il tema di questa edizione – patrocinata dall’Associazione Federprivacy, la principale associazione italiana dei professionisti della privacy e della protezione dei dati personali – in cui abbiamo avuto il piacere di ospitare oltre 220 professionisti, fra consulenti e operatori del settore GDPR, nella splendida cornice di Ruote Da Sogno, lo show room di Reggio Emilia per gli appassionati di motori: 8.000 mq, 700 moto di ogni epoca e marca e oltre 100 auto classiche in esposizione, nel cuore della Motor Valley italiana.
Abbiamo parlato di GDPR, ovviamente, e di come i servizi e gli strumenti di PrivacyLab possono servire per costruire un mercato più maturo attraverso una rete qualificata di consulenti e partner.

I relatori del PrivacyLab Day 2020

Il 7 febbraio a Reggio Emilia, importanti relatori hanno delineato le dinamiche e le criticità che caratterizzano lo scenario attuale del Regolamento Generale sulla Protezione dei Dati.

Fiorenzo Bellelli, Amministratore Delegato Warrant Hub – Tinexta Group, ha aperto la serie degli interventi parlando di “GDPR tra difficoltà, reticenze ed opportunità”.

A seguire, Nicola Bernardi, Presidente dell’Associazione Federprivacy, ha tracciato il profilo delle figure professionali della data protection più richieste dal mercato, mentre Giuseppe Giuliano, Funzionario del Dipartimento Attività Ispettive del Garante per la protezione dei dati personali, si è soffermato sul tema delle attività ispettive al tempo del GDPR.

Infine, Umberto Rapetto, Generale della Guardia di Finanza in Riserva e già comandante del GAT Nucleo Speciale Frodi Telematiche, ha illustrato il quadro attuale della cyber-security in Italia anche alla luce dei suoi ruoli di Vice Presidente dell’Autorità Garante della Repubblica di San Marino, Docente universitario, giornalista e scrittore.

In questo contesto, Andrea Chiozzi, CEO di PrivacyLab, ha tracciato il quadro su come servizi e strumenti all’avanguardia possono portare a un mercato più maturo, grazie a una rete qualificata di consulenti e partner. Con l’occasione, Chiozzi ha presentato anche le novità di PrivacyLab in termini di servizi, strategie e formazione, nonché le nuove opportunità di sviluppo per il canale.

Guarda i video dell’evento:

Mattina  https://youtu.be/l40TwA9CJHA

Pomeriggio  https://youtu.be/_aSOpmtrZK0

Un anno di PrivacyLab  https://youtu.be/hDBt_qsDFCQ

Vuoi partecipare alla prossima edizione del PRIVACYLAB DAY?

L’importanza di scegliere il partner e gli strumenti adeguati per garantire alle Aziende e alla P.A. la sicurezza IT, la Business Continuity e la compliance al GDPR.

Contattaci per maggiori informazioni!

N4B SRL – – 0522-1607412

Distributore Solarwinds MSP – Legal Logger – Swascan – LeadBI & Partner Privacylab Academy 

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

I dati sensibili nel GDPR: cosa sono e come vanno trattati

Fonte: Redazione Blog Privacylab – Febbraio 2020

Dati sensibili o dati particolari? È una questione di etichette. Quelli che un tempo si chiamavano dati sensibili con l’entrata in vigore del GDPR hanno cambiato nome. Adesso sono dati particolari e sono un sottoinsieme della più ampia categoria dei dati personali, che a loro volta non sono più solo quelli di una volta.
Chiaro? Mica tanto!

Vediamo di mettere tutti i punti in fila.

I dati sensibili secondo la 196

Chi, come me, frequenta il mondo della privacy da qualche tempo si ricorderà del d.lgs 196/2003: il codice sulla privacy. Già allora era chiaro più o meno a tutti che alcune informazioni personali sono più personali di altre e quindi sono da maneggiare con cura, anzi da non maneggiare affatto.
Li chiamavano i dati sensibili, cioè i dati che andavano protetti più degli altri e che infatti potevano essere trattati solo con il consenso scritto dell’interessato.
La 196 considerava sensibili i dati personali in grado di rivelare:
  • l’origine razziale ed etnica di un individuo
  • le sue convinzioni e adesioni religiose, politiche e filosofiche
  • lo stato di salute e la vita sessuale

GDPR e dati sensibili: è cambiato qualcosa?

L’articolo 9 del GPDR ci dice che i dati particolari (ex-sensibili) non devono essere trattatati – salvo consenso esplicito dell’interessato o in caso di necessità per assolvere ad alcuni obblighi ben codificati – e ci dice anche quali sono:

  • l’origine razziale o etnica 
  • le opinioni politiche, le convinzioni religiose o filosofiche
  • l’appartenenza sindacale
  • i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica
  • i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona
Quindi rispetto al codice privacy cosa è cambiato? Solo la forma, poco la sostanza.
Dati sensibili e dati particolari sono assimilabili ed è vietato trattarli, a meno che l’interessato non abbia dato il suo esplicito consenso e salvo alcuni casi particolari che vedremo fra poco.

La novità vera è un’altra.

