Svizzera e GDPR

Quando mancano esattamente 30 giorni all’applicazione del GDPR, la tensione stà aumentando.

Mi scrive un caro amico che lavora in Svizzera: “meno male che qui il GDPR non ha effetto”.

Caro amico, ma ne sei sicuro?

GDPR Art.3
 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
 a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
 b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Quindi quando un cittadino europeo è un cliente di una organizzazione svizzera, il GDPR ha applicazione; penso alle banche, ma anche ai semplici negozi che vendono agli europei, per non parlare degli e-commerce.

Poi c’è il settore turistico; un hotel che ha un sito che profila gli interessi e le preferenze di un europeo, anche se non è stato mai cliente, è soggetto? Certamente si.

E per quanto riguarda i dipendenti “frontalieri” di una società svizzera? Siamo assolutamente certi che il GDPR non abbia effetto?

Oltretutto, alcune organizzazioni dovranno nominare un DPO (esempio le banche, ma anche chi lavora nell’ambito sanitario e alla cura della persona, dettagli qui).

Comunque, in Svizzera stanno lavorando alla revisione della loro legge sulla protezione dei dati (LPD); a breve è attesa la attuazione.

In passato ho frequentato la Svizzera per motivi di studio, lavoro e turismo, e ne ho un bellissimo ricordo; quasi quasi verrei a farvi consulenza.

Condominio e GDPR

Domanda: ma il condominio ha obblighi derivanti dal GDPR?

Risposta secca: perché, prima con il D.Lgs. 196/03 non li aveva?

Sino dal Maggio 2006 il Garante, con apposito provvedimento, aveva ben chiarito quali siano gli oneri a carico del condominio e degli amministratori.

Riassumendo, il condominio è il Titolare del Trattamento dei dati personali, mentre l’amministratore è il Responsabile del Trattamento.

Dato che il condominio, inteso come persona giuridica, non ha “funzioni operative”, tutte le incombenze del GDPR sono a carico degli amministratori di condominio (come peraltro prima lo erano quelle derivanti dal D.Lgs. 196/03).

Vorrei ancora una volta segnalare che una delle maggiori problematiche riguardanti la protezione dei dati personali nei condominii è la videosorveglianza; “ho visto cose che voi umani …”

Ricordato che la responsabilità civile e penale è solidale tra il Titolare ed il Responsabile del Trattamento, possiamo consigliare a tutti i condomini di scegliere e “ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” – art 28.1 GDPR.

Studi medici e DPO

Domanda: uno studio medico deve nominare un DPO?

Attualmente (anche se qualcuno lo ritiene) non vi sono indicazioni certe che uno studio medico debba nominare un DPO.

Infatti, gli studi medici non rientrano (attualmente) nelle categorie di organizzazioni indicate dal Garante a nominare il Responsabile della Protezione dei Dati.

Rimane comunque vero che gli studi medici, oggi spesso in forma associata, trattano moltissimi dati sanitari dei loro pazienti. Il “rischio privacy” è pertanto molto elevato, anche viste le non particolari misure di protezione che spesso vengono applicate (o non applicate).

Neanche la conoscenza delle regole basilari viene talvolta rispettata; in molti casi il sostituto medico accede al sistema informativo utilizzando le credenziali del medico sostituito, e generando paradossi, reati penali e notizie clamorose che vengono riportate dalla stampa e sanzionate dalla autorità giudiziaria e dal Garante.

Di sicuro è molto consigliato per uno studio medico associato (dove operano più medici) nominare un D.P.O.

In attesa che altri fatti clamorosi inducano il Garante ad obbligarne la nomina.

Firma grafometrica e GDPR

Sempre più spesso vedo in giro sistemi di firma grafometrica; in banca, dal notaio, all’assicurazione, in clinica ed adesso anche dal commercialista.

Ma siamo certi che implementare un complesso sistema di trattamento di dati biometrici (la firma è una delle più importanti caratteristiche biometriche di una persona) sia necessario per firmare un documento?

Esiste già il sistema di firma digitale; perchè non usare quello?

Dato che la sicurezza assoluta di un sistema informativo non è realizzabile, qualora una smart card o tutto il sistema di firma digitale venissero compromessi, si potrà sempre sostituire la smart card oppure revocare la firma.

Nel caso che venga compromessa una firma grafometrica cosa faremo? Revochiamo alla persona la possibilità di firmare?

