Categoria: Sanzioni

GDPR ed il “vestito su misura”

Tra gli addetti ai lavori, ha preso campo il concetto di “vestito su misura”  oppure “abito sartoriale”, riferito ai processi di adeguamento di ogni diversa organizzazione.

Trascurando poche realtà, ogni organizzazione ha caratteristiche che necessitano di soluzioni “ad hoc” per l’adeguamento al GDPR; anche il corso di formazione deve essere specifico, centrato sui loro trattamenti e sui relativi processi e flussi di dati, nonchè sui rischi incombenti e sulle buone prassi operative da adottare.

Stamani ho visto gli “artefatti” generati da un software che consentirebbe (a dire del produttore) di adeguarsi ai requisiti del GDPR;
ebbene, dei documenti che ho visionato:

  • registro dei trattamenti;
  • informative ai clienti;
  • informative ai fornitori;
  • informative ai dipendenti;
  • lettere di nomina responsabile esterno;
  • lettere di incarico agli incaricati – soggetti designati dal titolare;

nessuno di questi aveva le necessarie caratteristiche richieste dal Regolamento, con la “chiccache il registro dei trattamenti mancava di campi obbligatori mentre aveva campi assolutamente inutili (se non controproducenti).

Quindi, in ambiti di media complessità (che purtroppo riscontro anche in micro imprese “pesantemente” informatizzate), diffidate non solo delle soluzioni “pret-a-porter”, ma anche dei pacchetti di consulenza offerti dalle associazioni di categoria ad un prezzo stracciato.

Spesso chi vi predispone i documenti non ha ben chiaro cosa vi stia scritto; oggi anche una inidonea informativa è sanzionata con importi astronomici.

E del fatto che oggi, in vigenza del GDPR, la dataprotection non si realizzi stampando qualche documento, avevo mai scritto?

Decreto di armonizzazione GDPR

Il decreto di armonizzazione del GDPR è stato pubblicato in Gazzetta Ufficiale (d.lgs. 10 agosto 2018, n. 101).

Segnalo l’art. 22 comma 13:

13. Per i primi otto mesi dalla  data  di  entrata  in  vigore  del presente decreto, il Garante per la  protezione  dei  dati  personali tiene conto, ai fini dell'applicazione delle sanzioni  amministrative e nei limiti in cui  risulti  compatibile  con  le  disposizioni  del Regolamento (UE) 2016/679, della fase  di  prima  applicazione  delle disposizioni sanzionatorie.

A mio giudizio, nel testo viene chiesto, alla Autorità di Controllo, di usare gli strumenti sanzionatori (che non sono stati sospesi) con moderazione, valutando la situazione e tenendo conto del livello di adeguamento conseguito.

Aggiornamento: il Prof. Pizzetti conferma che non è previsto il famigerato periodo (otto mesi) di applicazione soft della normativa; quindi, dal 19 settembre, avremo l’entrata in vigore integrale della normativa.

Consiglio di Stato francese sui cookies

Una sentenza del Consiglio di Stato francese sui “témoins de connexion”, che certamente costituirà una base giurisprudenziale per il futuro.

La storia: il Garante Francese (CNIL) ha sanzionato una casa editrice in quanto il loro sito web utilizzava cookies di terze parti senza informare gli utenti (e quindi senza averne ottenuto il consenso); la società ha successivamente impugnato il provvedimento del CNIL davanti al Consiglio di Stato francese.

Nella sentenza, che rigetta il ricorso della casa editrice e conferma la sanzione del CNIL, il Consiglio di Stato specifica che:

  • i cookies tecnici possono essere “installati” senza consenso;
  • per i cookies di terze parti, anche se necessari per il sostentamento del servizio, occorre informare ed ottenere il consenso;
  • il browser non costituisce un valido strumento per ottenere il consenso all’utilizzo dei cookies, in quanto esso non consente una “scelta informata” ne la libera e “granulare” opposizione ad essi.

Inoltre, si stabilisce che il Titolare del Trattamento (il proprietario del sito) ha tutti gli obblighi che derivano dall’uso dei cookies, anche se sono servizi di terzi, ed addirittura esso ne deve garantire i tempi massimi di conservazione, fissati in 13 mesi.

Dalla sentenza si evince che (almeno in Francia) i siti web che utilizzano cookies di terze parti debbono informare preliminarmente l’utente (banner) ed ottenere il consenso “granulare” per ciascun cookie (o classe di cookies).

Il punto centrale della sentenza è quello relativo al fatto che il browser (tramite le relative impostazioni sui cookies) non può essere utilizzato come strumento per determinare il consenso dell’utente all’utilizzo dei cookie di terze parti.