È cambiato il concetto stesso di dato personale, che sull’onda dell’evoluzione tecnologica è diventato qualcosa di più complesso rispetto a quello che intendevamo una volta.
Oggi i dati personali sono tutte le informazioni che riconducono ad un singolo individuo attraverso le sue caratteristiche, relazioni, abitudini, stile di vita e così via. E quindi sono anche:
  • tutte le informazioni identificative, dai dati anagrafici alle immagini che ritraggono la persona
  • i dati precedentemente definiti sensibili e quindi sottoposti a tutela particolare
  • le informazioni giudiziarie che possono rivelare l’esistenza di determinati provvedimenti giudiziari a carico della persona
  • i dati relativi alle comunicazioni elettroniche via telefono o internet come, per esempio, un indirizzo IP
  • i dati che consentono di geolocalizzare una persona e da cui è possibile capire dove è andata, quando e a volte anche con chi
  • dati genetici e i dati biometrici

Esempi di dati sensibili o particolari, secondo il GDPR

Ma quindi come faccio a capire se un certo dato è particolare o se è solo un dato personale?
Andiamo nel concreto e vediamo alcuni esempi per identificare le informazioni che rientrano nella categoria dati particolari (ex-sensibili) e quelle che non vi rientrano.
  • Peppino è sposato, fa l’agente di commercio ed ha un’amante, che incontra tra un cliente e l’altro mentre è in viaggio per lavoro. Un giorno sua moglie chiama in ufficio chiedendo di lui e la segretaria risponde che Peppino non si è presentato perché sta male. In realtà è al mare con l’amante. La moglie fa due più due e scopre la relazione extra-coniugale. La segretaria ha trattato e comunicato a persone a cui non poteva comunicare dati particolari? Sì, ha trattato in modo non conforme al GDPR un’informazione relativa allo stato di salute di Peppino. E poi, già che c’era, ha scatenato pure “trattamento relativo a dati vita sessuale”, ma questa è un’altra storia
  • Peppino fa il commerciale per la sua azienda. Usa un’auto aziendale e sull’auto c’è un sistema GPS che lo geolocalizza. È un dato particolare? No, ma è comunque un dato personale.
  • Antonio è iscritto al Partito Comunista, ogni anno rinnova la tessera e quando può partecipa ai comizi. La sua adesione al PC è un dato particolare? Sì. È un’informazione che rivela le convinzioni politiche di Antonio.
  • Antonio, appassionato di bocce, tutte le domeniche assiste alle partite degli anziani alla bocciofila di Borzano di Albinea. È un dato particolare? No, ma è comunque un dato personale, perché rivela un’abitudine di Antonio.
  • Giulia è celiaca e Marta vegana. Sono dati particolari? Sì. La prima è un’informazione che rivela le condizioni di salute di Giulia, la seconda le sue convinzioni filosofiche.
  • Giulia fa jogging tutte le mattine e Marta fa colazione al bar del paese una volta alla settimana. Sono dati particolari? No, ma sono comunque dati personali, perché riguardano lo stile di vita di Giulia e Marta………………

I dati particolari (ex-sensibili) non vanno mai trattati. È sempre vero? Dipende

Il divieto non è assoluto. I dati particolari possono essere trattati se l’interessato ha dato il suo consenso esplicito. Inoltre, possono essere trattati anche senza il suo consenso, solamente se ricadono nelle eccezioni indicate dall’art. 9. 
  • Alcuni dati particolari vanno trattati necessariamente per il calcolo della retribuzione e a fini pensionistici.
Esempio – Antonio lavora in un’azienda. L’azienda deve poter trattare alcuni dei suoi dati particolari, cioè malattie e permessi, per calcolare la sua retribuzione, versare i suoi contributi e accantonare il TFR
  • Se l’interessato fa parte di una fondazione, di un’associazione o di un altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, questi enti possono trattare i suoi dati senza obbligo di consenso esplicito solo se il trattamento riguarda unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo per le sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato.
Esempio – Giulia è iscritta al sindacato, che è obbligato a non diffondere questo dato al di fuori dell’organizzazione, ma l’obbligo non vale per il trattamento all’interno perché le informazioni di Giulia servono agli addetti dell’organizzazione sindacale per tutelarla nei confronti del datore di lavoro, inviarle comunicazioni, fare la sua dichiarazione dei redditi tramite CAF e così via.
  • È necessario trattare dati particolari per tutelare un interesse vitale dell’interessato o di un’altra persona fisica se l’interessato non può dare il suo consenso per incapacità fisica o giuridica.
Esempio – Antonio ha un attacco cardiaco in ufficio, l’azienda chiama l’ambulanza che lo porta in ospedale. L’azienda è obbligata a trattare i suoi dati particolari per salvargli la vita.
  • Il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato.
Esempio – Giulia è da sempre sostenitrice del Partito Comunista. Stufa di essere solo una tesserata, decide di candidarsi e così dà il suo consenso esplicito affinché le sue convinzioni politiche vengano diffuse in campagna elettorale e sui mezzi di informazione.
  • Se l’interessato è coinvolto in un procedimento giudiziario – necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali – i suoi dati particolari possono essere trattati senza il suo consenso.
Esempio – Antonio deve testimoniare in tribunale perché ha assistito ad una rapina in banca mentre andava dal medico, per sottoporsi ad una visita medica importante.
  • Il trattamento è necessario per motivi di interesse pubblico rilevante.
Esempio – L’anagrafe cittadina per la gestione degli asili e delle scuole e che quindi tratta dati su cittadinanza, immigrazione, asilo, condizione dello straniero e del profugo, stato di rifugiato.
  • Il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali.
Esempio – Antonio è un operaio edile. Viene assunto da un’azienda specializzata nella costruzione di ponti in alta quota. L’azienda è tenuta a verificare l’idoneità fisica di Antonio e si rivolge ad un medico del lavoro perché accerti il buono stato di salute del nuovo dipendente. Deve quindi trattare i dati particolari di Antonio e per farlo non ha bisogno di chiedere il suo consenso esplicito.
  • Il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici.
Esempio – Marco e Luisa fanno un viaggio ad Haiti. Al loro arrivo però scoppia un’epidemia di colera, così decidono di ripartire immediatamente per l’Italia. Una volta arrivati vengono messi in isolamento e sottoposti a controlli per verificare che non abbiano contratto la malattia. I loro dati sanitari vengono trattati per evitare un’epidemia, quindi non è necessario il loro consenso.
  • Il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
Esempio – La ricerca medica sull’incidenza tumorale dello SLA prevede l’analisi del DNA  del paziente e dei suoi familiari per verificarne incidenza e probabilità statistiche legate alla malattia.

