Decreto di armonizzazione GDPR

Il decreto di armonizzazione del GDPR è stato pubblicato in Gazzetta Ufficiale (d.lgs. 10 agosto 2018, n. 101).

Segnalo l’art. 22 comma 13:

13. Per i primi otto mesi dalla  data  di  entrata  in  vigore  del presente decreto, il Garante per la  protezione  dei  dati  personali tiene conto, ai fini dell'applicazione delle sanzioni  amministrative e nei limiti in cui  risulti  compatibile  con  le  disposizioni  del Regolamento (UE) 2016/679, della fase  di  prima  applicazione  delle disposizioni sanzionatorie.

A mio giudizio, nel testo viene chiesto, alla Autorità di Controllo, di usare gli strumenti sanzionatori (che non sono stati sospesi) con moderazione, valutando la situazione e tenendo conto del livello di adeguamento conseguito.

Aggiornamento: il Prof. Pizzetti conferma che non è previsto il famigerato periodo (otto mesi) di applicazione soft della normativa; quindi, dal 19 settembre, avremo l’entrata in vigore integrale della normativa.

Richieste, informazioni e preventivi

Con la ripresa lavorativa (e la pubblicazione in Gazzetta Ufficiale del Decreto Legislativo 101), molte organizzazioni mi stanno contattando per informazioni, richieste e preventivi in merito al GDPR.

Dato l’elevato carico di lavoro, non potrò rispondere a tutte le chiamate telefoniche; chiedo pertanto di inviare le richieste tramite una e-mail a webreq@stefanorossi.it, indicando i riferimenti per essere ricontattati appena mi sarà possibile.

DPIA: quando effettuarla?

Il Regolamento Europeo 679/2016 ha istituito (art. 35) il concetto di D.P.I.A. (Data Protection Impact Assessment – in italiano Valutazione dell’Impatto sulla Protezione dei Dati Personali).

Si tratta di una valutazione (preventiva) dell’impatto che un trattamento di dati personali potrebbe determinare sui diritti e le libertà delle persone interessate; qualora il rischio potenziale risulti elevato, occorrerà adottare tutte le necessarie (e possibili) misure di riduzione; nel caso il rischio residuo rimanga elevato occorrerà ricorrere alla consultazione della Autorità di Controllo.

Quando occorre effettuare una DPIA?

L’autorità Garante ha predisposto una apposita pagina informativa sulla DPIA; in generale, si deve condurre una valutazione di impatto:

  • quando il trattamento comporta una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • nel caso di trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
  • qualora il trattamento abbia ad oggetto la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Tali ampie definizioni non consentono di determinare con esattezza i casi specifici che necessitano di valutazione DPIA; per agevolare i vari Titolari del trattamento nella autonoma decisione (accountability), il gruppo di lavoro “Article 29 Working Party” ha prodotto delle apposite linee guida.

Sono individuati nove criteri discriminanti:

  • in presenza di valutazioni o assegnazioni di punteggi, inclusive di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato“;
  • nel caso di processi decisionali automatizzati aventi effetto giuridico o significamente incidenti in modo analogo: trattamento che mira a consentire l’adozione di decisioni in merito agli interessati che “hanno effetti giuridici” o che “incidono significativamente in modo analogo su dette persone fisiche”;
  • qualora si effettui un monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
  • in presenza di dati sensibili o dati aventi carattere altamente personale: questo criterio include categorie particolari di dati personali così come definite all’articolo 9 (ad esempio informazioni sulle opinioni politiche delle persone), nonché dati personali relativi a condanne penali o reati di cui all’articolo 10;
  • qualora il trattamento di dati avvenga su larga scala: il regolamento generale sulla protezione dei dati non specifica “larga scala”; il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:
    1. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
    2. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
    3. la durata, ovvero la persistenza, dell’attività di trattamento;
    4. la portata geografica dell’attività di trattamento;
  • qualora si ricerchino corrispondenze o combinazione da insiemi di dati, es. partendo da due o più basi di dati di diverse tipologie, diversi Titolari o diverse finalità (data mining – machine learning);
  • dati relativi a interessati vulnerabili: il trattamento di questo tipo di dati è prono a squilibrare il rapporto tra gli interessati e il titolare del trattamento, oppure ad esercitare compiutamente i propri diritti;
  • uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative, come l’adozione combinata di tecnologie biometriche e fisiche per il riconoscimento di utenti;
  • qualora il trattamento sia effettuato per “impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”, come nel caso di trattamenti occorrenti a consentire, modificare o rifiutare l’accesso degli interessati a un servizio oppure la stipula di un contratto.

