Con la ripresa lavorativa (e la pubblicazione in Gazzetta Ufficiale del Decreto Legislativo 101), molte organizzazioni mi stanno contattando per informazioni, richieste e preventivi in merito al GDPR.
Dato l’elevato carico di lavoro, non potrò rispondere a tutte le chiamate telefoniche; chiedo pertanto di inviare le richieste tramite una e-mail a webreq@stefanorossi.it, indicando i riferimenti per essere ricontattati appena mi sarà possibile.
L’entrata in vigore del nuovo Regolamento UE 679/2016 ha effetti anche su tutti i siti web; essi debbono essere aderenti ai principi dettati del GDPR, in particolare agli artt. 5, 6, 7, 8, 11, 12, 13, 15 e successivi, 24, 25, 32, 33, 34, salvo altro.
Occorre valutare la rispondenza, del sito web, non solo al Regolamento ma anche alle ulteriori normative inerenti, come per esempio il provvedimento del Garante 8 maggio 2014 – detto cookie law.
Da ultimo, ma non per importanza, una verifica professionale degli aspetti inerenti la sicurezza informatica del sito web (come richiesto dall’art. 32 GDPR) che deve essere condotta da un soggetto terzo (e non certamente da chi il sito lo ha realizzato).
Effettuiamo, da tempo, valutazioni di compliance dei siti web a tutti gli aspetti inerenti la dataprotection (sia legale che informatico), tramite il nostro servizio professionale WebSite Assessment; esso potrà essere prodotto come dimostrazione di accountability del Titolare del Trattamento. Generalmente questa valutazione viene effettuata da remoto, senza necessità di avere accesso al sistema informatico, ad un costo accessibile a tutte le organizzazioni.
Ai soliti che non hanno nulla da nascondere, consiglio la visione del documentario “Zero Privacy” – “Terms and conditions may apply”.
Lo trovate anche su Netflix.
Talvolta rilevo che una azienda privata utilizzi il servizio “gratuito” di Gmail per le proprie attività.
Ma come si inquadra detto utilizzo in relazione all’introduzione del Regolamento Europeo sulla Protezione dei Dati Personali 679/2016?
Intanto, rileviamo che il servizio gmail.com è realizzato tramite sistemi I.T. cloud-based, in gran parte localizzati fuori dallo spazio extra-UE; quindi quando si invia o riceve una e-mail usando Gmail, si configura quasi sicuramente un trasferimento di dati personali verso un paese extra-UE.
Questo determina diversi effetti, due dei quali sono:
Ognuno condurrà le proprie valutazioni su come si possa ottenere la nomina di Google quale responsabile del trattamento, e la forza contrattuale di una azienda italiana verso il colosso di Mountain View.
Inoltre, dato che nella versione gratuita di Gmail si ritiene che Google effettui procedure di “content extraction” (leggasi profilazione) non ritengo assolutamente aderente a svariati dettami del GDPR l’utilizzo di Gmail per il trattamento di dati personali, effettuato da un Titolare del Trattamento soggetto al Regolamento 679/2016.
Da ultimo, vorrei portare a riflettere i miei 4 casuali visitatori del blog sulla opportunità dell’utilizzo di un servizio riservato ad un uso personale per scopi invece professionali (questo vale anche per tutti gli altri innumerevoli servizi e-mail “gratuiti”). Ricordo che l’obbligo della compliance al GDPR rimane comunque in capo al Titolare del Trattamento.
Domanda: ma il condominio ha obblighi derivanti dal GDPR?
Risposta secca: perché, prima con il D.Lgs. 196/03 non li aveva?
Sino dal Maggio 2006 il Garante, con apposito provvedimento, aveva ben chiarito quali siano gli oneri a carico del condominio e degli amministratori.
Riassumendo, il condominio è il Titolare del Trattamento dei dati personali, mentre l’amministratore è il Responsabile del Trattamento.
Dato che il condominio, inteso come persona giuridica, non ha “funzioni operative”, tutte le incombenze del GDPR sono a carico degli amministratori di condominio (come peraltro prima lo erano quelle derivanti dal D.Lgs. 196/03).
Vorrei ancora una volta segnalare che una delle maggiori problematiche riguardanti la protezione dei dati personali nei condominii è la videosorveglianza; “ho visto cose che voi umani …”.
Ricordato che la responsabilità civile e penale è solidale tra il Titolare ed il Responsabile del Trattamento, possiamo consigliare a tutti i condomini di scegliere e “ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” – art 28.1 GDPR.
Domanda: uno studio medico deve nominare un DPO?
Aggiornamento
Il Direttore FNOMCeO De Pascale ha chiarito che uno studio medico associato ha l’onere di nominare il D.P.O., qualora sussista “una forma complessa di aggregazione, soprattutto di natura contrattuale, come reti o gruppi”.
Tale obbligo non sussiste (attualmente) per i singoli medici che lavorano in uno studio medico.
Occorre quindi valutare il tipo di struttura, ma sopratutto le architetture di trattamento dei dati personali ed i relativi flussi informativi.