Ricapitolando: cosa devi fare con i dati sensibili

Aziende, professionisti ed enti – quindi tutti i titolari del trattamento – spesso e volentieri incappano nei dati particolari, ex-sensibili, dei loro dipendenti, associati, clienti e così via.

Ecco cosa bisogna fare quando si trattano dati di questo tipo.

Chiediti: il dato che ho di fronte è solo personale o particolare?

Risposta: è solo personale. Allora devi trattarlo in modo conforme al GDPR.
Risposta: è particolare. Allora devi approfondire.
Chiediti: Trattare questo dato per me è fondamentale, obbligatorio oppure posso farne a meno?
Risposta: è fondamentale per la tua attività. Allora chiedi il consenso esplicito all’interessato.
Risposta: è obbligatorio per legge. Allora puoi anche non chiedere il consenso all’interessato.
Risposta: non mi serve e non sono obbligato. Allora non trattare il dato.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR: La visita ispettiva della Guardia di Finanza

Sono trascorsi diversi mesi dal 23 Maggio 2019, il termine ultimo definito dal Garante della Privacy per l’adeguamento alla GDPR da parte delle aziende e pochi mesi dal 19 Maggio 2019, data termine del periodo di giusta tolleranza, vista la complessità della norma, per l’applicazione delle sanzioni previste dal Regolamento UE per i Servizi Ispettivi eseguiti dal Nucleo Speciale della Guardia di Finanza.

A proposito della visita ispettiva… come funziona?
Ce lo racconta Andrea Chiozzi
, socio fondatore di PrivacyLAB e autore di Il corvo. Una giornata da dimenticare per Andrea Kaiser.

Il corvo. Una giornata da dimenticare per Andrea Kaiser è il breve racconto, in tono romanzato, in cui il protagonista Andrea Kaiser, vive l’esperienza della visita ispettiva condotta dalla Guardia di Finanza alla Steel, azienda in cui il protagonista riveste il ruolo di Consulente GDPR.

Il racconto è breve e molto utile, sono sufficienti 15 minuti per la lettura completa.
Durante la lettura sarete immersi nella procedura di esecuzione dei Servizi Ispettivi relativi alla Compliance GDPR con l’emotività del protagonista e potrete comprendere a fondo le dinamiche tra richieste di Data Privacy Assessment, registro dei trattamenti, nomina del DPO, informative, nomine del Responsabile esterno e tanto altro.

Buona lettura!

Il corvo. Una giornata da dimenticare per Andrea Kaiser

Andrea Kaiser non aveva dormito quella notte. 5 ore con gli occhi sbarrati e la sensazione sgradevole che quella sarebbe stata una giornata da dimenticare. Imboccata la statale per arrivare in azienda, la sua testa era nel caos. Non riusciva a scrollarsi di dosso la sensazione di sfiga imminente. Scese dall’auto. Accese la sigaretta elettronica. Due minuti di appagamento prima di buttarsi nelle solite 14 ore filate di lavoro. “Devo staccare prima” pensò, rimpiangendo la settimana sabbatica in barca a vela del mese precedente. Un corvo planò di fronte al campo incolto di fronte a lui, proprio mentre il vapore della sigaretta svaniva nell’aria. “Cattivo presagio?” Scacciò il pensiero “Devo smetterla di autosuggestionarmi” si disse seccato.

Kaiser superò il vialetto che dal parcheggio portava alla STYLE – l’azienda che lo aveva nominato consulente privacy – una piccola catena di abbigliamento, 15 negozi e un e-commerce per un totale di 60/65 mila clienti sparsi per tutto il nord d’Italia – quando squillò il telefono. Era Giulia, l’assistente di Erminio Cocci, l’Amministratore Delegato.

