Gmail ed il GDPR

Talvolta rilevo che una azienda privata utilizzi il servizio “gratuito” di Gmail per le proprie attività.

Ma come si inquadra detto utilizzo in relazione all’introduzione del Regolamento Europeo sulla Protezione dei Dati Personali 679/2016?

Intanto, rileviamo che il servizio gmail.com è basato su sistemi I.T. localizzabili attualmente in America (Mountain View, California); quindi quando si invia o riceve una e-mail usando Gmail, si configura un trasferimento di dati personali verso un paese extra-UE.

Questo determina diversi effetti, due dei quali sono:

  • occorre nominare Google responsabile del trattamento di tali dati personali;
  • occorre indicare, nelle informative aziendali, che i dati personali conferiti potranno essere trasferiti ad di fuori dello spazio comunitario e memorizzati nei sistemi informatici di Google.

Ognuno condurrà le proprie valutazioni su come si possa ottenere la nomina di Google quale responsabile del trattamento.

Inoltre, dato che nella versione gratuita di Gmail si ritiene che Google effettui procedure di “content extraction” (leggasi profilazione) non ritengo assolutamente aderente a svariati dettami del GDPR l’utilizzo di Gmail per il trattamento di dati personali, effettuato da un Titolare del Trattamento soggetto al Regolamento 679/2016.

Da ultimo, vorrei portare a riflettere i miei 4 casuali visitatori del blog sulla opportunità dell’utilizzo di un servizio riservato ad un uso personale per scopi invece professionali.

Condominio e GDPR

Domanda: ma il condominio ha obblighi derivanti dal GDPR?

Risposta secca: perché, prima con il D.Lgs. 196/03 non li aveva?

Sino dal Maggio 2006 il Garante, con apposito provvedimento, aveva ben chiarito quali siano gli oneri a carico del condominio e degli amministratori.

Riassumendo, il condominio è il Titolare del Trattamento dei dati personali, mentre l’amministratore è il Responsabile del Trattamento.

Dato che il condominio, inteso come persona giuridica, non ha “funzioni operative”, tutte le incombenze del GDPR sono a carico degli amministratori di condominio (come peraltro prima lo erano quelle derivanti dal D.Lgs. 196/03).

Vorrei ancora una volta segnalare che una delle maggiori problematiche riguardanti la protezione dei dati personali nei condominii è la videosorveglianza; “ho visto cose che voi umani …”

Ricordato che la responsabilità civile e penale è solidale tra il Titolare ed il Responsabile del Trattamento, possiamo consigliare a tutti i condomini di scegliere e “ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” – art 28.1 GDPR.

Studi medici e DPO

Domanda: uno studio medico deve nominare un DPO?

Aggiornamento
Il Direttore FNOMCeO De Pascale ha chiarito che uno studio medico associato ha l’onere di nominare il D.P.O., qualora sussista “una forma complessa di aggregazione, soprattutto di natura contrattuale, come reti o gruppi”.

Tale obbligo non sussiste (attualmente) per i singoli medici che lavorano in uno studio medico.

Occorre quindi valutare il tipo di struttura, ma sopratutto le architetture di trattamento dei dati personali ed i relativi flussi informativi.

Qwant – Privacy compliant Search Engine

Segnalo e ne propongo l’uso, a quei pochi che ancora tengono alla propria privacy, il motore di ricerca etico Qwant.

Ancora non ha la completezza della basedati raccolta da Google ma sta crescendo, giorno dopo giorno; questo sito è gia stato indicizzato.
Da quello che affermano, non vengono utilizzati cookies (verificato adesso) e non profilano gli utenti; inoltre ha base in Francia (soggetta al GDPR).

Colgo l’occasione, in questi giorni nei quali l’argomento diritti dei cittadini digitali è alla ribalta, per far notare che ben pochi hanno compreso quale sia il più devastante strumento che mina la nostra esistenza, attuale e futura: taluni lo chiamano effetto bolla di filtraggio, io lo definisco percezione surrogata della realtà, creata da coloro che profilano i nostri comportamenti e ci rappresentano una realtà alterata, forgiata su logiche speculative.

Pensate poi a quando tutti avranno l’assistente digitale, la casa smart, l’auto a guida autonoma, la realtà virtuale al supermercato; altri decideranno per noi cosa comprare, come vestire, cosa guardare, come giocare, dove cenare, ove andare …

A tal punto, il mondo distopico preconizzato dai vari 1984, Matrix, Divergent, Minority Report, Valerian, … sarà realizzato, addirittura superato. Il bello è che non serviranno neanche i Precog; sarà sufficiente realizzare un sistema di profilazione big-data omnicomprensivo, e potremo ingabbiare i potenziali delinquenti prima del fatto.