Il WP29 indica come, in presenza di almeno due di questi indicatori, sia necessario condurre la valutazione DPIA.

Di recente, la Autorità di Controllo Belga ha pubblicato un elenco di trattamenti che debbono essere valutati con apposita DPIA:

  • trattamenti che utilizzano dati biometrici per l’identificazione univoca di persone in un luogo pubblico o in un luogo privato accessibile al pubblico;
  • qualora i dati personali vengono raccolti da terzi per essere successivamente utilizzati ai fini della decisione di rifiutare o risolvere un determinato contratto di servizi con una persona fisica;
  • quando il trattamento riguarda categorie particolari di dati personali, ai sensi dell’art. 9 GDPR, che sono (ri)utilizzati per uno scopo diverso da quello per il quale sono stati raccolti, tranne nel caso in cui il trattamento sia basato sul consenso dell’interessato o se è necessario per adempiere ad un obbligo legale a cui è sottoposto il titolare;
  • quando il trattamento viene eseguito utilizzando un apparato ed una violazione dei dati personali potrebbe compromettere la salute fisica dell’interessato;
  • nel caso di trattamento su larga scala di dati personali di soggetti vulnerabili, compresi i bambini, per uno o più scopi diversi da quelli per i quali i dati sono stati raccolti;
  • quando i dati vengono raccolti su larga scala da terze parti per analizzare o prevedere la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la posizione o il movimento di persone fisiche;
  • qualora particolari categorie di dati personali ai sensi dell’articolo 9 GDPR o dati di natura molto personale (come i dati sulla povertà, disoccupazione, partecipazione al lavoro giovanile o lavoro sociale, dati di attività domestiche e private, dati di localizzazione) sono sistematicamente scambiati tra diversi titolari;
  • in presenza di elaborazioni su larga scala di dati generati da dispositivi dotato di sensori che inviano dati via Internet o altri mezzi (IoT, come smartTV, elettrodomestici intelligenti, giocattoli, smart cities, contatori intelligenti di energia, ecc.) e tale trattamento viene utilizzato per analizzare o prevedere la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la posizione o il movimento delle persone fisiche;
  • quando si effettuino elaborazioni su larga scala e/o sistematica di dati di telefonia, Internet o altri dati di comunicazione, metadati o dati di localizzazione di persone fisiche o che consentano di ricondurre a persone fisiche, quando il trattamento non è strettamente necessario per l’esecuzione di un servizio richiesto dall’interessato;
  • in caso di elaborazioni automatizzate e sistematiche di dati personali su larga scala in cui il comportamento delle persone fisiche è monitorato, raccolto, stabilito o influenzato, inclusi i trattamenti per scopi pubblicitari.

GDPR ed il FireWall perimetrale

Mi vengo a trovare presso uno studio medico per motivi extra-professionali; vengono a sapere che mi occupo di dataprotection.

Intuisco che mi vorrebbero chiedere qualcosa, immagino si tratti di GDPR; la domanda infine salta fuori: ma noi dobbiamo avere un FireWall?

Lo studio medico “ha già fatto gli adeguamenti” con l’assistenza del consulente di una associazione di categoria.

Come spesso avviene quando si “fanno gli adeguamenti al GDPR” tramite fogli e checklist, ben pochi hanno idea di quello che stanno facendo ne del perché occorra farlo.