«Buongiorno Giulia» rispose Kaiser cercando di mascherare l’inquietudine, non lo chiamava mai prima delle 9.00 ed erano appena le 8.00 «Sono quasi all’ingresso, Cocci chiede di me?”
Dall’altro capo del telefono, Giulia, normalmente calma e professionale, rispose in un sussurro «Sì, no… be’, sì Cocci ti sta cercando, ma con lui ci sono anche» la voce ormai impercettibile «Ci sono anche i finanzieri
Eccola lì, la sfiga. Altro che sensazione. La Guardia di Finanza era lì per una visita ispettiva!
Kaiser si fermò. Trattenne un’imprecazione. Passò in rassegna tutto il lavoro fatto negli ultimi 8 anni con la STYLE: le sporcaccionate con la 196 non a norma che era riuscito a sistemare, tutto il faticoso lavoro di adeguamento al GDPR, la formazione, le spunte sul sito, il Registro dei trattamenti. Ma sarebbe bastato? Cocci più volte aveva ignorato i suoi consigli… Cosa avrebbero guardato? E soprattutto perché erano lì?
Kaiser dominò l’ansia. “La Guardia di Finanza si muove per due motivi” si disse “O ti sorteggiano o qualcuno ti ha segnalato. La BIZ, magari?” La BIZ era la concorrente della STYLE. Un’azienda che giocava sporco. Il titolare era un mezzo bandito che aveva cercato di affondare il suo cliente già diverse volte. Sospirò. Sfiga o colpo basso poco importava. Kaiser si passò una mano fra i capelli e si avviò spedito verso la STYLE.
«Buongiorno Andrea» lo accolse con aria sollevata Cocci «Finalmente sei qui! Ti presento il Maresciallo Bianchi, il Brigadiere Atti e l’Appuntato Nocera del Nucleo Speciale della Guardia di Finanza»
Il maresciallo, un uomo massiccio, sui 45 anni, dall’aria seria e gli occhi penetranti, puntò lo sguardo su di lui «Piacere. Dott. Kaiser, consulente privacy, giusto? Cosa ne dite se ci accomodiamo nell’ufficio del Dott. Cocci?»

«Benissimo. Certamente maresciallo» l’A.D. si schiarì la gola «Vi faccio strada»

I cinque uomini si chiusero la porta alle spalle. Giulia, agitata, tornò alla scrivania, accese il computer e cercò di concentrarsi sul lavoro, gli occhi che correvano dal monitor all’ufficio del titolare. Cosa stava succedendo?

«Come potete immaginare» disse il maresciallo sedendosi e appoggiando un faldone enorme sul tavolo di cristallo Kartell di Cocci «Siamo qui per una visita ispettiva. Vorremmo capire come trattate i dati. A questo proposito vorremmo parlare con lei, Dott. Cocci, con il vostro consulente informatico, il legale e il DPO.»
Cocci deglutì e disse «Il consulente informatico è esterno. Non abbiamo un legale interno e non abbiamo nominato neanche un DPO perché non è obbligatorio per legge. Quindi, per la gestione del GDPR ci siamo affidati al Dott. Kaiser, qui presente, che è il nostro consulente privacy»
Il maresciallo alzò gli occhi, lo sguardo passò dall’Amministratore Delegato a Kaiser «Non avete il DPO? » disse aprendo il faldone che, notò il consulente, conteneva il testo completo del Regolamento e tutti i provvedimenti del Garante.
E Cocci «Ah be’ sa, noi non trattiamo dati su larga scala…»
«Lo lasci giudicare a me. » Disse il maresciallo «A proposito, venendo qui ho notato che ci sono delle telecamere. Mi portate la documentazione su come gestite la videosorveglianza? »
Cocci guardò Kaiser «Andrea, ci pensi tu? »
«Certo. Torno subito. Vado a prendere il faldone privacy» rispose. Uscì in fretta giusto in tempo per sentire il maresciallo che diceva «Va bene, lei vada pure Dott. Cocci, la chiamiamo noi quando serve. »
Erminio Cocci raggiunse in un attimo Kaiser e mentre si affrettava verso il terrazzo per prendere aria, gli lanciò uno sguardo ansioso.
“Ok, allora la pesca è tutta mia” Pensò Kaiser mentre rientrava in ufficio con un grande faldone rosso vivo. Era lì che la STYLE aveva archiviato tutti i documenti sulla privacy: informative, contratti, nomine. «Ecco i documenti» disse porgendo i fogli al maresciallo, che non rispose, ma dal suo sguardo trapelò un lampo di approvazione. Un raccoglitore con tutti i documenti sulla privacy: quel Kaiser sapeva il fatto suo.

«Per quanto riguarda la videosorveglianza» proseguì il consulente «abbiamo l’informativa completa. Il Dott. Cocci ha fatto installare i cartelli prima del raggio d’azione delle videocamere e nel Registro dei trattamenti c’è anche quello della videosorveglianza. Le videocamere sono presenti anche nei negozi. Chiaramente abbiamo lasciato l’informativa ai dipendenti, ma il sistema di telecamere viene usato solo per la tutela del patrimonio. Non viene usato per il controllo a distanza dei lavoratori. È stato fatto anche l’accordo con Ispettorato Territoriale del Lavoro e con i sindacati.» Precisò Kaiser.