DPO data protection officer, soggetti privati obbligati alla nomina

Come ormai tutti sanno, entro il prossimo 25 maggio, molte organizzazioni dovranno avere un DPOData Protection Officer.

Ricevo moltissime richieste di chiarimento in relazione alle aziende private che dovranno avere il DPO; cerchiamo di fare chiarezza.

Chi deve obbligatoriamente nominare il DPO?

  • una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala degli interessati;
  • una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.

Ma quali sono queste ultime due categorie di organizzazioni, di tipo privato?

L’autorità Garante per le Protezione di Dati Personali, in una apposita faq, ha stilato un elenco non esaustivo di organizzazioni private che ricadono nelle due ultime tipologie e che dovranno quindi nominarlo:

  • istituti di credito;
  • imprese assicurative;
  • sistemi di informazione creditizia;
  • società finanziarie;
  • società di informazioni commerciali;
  • società di revisione contabile;
  • società di recupero crediti;
  • istituti di vigilanza;
  • partiti e movimenti politici;
  • sindacati;
  • caf e patronati;
  • società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
  • imprese di somministrazione di lavoro e ricerca del personale;
  • società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
  • società di call center;
  • società che forniscono servizi informatici;
  • società che erogano servizi televisivi a pagamento.

Attenzione: il soggetto nominato DPO dovrà essere comunicato al Garante (diventerà il suo punto di contatto con l’organizzazione); verrà predisposta una apposita procedura per l’invio telematico, quindi si consiglia di attenderne l’implementazione.

Privacy, l’allarme di Soro

“Le imprese sono troppo deboli nelle difese contro gli hacker”

Intervista ad Antonello Soro, Presidente della Autorità Garante per la Protezione dei Dati Personali italiana (di Francesco Condoluci, Economy, 26 marzo 2018)

… “L’idea di fondo è che la società digitale richiede regolamentazioni diverse da quelle preesistenti. Perché fin quando il volto deteriore della digitalizzazione si limita ad un hackeraggio irritante ma innocuo della posta della segreteria, si può anche far spallucce. Ma quando, com’è capitato lo scorso anno ad una impresa britannica, l’hackeraggio determina un danno che è stato quantificato in 700 milioni di sterline, c’è poco da far finta di niente!” … Una nuova regolamentazione europea, in vigore dal prossimo maggio imporrà una brusca sterzata alle aziende, costringendole a presidiare con ben altro piglio i dati propri e soprattutto quelli dei propri clienti. E non mancano i mugugni contro le salatissime multe a carico di chi non si adeguerà. Ma adeguarsi è sacrosanto.

Presidente, spieghi lei perché…
I dati da proteggere non sono aride cifre ma sono le proiezioni delle nostre persone nella nuova dimensione della vita che è il digitale. I dati sono i protagonisti della società digitale, sono il nuovo petrolio dell’economia digitale, ma dal punto di vista giuridico sono l’oggetto di un diritto fondamentale della persona, e pertanto ne va garantita l’inviolabilità.

Chi ha interesse invece a violarli?
Gli hacker, una variabile non eludibile. Ci sono e vanno contrastati. Invece i sistemi di difesa delle imprese, non solo in Italia ma in tutto il mondo, sono di totale debolezza. Per questo mi auguro che le nuove regole inducano un cambio di atteggiamento delle imprese verso questo problema. La protezione dei dati non va considerata un costo ma una risorsa. Gli investimenti per proteggere il proprio patrimonio informativo sono fondamentali per la sicurezza, personale e aziendale, per la reputazione e in assenza di questi un’impresa rischia di essere devastata, con oneri ben più grandi del costo di un pacchetto di software aggiornato. Quindi il tema vero è: la partita fra hacker e impresa si giocherà a tutto campo, non illudiamoci che gli hacker o chiunque abbia interesse a svolgere attività informatica ostile verso imprese o Stati rinunci a farlo se non duramente contrastato.


E veniamo all’Autorità: riuscirete a far fronte con le vostre risorse alle nuove incombenze di vigilanza sull’applicazione del regolamento?
Ci impegneremo a fondo. La nostra macchina è piccola ma molto efficiente. Dovremo crescere, ineluttabilmente. Questa autorità è stata calibrata per una società predigitale. Ora il Parlamento ci ha riconosciuto un aumento dell’organico. Siamo in 140, potremo acquisire altre 25 risorse. Si consideri che l’omologa autorità britannica conta 500 dipendenti e ne ha chiesti altri 200 per far fronte alle nuove incombenze. Faremo fronte stringendo i denti e facendo leva su una struttura qualitativamente all’avanguardia.

E le multe?
Trovo singolare che imprese accettino tranquillamente che per violazioni delle regole sulla concorrenza possano esserci sanzioni miliardarie e si indignino su quelle previste dalle violazioni contro le regole poste a tutela dei dati delle persone…