Con la ripresa lavorativa (e la pubblicazione in Gazzetta Ufficiale del Decreto Legislativo 101), molte organizzazioni mi stanno contattando per informazioni, richieste e preventivi in merito al GDPR.
Dato l’elevato carico di lavoro, non potrò rispondere a tutte le chiamate telefoniche; chiedo pertanto di inviare le richieste tramite una e-mail a webreq@stefanorossi.it, indicando i riferimenti per essere ricontattati appena mi sarà possibile.
Il decreto di armonizzazione del GDPR è stato pubblicato in Gazzetta Ufficiale (d.lgs. 10 agosto 2018, n. 101).
Segnalo l’art. 22 comma 13:
13. Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.
A mio giudizio, nel testo viene chiesto, alla Autorità di Controllo, di usare gli strumenti sanzionatori (che non sono stati sospesi) con moderazione, valutando la situazione e tenendo conto del livello di adeguamento conseguito.
Aggiornamento: il Prof. Pizzetti conferma che non è previsto il famigerato periodo (otto mesi) di applicazione soft della normativa; quindi, dal 19 settembre, avremo l’entrata in vigore integrale della normativa.
Mi vengo a trovare presso uno studio medico per motivi extra-professionali; vengono a sapere che mi occupo di dataprotection.
Intuisco che mi vorrebbero chiedere qualcosa, immagino si tratti di GDPR; la domanda infine salta fuori: ma noi dobbiamo avere un FireWall?
Lo studio medico “ha già fatto gli adeguamenti” con l’assistenza del consulente di una associazione di categoria.
Come spesso avviene quando si “fanno gli adeguamenti al GDPR” tramite fogli e checklist, ben pochi hanno idea di quello che stanno facendo ne del perché occorra farlo.
Come da copione, la formazione non viene fatta e vengono frettolosamente indicate le cose da fare, che non vengono motivate ne ben spiegate.
Con buona pace del concetto di accountability presente nel GDPR!
Un Titolare del Trattamento che abbia dati sanitari, deve mettere in atto tutte le misure di sicurezza che ritiene necessarie affinchè i dati personali conferitigli siano sicuri (art. 32 GDPR).
Il FireWall perimetrale costituisce una delle primarie misure di sicurezza della intera LAN di qualsiasi organizzazione; rimando alla apposita pagina per altri approfondimenti.
Inoltre, una ulteriore considerazione; tutte le LAN sono oggigiorno collegate ad Internet tramite una connessione ADSL o Fibra (definita fibra ma che in effetti è una VDSL) di un fornitore di connettività. Esso fornisce un apparato (router) in comodato d’uso, che diventa il Gateway di tutta la LAN, da e verso Internet.
Il router fornito dal provider viene telegestito da remoto (dai suoi tecnici), per aggiornamenti, configurazioni e diagnostiche; in pratica, soggetti terzi hanno accesso al dispositivo più importante della vostra LAN: il Gateway.
Non solo, ma dato che il router consente l’accesso per telegestione, e che talvolta si manifestano delle vulnerabilità che rendono possibile l’accesso a malintenzionati ai vari router dei providers, e di conseguenza a tutta la rete locale, capite bene che questo rischio non può essere sottovalutato, ne (a mio avviso) accettato.
Quindi, occorre che a valle del router del fornitore sia presente un valido e ben configurato FireWall, gestito dal Titolare del Trattamento, che impedisca ad eventuali terzi estranei, qualora riescano ad accedere al router, di operare anche nella rete locale.
Ovviamente la miglior misura consiste nel sostituire il router fornito in comodato con uno proprietario e gestito dal Titolare del Trattamento; il Border FireWall è comunque sempre necessario.
Invece l’argomento dei FireWall software (quelli installati sugli elaboratori) sarà oggetto di trattazione in un separato post.
La nostra attività GDPR assessment consiste in una valutazione completa ed approfondita della vostra organizzazione, per valutarne il livello di compliance al Regolamento Europeo 679/2016 (GDPR o RGPD).
Le attività di analisi riguardano tutti gli ambiti ed i processi inerenti al trattamento di dati personali; vengono analizzati gli aspetti giuridici, legali, procedurali, organizzativi e tecnologici, sia inerenti sistemi informativi che trattamenti cartacei, nonchè la necessità di effettuare la DPIA – Data Protection Impact Assessment per i trattamenti soggetti.
Vengono sottoposti a valutazione di adeguatezza gli strumenti adottati per il trattamento dei dati personali ed il relativo livello di sicurezza, ivi compresa l’aderenza ai requisiti di trasparenza, minimizzazione, privacy by design – default e dei tempi di conservazione.
Sono anche valutati il livello di formazione degli incaricati ed il livello di accountability delle varie unità organizzative, nonchè il rispetto delle prerogative e dei diritti degli interessati.
Il nostro team ha le competenze necessarie a rendere ogni organizzazione, anche multinazionale, aderente ai dettami del Regolamento UE 679/2016 sulla protezione dei dati personali dei soggetti presenti nel territorio europeo.
Quando mancano esattamente 30 giorni all’applicazione del GDPR, la tensione stà aumentando.
Mi scrive un caro amico che lavora in Svizzera: “meno male che qui il GDPR non ha effetto”.
Caro amico, ma ne sei sicuro?
GDPR Art.3 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Quindi quando un cittadino europeo è un cliente di una organizzazione svizzera, il GDPR ha applicazione; penso alle banche, ma anche ai semplici negozi che vendono agli europei, per non parlare degli e-commerce e di coloro che offrono servizi I.T.
Poi c’è il settore turistico; un hotel che ha un sito che profila gli interessi e le preferenze di un europeo, anche se non è stato mai cliente, è soggetto? Certamente si.
E per quanto riguarda i dipendenti “frontalieri” di una società svizzera? Siamo assolutamente certi che il GDPR non abbia effetto?
Poi ci sono i giornali on-line; ambito estremamente vario e complesso.
Oltretutto, alcune organizzazioni dovranno nominare un DPO (esempio le banche, ma anche chi lavora nell’ambito sanitario e alla cura della persona, dettagli qui).
Comunque, in Svizzera stanno lavorando alla revisione della loro legge sulla protezione dei dati (LPD); a breve (2019) è attesa la relativa attuazione.
Preso atto di questo, consiglio alle aziende svizzere di iniziare il processo di compliance; avranno più tempo per adeguarsi al loro regolamento LDP, che sarà molto simile al GDPR.
Aggiornamento: ho ricevuto molte richieste di chiarimento, relative all’articolo.
Riassumendo, i casi nei quali si applica il GDPR ad un “Titolare del Trattamento” svizzero:
Aggiornamento2: da poco abbiamo un punto di presenza anche in Svizzera, presso Maroggia; ulteriori dettagli alla pagina dove siamo e contatti.
Pervengono domande in merito agli adempimenti delle scuole guida rispetto al GDPR.
Tutte le scuole guida (ovviamente) trattano dati personali, in quanto vengono forniti dai clienti che frequentano i loro corsi per conseguire l’abilitazione di guida.
Talvolta questi dati sono di natura particolare (es. quando la persona ha una patologia o una inabilità); inoltre molte scuole guida effettuano al loro interno le famose visite del medico per il rinnovo delle patenti; questi sono dati personali sanitari.
Il GDPR impatta quindi in modo sistematico sulla intera organizzazione, che dovrà verificare la rispondenza degli attuali trattamenti di dati personali alla luce del nuovo regolamento europeo.