Annuendo il maresciallo disse: «Va bene, entro un’ora mi porti tutti i documenti, così li vediamo e nel frattempo li scansioniamo. Sa, non siamo venuti qui per controllare come gestite la videosorveglianza. Comunque, già che ci siamo, controlliamo anche quello, tanto per vedere come siete organizzati.» Alzò gli occhi e disse «So che c’è l’IT interno, Dott. Kaiser, lo chiami per cortesia e gli chieda la stampa di tutti i clienti in database per vedere quanti sono. Così capiamo meglio se è vero che non dovete nominare il DPO.»
Kaiser si alzò, percorse il corridoio e raggiunse il CED. «Antonio» disse «Ho bisogno di te. Puoi venire un attimo?» Antonio Ferrari, responsabile IT, staccò gli occhi dal monitor e uscì. Lo sguardo di Kaiser era preoccupato, non è che forse… «Dimmi Andrea. Cosa succede?» Kaiser a bassa voce gli disse «Mi serve la stampata del database clienti, me la puoi fare al volo? »
Ferrari sempre più insospettito fece partire la stampante e diede il foglio al consulente “Qui sta succedendo qualcosa” si disse.
«Ecco la stampata» disse Kaiser rientrando «Ci sono 65.042 clienti registrati sui database, ma sono sparsi in tutto il nord Italia perché la STYLE ha solo 15 negozi fra Lombardia, Piemonte, Veneto ed Emilia-Romagna. Il numero è esiguo, in rapporto ai 50 milioni di abitanti dell’Italia, per questo il DPO non è stato nominato. Ecco la mail in cui il Dott. Cocci si è confrontato con me ed il legale, che riporta anche i motivi per cui è stata presa la decisione. »
«Grazie» disse il maresciallo dando una rapida scorsa al foglio e porgendolo al collega perché lo scansionasse, poi aggiunse «Vi consiglio comunque di ripensarci. Dott. Kaiser, noi siamo qui per rilevare, non per giudicare. Però, durante la visita ispettiva potrei darvi qualche suggerimento per correggere e migliorare quello che state facendo. Più tardi ne parlerò anche con il Dott. Cocci…»
Kaiser ripensò alle occasioni in cui aveva consigliato – inascoltato – l’Amministratore Delegato. Più volte gli aveva suggerito di nominare un DPO: «Dott. Cocci io non posso decidere per lei, perché è lei il titolare del trattamento dei dati e io sono un consulente. Però la sua è un’attività B2C. Se fosse un B2B e lei trattasse solo dati di aziende potremmo anche ragionarci, ma i suoi clienti sono persone fisiche. In un contesto come il suo il DPO va nominato.» Nulla. L’A.D. aveva preferito diversamente.

«Ne avrà viste tante maresciallo…» disse Kaiser riprendendo il discorso «Sicuramente avrà tanta esperienza e accettiamo volentieri le sue indicazioni. »

ll maresciallo scambiò uno sguardo con appuntato e brigadiere ma non rispose. «Bene» disse «Adesso passiamo all’e-commerce. Facciamo un’analisi sul sito per capire la reale gestione di quei dati che vengono recuperati da lì e arrivano all’area cliente. Quindi dovremmo parlare con il responsabile ERP e il responsabile dell’IT in modo da capire dove vanno a finire queste informazioni. »
«Vi servono le informative del sito?» chiese Kaiser alzandosi per andare a chiamare Ferrari e Caruso, il responsabile ERP.
«Le vediamo insieme. Facciamo tutti i passaggi per la registrazione al sito, come un utente normale. Entriamo all’interno della piattaforma e vediamo cosa c’è e cosa non c’è. Dove sono le informative e quali consensi vengono raccolti.» Rispose il maresciallo con tranquillità.
Quando Kaiser lo raggiunse in compagnia di un turbato Caruso, Ferrari, il responsabile IT, ormai aveva capito. Erano sotto visita ispettiva. Iniziò a sudare, gli occhiali si appannarono. Li prese, li pulì con il bordo della camicia e seguì i due nell’ufficio di Cocci.

