GDPR ed il “vestito su misura”

Tra gli addetti ai lavori, ha preso campo il concetto di “vestito su misura”  oppure “abito sartoriale”, riferito ai processi di adeguamento di ogni diversa organizzazione.

Trascurando poche realtà, ogni organizzazione ha caratteristiche che necessitano di soluzioni “ad hoc” per l’adeguamento al GDPR; anche il corso di formazione deve essere specifico, centrato sui loro trattamenti e sui relativi processi e flussi di dati, nonchè sui rischi incombenti e sulle buone prassi operative da adottare.

Stamani ho visto gli “artefatti” generati da un software che consentirebbe (a dire del produttore) di adeguarsi ai requisiti del GDPR;
ebbene, dei documenti che ho visionato:

  • registro dei trattamenti;
  • informative ai clienti;
  • informative ai fornitori;
  • informative ai dipendenti;
  • lettere di nomina responsabile esterno;
  • lettere di incarico agli incaricati – soggetti designati dal titolare;

nessuno di questi aveva le necessarie caratteristiche richieste dal Regolamento, con la “chiccache il registro dei trattamenti mancava di campi obbligatori mentre aveva campi assolutamente inutili (se non controproducenti).

Quindi, in ambiti di media complessità (che purtroppo riscontro anche in micro imprese “pesantemente” informatizzate), diffidate non solo delle soluzioni “pret-a-porter”, ma anche dei pacchetti di consulenza offerti dalle associazioni di categoria ad un prezzo stracciato.

Spesso chi vi predispone i documenti non ha ben chiaro cosa vi stia scritto; oggi anche una inidonea informativa è sanzionata con importi astronomici.

E del fatto che oggi, in vigenza del GDPR, la dataprotection non si realizzi stampando qualche documento, avevo mai scritto?

Informative o Liberatorie?

In questi giorni mi è stata sottoposta, per un parere, una informativa predisposta per degli studi odontoiatrici.

Come spesso capita, il consulente di turno produce una “informativa omnicomprensiva” che prevede molteplici aspetti delle molteplici casistiche che interessano i molteplici studi odontoiatrici.

La consegna allo studio, dicendo che “occorre far firmare” il tale documento ai pazienti; nessuno si prende la briga di leggere, in modo obbiettivo e distaccato, quello che vi è scritto.

Innanzitutto posso affermare, senza tema di smentita, che una informativa di quattro pagine non rispetta le caratteristiche di “forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” richieste dal Regolamento.

Come risultato finale, un povero tapino che si reca dal dentista per una semplice igiene dentale deve firmare una specie di liberatoria, nella quale, per esempio, autorizza  ad effettuare, conservare ed archiviare, a fini statistici (??), tecnici (??), documentali o di ricerca, video ed immagini fotografiche.

Cartelli videosorveglianza e GDPR

Domanda: con l’entrata in vigore del GDPR, i vecchi cartelli videosorveglianza sono sempre validi? Debbono essere rimossi? Debbono essere sostituiti?

Risposta: i vecchi cartelli debbono essere sostituiti, in quanto fanno riferimento ad un articolo del Codice (Art. 13 D.Lgs. 196/03) adesso abrogato.

Occorre quindi esporre un nuovo cartello (si tratta della c.d. informativa semplificata), simile al precedente cartello ma che indichi: “Art. 13 Regolamento Generale sulla Protezione dei Dati Personali (Reg. EU 679/2016)”; ovviamente i campi “Effettuata da …” e “Per fini di …” debbono essere compilati, pena inidonea informativa.

Ricordo anche che, all’interno dei locali, deve essere disponibile l’informativa completa, alla quale quella semplificata vi fa riferimento.

Update: l’informativa non può riportare indicazioni troppo generiche; ieri ho letto (presso un grande complesso ospedaliero) “effettuata da Responsabile”; chi sarà questo responsabile?

GDPR e sito web

L’entrata in vigore del nuovo Regolamento UE 679/2016 ha effetti anche su tutti i siti web; essi debbono essere aderenti ai principi dettati del GDPR, in particolare agli artt. 5, 6, 7, 8, 11, 12, 13, 15 e successivi, 24, 25, 32, 33, 34, salvo altro.

Occorre valutare la rispondenza, del sito web, non solo al Regolamento ma anche alle ulteriori normative inerenti, come per esempio il provvedimento del Garante 8 maggio 2014 – detto cookie law. 

Da ultimo, ma non per importanza, una verifica professionale degli aspetti inerenti la sicurezza informatica del sito web (come richiesto dall’art. 32 GDPR) che deve essere condotta da un soggetto terzo (e non certamente da chi il sito lo ha realizzato).

Effettuiamo, da tempo, valutazioni di compliance dei siti web a tutti gli aspetti inerenti la dataprotection (sia legale che informatico), tramite il nostro servizio professionale WebSite Assessment; esso potrà essere prodotto come dimostrazione di accountability del Titolare del Trattamento. Generalmente questa valutazione viene effettuata da remoto, senza necessità di avere accesso al sistema informatico, ad un costo accessibile a tutte le organizzazioni.