Ricordo inoltre che il Garante Italiano ha emanato apposite  regole per la firma grafometrica e che comunque, prima di iniziare un trattamento di dati biometrici, occorre condurre una D.P.I.A.

Qualora avvenga un Data Breach, si hanno a disposizione solo 24 ore per la notifica.

Grande Fratello ed InterNet

In questo periodo di intensa attività, mentre sto preparando il nuovo testo del manuale degli incaricati al trattamento (oops! persone autorizzate al trattamento dei dati personali) mi è capitato di riprendere in mano il mio lavoro di laurea, datato II Millennio DC.

Pensando a quanto recentemente successo con il datagate FaceBook-Cambridge Analytica (e a quanto accade purtroppo giornalmente), ne ho riletto l’introduzione, che mi sembra quanto mai attuale; la sottopongo alla valutazione dei miei quattro abituali navigatori.

Grande Fratello ed InterNet: profilazione on-line degli utenti.

Introduzione
La scelta di un argomento per un lavoro complesso come una tesi è sempre frutto di molteplici riflessioni; dovendosi argomentare di Information Tecnology, mondo in perenne evoluzione esponenziale, diviene particolarmente difficile decidere tra innumerevoli argomentazioni interessanti o di recente attenzione.
Sono stato tolto d’impiccio il mio Relatore Prof. omissis il quale, tra alcune idee sul tavolo, ha optato per trattare della sistematica profilazione degli utenti internet, immagino per una sua (condivisa) sensibilità verso il tema. 
Il mio lavoro di consulente I.T. mi ha portato a confrontarmi con esigenze di tutela di dati personali di soggetti, sia fisici che giuridici, fin dall'anno 1996, quando in Italia venne promulgata la famosa “Legge 31 dicembre 1996, n. 675 - Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”. 
La scintilla ispiratrice di questo lavoro nasce alcuni mesi fa, durante un seminario di formazione di incaricati al trattamento dei dati personali, da me organizzato per conto di una azienda di servizi della nostra zona; un dipendente, normale fruitore di sistemi informatici, mi chiese: “dovendomi operare ad un ginocchio, ho condotto delle ricerche in internet sulla tipologia di intervento al quale sarei stato sottoposto; perché successivamente, durante la normale navigazione, sto ricevendo delle pubblicità di tutori e cure riabilitative, anche in siti che non c’entrano nulla?”. 
Troppo spesso neo-utenti di internet non si pongono domande come questa, distolti dallo sfavillio dei servizi offerti in rete, dal loro appeal, perché “ci sono tutti”, mentre altri “navigati” utenti “scollegano il cervello”, assuefatti dalla comodità dei servizi o attirati dalla loro presunta gratuità. 
In questo mio impegnativo lavoro di tesi ho non solo la possibilità di dare una risposta alla domanda del mio allievo, ma anche di contribuire a stimolare l’intelletto tecno-assuefatto dei molti che dovrebbero sempre porsi delle domande, prima di fare doppio-click. 
E prima che il Grande Fratello sia anche dentro di noi, oltre che intorno.

Ancora FaceBook non esisteva; sarebbe stato dispiegato solo il 4 febbraio 2004.
Neanche il Grande Fratello del distopico romanzo 1984 avrebbe potuto sognare strumenti migliori, che non solo controllano, ma anche inducono; che ne dite, aspettiamo passivamente altri 20 anni e vediamo quanto diventerà distopico il mondo reale?

Percezione della sicurezza informatica

Non esiste nulla di peggio che la devastante percezione della sicurezza, specialmente quando l’azienda è lontanissima da un livello accettabile (la sicurezza informatica assoluta non esiste, specialmente in questo periodo nel quale sono vulnerabili anche i processori).

La scorsa settimana ho udito con le mie orecchie un consulente affermare: “qualora si  installi un FireWall a protezione della LAN, non occorre aggiornare il software di sistema ne installare alcun antivirus sugli elaboratori”.

Si iniziano anche a vedere valutazioni di Risk Assessments, GAP analysis e D.P.I.A. (alcune prodotte ove non serviva) dalle quali si evince che chi le ha predisposte non ha le idee ben chiare su quali siano i rischi che incombono sui trattementi di dati personali (specialmente per gli assets digitali), ne ovviamente le adeguate contromisure da adottare.