«Adesso ci mettiamo tutti al tavolo e vediamo cosa succede quando le persone si registrano sul sito»
Appuntato e brigadiere si misero al computer. L’appuntato inserì i suoi dati. Sul sito c’era l’informativa e i finanzieri la passarono al setaccio. Le finalità di raccolta erano solo 3: marketing, profilazione e customer satisfaction – la STYLE si appoggiava ad un’azienda esterna per le indagini sulla soddisfazione del cliente – ogni finalità aveva la sua spunta. Kaiser sospirò sollevato perché su quel punto aveva insistito molto. “Ogni trattamento deve avere il suo consenso” aveva spiegato all’azienda.
L’appuntato si registrò e acconsentì solo al trattamento per finalità di marketing.
«Adesso Dott. Caruso» disse al responsabile ERP «mi stampi cosa è arrivato dalla registrazione dell’appuntato sul sito.» Caruso si affrettò alla sua postazione e dopo pochi minuti tornò con un foglio dove c’erano scritti nome, cognome, indirizzo mail, 3 campi per il consenso e solo uno di questi flaggato.
Kaiser sospirò di nuovo “Bene, sito e gestionale sono integrati correttamente fra loro, fortuna che non ci sono stati bug o problemi con l’aggiornamento…” L’appuntato aveva dato il suo consenso solo per finalità di marketing e così risultava anche nel gestionale.
Nel frattempo, il brigadiere faceva lo screenshot del database marketing e guardava tutto quello che c’era e come era stato acquisito.
«Dott. Kaiser quante informative avete ipotizzato?» Riprese il maresciallo «Avete ipotizzato solo un’informativa per i clienti dei negozi, un’informativa per i clienti web, una per i prospect…»
«Dunque» si schiarì la voce il consulente «C’è un’informativa per i clienti del negozio, perché la STYLE ha la carta punti. Quindi, quando il cliente decide di usufruire della carta punti, la commessa gli dà l’informativa che al suo interno ha anche le informazioni sulla gestione della carta. Poi la commessa inserisce i dati nel sistema. C’è anche un’informativa per i clienti web ed una per chi si registra e vuole ricevere le promozioni. In totale, la STYLE per i clienti ha almeno 3 informative differenti, che dipendono dal punto di contatto utilizzato.»
Kaiser ripensò a quando la STYLE stava valutando la vendita di gioielli nichel-free alle clienti con carta fedeltà allergiche agli altri metalli. L’iniziativa era naufragata, ma se fosse andata in porto avrebbero dovuto prevedere un’ulteriore informativa, assolutamente necessaria perché quello era un trattamento di dati particolari.
Il Nucleo Speciale verbalizzò le informazioni, fece gli screenshot e passò oltre.
«Dott. Kaiser come viene gestita la privacy in azienda, come vi siete organizzati? Avete fatto un Data Privacy Assessment? Me lo racconti che poi andiamo a vedere dei documenti che fra poco le chiederò.»
Kaiser drizzò la schiena e con sicurezza descrisse come la STYLE gestiva i dati «Dunque, come prima cosa abbiamo redatto un Registro dei trattamenti, i negozi STYLE sono tutti di proprietà, quindi non essendo in franchising non abbiamo il registro del trattamento in conto terzi. Poi, per ogni trattamento, abbiamo fatto un’analisi dei rischi per verificare se il rischio residuale fosse basso e adottato le contromisure per essere tranquilli e avere un Impact Assessement su tutti i trattamenti che facciamo.»
Il maresciallo puntò lo sguardo su di lui. Era serio, ma non ostile. «L’analisi del rischio su che base l’avete fatta?» chiese.
«Usiamo PrivacyLab» rispose Kaiser senza esitare «È un tool che ha una metodologia estesa, certificata da UNICERT.»
«Ok, Dott. Kaiser, per cortesia, mi fa vedere il Registro dei trattamenti e mi dice che tipo di formazione state facendo in azienda? »
“Fase due” pensò Kaiser “Vuole vedere se la STYLE riesce a provare la sua accountability.”
«Certo, ecco il Registro» disse «Per la formazione facciamo così: abbiamo una persona, formata sul tema, che si occupa di data entry e che aggiorna la documentazione in PrivacyLab. Poi abbiamo formato chi si occupa di e-commerce, ma solo sulla gestione dei trattamenti connessi alla piattaforma, quindi come gestire le opposizioni al consenso e così via. In più abbiamo pianificato dei nuovi corsi di aggiornamento per i primi mesi del 2020.»
«Bene. Gentilmente mi chiama il Dott. Cocci? »
Kaiser uscì e rientrò con l’Amministratore Delegato visibilmente teso.
«Dott. Cocci, ho bisogno di chiederle alcune cose. Il Dott. Kaiser ha un contratto?»
Cocci giocherellando con le dita rispose «Sì, certo…»
E il maresciallo: «Ha anche una nomina a responsabile esterno? »
L’A.D. un po’ sudato rispose: «Sì, la faccio sempre fare.»
Il maresciallo scambiò uno sguardo con appuntato e brigadiere «Posso avere un’evidenza di questa nomina? Di com’è fatta e quali sono le finalità?»
Cocci guardò Kaiser, che annuì. I contratti e le nomine erano nel faldone privacy. Giulia, l’assistente dell’A.D., li archiviava con regolarità. «Ecco le nomine» disse Cocci.
Il maresciallo prese i documenti e li passò ai colleghi perché facessero la scansione. Poi riprese «Dott. Cocci, le paghe le fate voi o le fate fare all’esterno? »