Come da copione, la formazione non viene fatta e vengono frettolosamente indicate le cose da fare, che non vengono motivate ne ben spiegate.

Con buona pace del concetto di accountability presente nel GDPR!


Un Titolare del Trattamento che abbia dati sanitari, deve mettere in atto tutte le misure di sicurezza che ritiene necessarie affinchè i dati personali conferitigli siano sicuri (art. 32 GDPR).

Il FireWall perimetrale costituisce una delle primarie misure di sicurezza della intera LAN di qualsiasi organizzazione; rimando alla apposita pagina per altri approfondimenti.

Inoltre, una ulteriore considerazione; tutte le LAN sono oggigiorno collegate ad Internet tramite una connessione ADSL o Fibra (definita fibra ma che in effetti è una VDSL) di un fornitore di connettività. Esso fornisce un apparato (router) in comodato d’uso, che diventa il Gateway di tutta la LAN, da e verso Internet.

Il router fornito dal provider viene telegestito da remoto (dai suoi tecnici), per aggiornamenti, configurazioni e diagnostiche; in pratica, soggetti terzi hanno accesso al dispositivo più importante della vostra LAN: il Gateway.

Non solo, ma dato che il router consente l’accesso per telegestione, e che talvolta si manifestano delle vulnerabilità che rendono possibile l’accesso a malintenzionati ai vari router dei providers, e di conseguenza a tutta la rete locale, capite bene che questo rischio non può essere sottovalutato, ne (a mio avviso) accettato.

Quindi, occorre che a valle del router del fornitore sia presente un valido e ben configurato FireWall, gestito dal Titolare del Trattamento, che impedisca ad eventuali terzi estranei, qualora riescano ad accedere al router, di operare anche nella rete locale.

Ovviamente la miglior misura consiste nel sostituire il router fornito in comodato con uno proprietario e gestito dal Titolare del Trattamento; il Border FireWall è comunque sempre necessario.

Invece l’argomento dei FireWall software (quelli installati sugli elaboratori) sarà oggetto di trattazione in un separato post.

GDPR – amministratori di sistema 2a parte

Debbo ritornare ancora sulla tematica GDPR ed amministratori di sistema; purtroppo il caos regna sovrano.

Ricevo (spesso) più o meno questa domanda: è obbligo per il D.P.O. designare individualmente i singoli amministratori di sistema?

Intanto, la domanda è fondata su di un grave errore; il D.P.O. non designa nessuno! A questa pagina i suoi compiti.

Alla seconda parte della domanda rispondo con un’altra domanda: è consentito a due o più soggetti di condividere le stesse credenziali?

GDPR – proroga 8 mesi adempimenti

Stamani mi hanno riferito la seguente notizia: “è stata prorogata di 8 mesi la deadline degli adempimenti al GDPR”.

Si tratta di una fake-news; come sempre avviene in Italia, si prende una non-notizia e la si fa diventare una notizia, tra l’altro plasmandola a proprio “uso e consumo”; vi spiego cosa è successo.

La commissione speciale alla Camera, nella sua proposta di parere al D.Lgs. di adeguamento della nostra normativa nazionale al GDPR, ha menzionato l’opportunità di sospendere le sanzioni, per un periodo transitorio di almeno 8 mesi.

Il parere della commissione speciale alla Camera non è vincolante.

Quindi, qualora venisse adottato il parere della commissione nel decreto, si parlerebbe di sospendere le sanzioni, e non di sospendere gli adeguamenti.

Ripeto, per coloro che amano “rimestare nel torbido”: il GDPR è in vigore, gli adempimenti debbono essere fatti, le sanzioni sono applicabili.

Affinché il Regolamento UE 679/2016 sia completamente a regime, manca solo il decreto di “armonizzazione” del Governo Italiano, previsto entro il 23 Agosto; questo non autorizza nessuno a credere (o meglio a far credere) che, oggi, le sanzioni del GDPR siano sospese, o ancora peggio che il Regolamento non sia in vigore.