«All’esterno» rispose l’A.D.
«Bene allora mi servirebbe anche la nomina del responsabile esterno per le paghe. E il consulente informatico? »
«Anche quello è esterno» disse Erminio Cocci.
«Allora mi servirebbe anche la sua nomina. Se avete il contratto mi serve anche quello, perché altrimenti la nomina, senza contratto, non ha senso di esistere…»
Kaiser penso fra sé e sé che il maresciallo si muoveva come un informatico e aveva la competenza di un legale. I contratti sono la base giuridica per definire i rapporti con i responsabili esterni e lui ovviamente sapeva dove guardare. Cocci intanto allungava i documenti al finanziere, le dita sudaticce che lasciavano un alone sulla scrivania di cristallo.
«Dott. Cocci» riprese il maresciallo «Come fate la selezione dei responsabili esterni?»
A questa domanda l’A.D. guardò prima Kaiser e poi il maresciallo. Lo sguardo era quello della mucca quando vede passare il treno. Il nulla. La risposta nella sua testa era ovvia “Come tutti…scegliamo quelli che costano meno”. Ma decise di sorvolare e farfugliò qualcosa su “… conosciuti ad un evento… affidabili… lo dice anche un amico imprenditore con cui gioco a tennis…”
Il finanziere lo guardò e con serietà gli disse «Basta chiedergli una DPIA. Quando si chiama un responsabile esterno, Dott. Cocci, oltre a chiedere cosa fa, dovreste chiedere anche di dare evidenza della sua compliance al GDPR. Dato che non può guardare il suo Registro dei trattamenti, può chiedergli la valutazione d’impatto. Servono le evidenze concrete, Dott. Cocci, non basta che le dica che rispetta il Regolamento europeo. Ovviamente sa che può interrompere il contratto con il suo fornitore informatico o con qualunque altro responsabile esterno, se non è chiaro come vengono trattati i dati, vero? »
Cocci annuì, l’aria pentita e le gocce di sudore che continuavano a colargli dalla fronte.
«Andiamo avanti. Per cortesia Dott. Kaiser mi chiama il responsabile IT? Deve farmi una relazione sull’organizzazione aziendale dal punto di vista informatico. Come vengono gestiti i dati sull’ERP, come vengono gestiti i server, dove sono ospitati… in modo da avere un quadro chiaro.»
Kaiser andò da Ferrari. Pallido, sudato, il responsabile IT roteava fra le dita una penna di plastica dal cappuccio smangiucchiato.
«Antonio, vieni. Il maresciallo vuole una relazione da te.»
Il responsabile IT si alzò, meccanico. Avrebbe preferito mangiare una biscia. Ma seguì a testa bassa Kaiser, cercando di mostrarsi sicuro.
«Allora, nella nostra struttura» iniziò schiarendosi la voce «Nella nostra struttura abbiamo dei server virtualizzati, dove vengono gestite le informazioni. Usiamo come software XYZ, il nostro database è ZXY»
“Adesso la sparo grossa e vediamo cosa dice” pensò Ferrari.
«Tutti i dati personali, come da legge, vengono pseudoanonimizzati e cifrati in maniera tale che a una prima vista non siano resi disponibili.» Disse tutto d’un fiato.
Il maresciallo scambiò un altro sguardo di intesa con i colleghi. Puntò gli occhi penetranti su Ferrari e disse «Mi dia evidenza. Vada con il brigadiere, che così verifica se fate quello che ha appena detto. Poi per cortesia prepari una relazione sulla gestione del dato sia all’interno del gestionale che del server. Dott. Kaiser» disse rivolgendosi al consulente «per piacere ci serve anche il Data Privacy Impact Assessement con l’analisi dei rischi fatta dall’azienda, soprattutto per l’e-commerce, che è quello con l’impatto più alto dal punto di vista dei dati.»
Kaiser entrò in PrivacyLab, scaricò il documento e lo stampò: una cinquantina di fogli A4.
Il maresciallo lo prese e disse: «Bene, avete fatto l’analisi del rischio, ma su quali basi lo avete stimato?»
E Kaiser: «Ecco, questa è la modalità che abbiamo usato per il calcolo» indicò un logaritmo sul documento scaricato da PrivacyLab «Avete qualche contestazione da fare sul documento? Vi sembra adeguato? »
«Sì, non lo abbiamo ancora letto…» rispose il maresciallo con un sorriso fra il divertito e il sardonico, iniziando a spulciare anche quel documento.
Nei 3 giorni di visita ispettiva che seguirono, il Nucleo Speciale continuò a fare test. Simulò l’iscrizione alla newsletter, una campagna marketing, come venivano acquisiti i consensi, verificò come funzionava la procedura di importazione ed esportazione dalla piattaforma di automazione delle mail. Si lesse tutta la DPIA e il Registro. Lo spulciò e passò in rassegna ogni trattamento. Lesse la relazione del responsabile IT. Il maresciallo e i suoi colleghi analizzarono e verificarono tutto, estrapolando quello che era necessario per il loro controllo, fecero screenshot di ogni documento.
Alla fine della visita ispettiva il maresciallo scrisse un verbale e preparò un CD da inviare al Garante.
«Dott. Cocci, Dott. Kaiser, qui abbiamo finito» disse congedandosi «Adesso mandiamo tutto all’Autorità Garante. Arrivederci.»
Cocci si girò verso Kaiser «Ma Andrea… e la sanzione? »

«La sanzione non la fa la Guardia di Finanza» rispose il consulente «Spetta al Garante. Dobbiamo aspettare, Erminio.»

L’Amministratore Delegato annuì, si girò, salutò Giulia e andò a casa. Kaiser lo guardò camminare a capo chino lungo il vialetto in direzione del parcheggio. Uscì anche lui. L’aria era pungente. Si accese una sigaretta elettronica. Guardò il campo vicino all’azienda. Nessun corvo questa volta. Forse quella notte avrebbe finalmente dormito.

Fonte:
Autore: Andrea Chiozzi, CEO di PRIVACYLAB SRL
Libro: Il corvo. Una giornata da dimenticare per Andrea Kaiser.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Read More

GDPR: Che cos’è il registro dei trattamenti?

Con il nuovo Regolamento Europeo, in vigore dal 25 maggio 2018, tutte le operazioni di trattamento dei dati che vengono effettuate all’interno di un’organizzazione, sia essa un’azienda, un ente o un’associazione, dovranno essere tracciate. E per farlo il titolare del trattamento e gli eventuali responsabili sono chiamati a utilizzare uno strumento: il registro dei trattamenti.

Cosa deve contenere il registro dei trattamenti?

Sul registro andranno indicate tutte le finalità del trattamento ma anche le informazioni di dettaglio, le modalità di conservazione dei dati, le misure di sicurezza applicate e tutte quelle tracce documentali necessarie per verificare che gli obblighi normativi previsti dal nuovo Regolamento Europeo siano costantemente rispettati.

Chi è obbligato a tenere il registro dei trattamenti?

L’articolo 30 comma 5 del General Data Protection Regulation non definisce obbligatoria la tenuta di questo registro ed esonera le imprese composte da meno di 250 dipendenti ad eccezione, però, di quelle che effettuano un trattamento che può rappresentare un rischio per i diritti e le libertà dell’interessato o che coinvolge in modo non occasionale dati particolari. Solo se i trattamenti a rischio non vengono effettuati allora il numero dei dipendenti diventa determinante per l’obbligatorietà della tenuta del registro. Va da sé che tutte le organizzazioni che hanno dei dipendenti di cui trattano, cosa certa, anche dati sanitari e quindi particolari, saranno obbligate a fare il registro dei trattamenti.

I diritti degli interessati

I diritti e le libertà degli interessati non riguardano solo la privacy ma anche il divieto di discriminazioni, la libertà di espressione e di pensiero, il diritto alla libertà di coscienza e di religione e la libertà di movimento. Si vanno quindi a toccare temi che riguardano la profilazione, come i dati pubblici raccolti durante la creazione di profili social, i sistemi di monitoraggio della rete sul comportamento degli utenti e quelli di geolocalizzazione.

In ottemperanza al GDPR 16/679 occorre valutare la “rischiosità” del trattamento e comprenderne il carattere occasionale o meno o se vengono inclusi dati di categorie particolari o relativi a condanne penali e a reati.

Read More

Nasce PrivacyLab Academy

Parte ufficialmente il progetto PrivacyLab Academy, la nuova area di PrivacyLab interamente dedicata alla formazione sul GDPR e tutti gli aspetti legati al mondo della privacy.

Cosa è cambiato con il nuovo Regolamento Europeo? Quali sono le ricadute per aziende, enti e consulenti? Cosa deve fare un DPO e come deve comportarsi un direttore del personale o un responsabile d’impresa per essere a norma con la normativa in vigore?

L’obiettivo di PrivacyLab Academy è proprio quello di rispondere a queste e altre domande erogando corsi di alto profilo su General Data Protection Regulation, gestione dei dati personali, cyber security e privacy in generale.

Già dal 2004 PrivacyLab affianca alla web app per la gestione completa della privacy numerosi seminari ed eventi di approfondimento. Con l’Academy il percorso formativo di PrivacyLab si struttura e allarga anche a università e istituti di formazione pubblici e privati.

Alla guida dell’Academy è stato nominato un Comitato Scientifico il cui presidente è Andrea Benfenati, consulente aziendale e già docente PrivacyLab. Altri componenti del comitato sono l’avvocato del foro di Modena Barbara Sabellico, l’esperto ITC Daniel Melissa e il CEO di PrivacyLab Andrea Chiozzi.

Tutti i corsi organizzati da PrivacyLab Academy sono pubblicati ed evidenziati nella sezione formazione dei nostro sito.

Read More

Come si gestisce un Data Breach – PrivacyLab GDPR

Come va gestito un Data Breach in azienda secondo il GDPR? Cosa dobbiamo fare se abbiamo a che fare con una possibile violazione dei dati personali?

Ce lo spiega Andrea Chiozzi, CEO di PrivacyLab, in questo estratto dal meeting annuale del 1° marzo 2019 a Milano riservato ai Rivenditori Ufficiali di PrivacyLab GDPR e ai Consulenti Certificati PrivacyLab.

Scopri PrivacyLab GDPR e tutti i suoi tool per la gestione della compliance al GDPR.

Per saperne di più CONTATTACI

N4B SRL – www.n4b.it – commerciale@n4b.it – 328-7221519

Read More