Ritengo comunque che la sentenza “farà scuola” in tutta Europa.

Studi medici e DPO

Domanda: uno studio medico deve nominare un DPO?

Aggiornamento
Il Direttore FNOMCeO De Pascale ha chiarito che uno studio medico associato ha l’onere di nominare il D.P.O., qualora sussista “una forma complessa di aggregazione, soprattutto di natura contrattuale, come reti o gruppi”.

Tale obbligo non sussiste (attualmente) per i singoli medici che lavorano in uno studio medico.

Occorre quindi valutare il tipo di struttura, ma sopratutto le architetture di trattamento dei dati personali ed i relativi flussi informativi.

Privacy, l’allarme di Soro

“Le imprese sono troppo deboli nelle difese contro gli hacker”

Intervista ad Antonello Soro, Presidente della Autorità Garante per la Protezione dei Dati Personali italiana (di Francesco Condoluci, Economy, 26 marzo 2018)

… “L’idea di fondo è che la società digitale richiede regolamentazioni diverse da quelle preesistenti. Perché fin quando il volto deteriore della digitalizzazione si limita ad un hackeraggio irritante ma innocuo della posta della segreteria, si può anche far spallucce. Ma quando, com’è capitato lo scorso anno ad una impresa britannica, l’hackeraggio determina un danno che è stato quantificato in 700 milioni di sterline, c’è poco da far finta di niente!” … Una nuova regolamentazione europea, in vigore dal prossimo maggio imporrà una brusca sterzata alle aziende, costringendole a presidiare con ben altro piglio i dati propri e soprattutto quelli dei propri clienti. E non mancano i mugugni contro le salatissime multe a carico di chi non si adeguerà. Ma adeguarsi è sacrosanto.

Presidente, spieghi lei perché…
I dati da proteggere non sono aride cifre ma sono le proiezioni delle nostre persone nella nuova dimensione della vita che è il digitale. I dati sono i protagonisti della società digitale, sono il nuovo petrolio dell’economia digitale, ma dal punto di vista giuridico sono l’oggetto di un diritto fondamentale della persona, e pertanto ne va garantita l’inviolabilità.

Chi ha interesse invece a violarli?
Gli hacker, una variabile non eludibile. Ci sono e vanno contrastati. Invece i sistemi di difesa delle imprese, non solo in Italia ma in tutto il mondo, sono di totale debolezza. Per questo mi auguro che le nuove regole inducano un cambio di atteggiamento delle imprese verso questo problema. La protezione dei dati non va considerata un costo ma una risorsa. Gli investimenti per proteggere il proprio patrimonio informativo sono fondamentali per la sicurezza, personale e aziendale, per la reputazione e in assenza di questi un’impresa rischia di essere devastata, con oneri ben più grandi del costo di un pacchetto di software aggiornato. Quindi il tema vero è: la partita fra hacker e impresa si giocherà a tutto campo, non illudiamoci che gli hacker o chiunque abbia interesse a svolgere attività informatica ostile verso imprese o Stati rinunci a farlo se non duramente contrastato.

E veniamo all’Autorità: riuscirete a far fronte con le vostre risorse alle nuove incombenze di vigilanza sull’applicazione del regolamento?
Ci impegneremo a fondo. La nostra macchina è piccola ma molto efficiente. Dovremo crescere, ineluttabilmente. Questa autorità è stata calibrata per una società predigitale. Ora il Parlamento ci ha riconosciuto un aumento dell’organico. Siamo in 140, potremo acquisire altre 25 risorse. Si consideri che l’omologa autorità britannica conta 500 dipendenti e ne ha chiesti altri 200 per far fronte alle nuove incombenze. Faremo fronte stringendo i denti e facendo leva su una struttura qualitativamente all’avanguardia.

E le multe?
Trovo singolare che imprese accettino tranquillamente che per violazioni delle regole sulla concorrenza possano esserci sanzioni miliardarie e si indignino su quelle previste dalle violazioni contro le regole poste a tutela dei dati delle persone…

DPO e CIO ruoli incompatibili

In Germania il ruolo di DPO esiste da anni; il loro Federal Data Protection Act impone, da anni, alle aziende tedesche che hanno almeno 10 persone coinvolte nel trattamento automatizzato di dati personali la nomina del Data Protection Officer.

Recentemente il Garante per la Protezione dei Dati tedesco ha multato una società che aveva designato il proprio Chief Information Officer come Data Protection Officer, e questo nonostante la normativa consenta la possibilità di nominare sia un dipendente che un professionista esterno.

Si tratta, nello specifico caso, della più palese forma di conflitto di interessi, in quanto uno dei compiti del D.P.O. è quello di verificare che i trattamenti realizzati nei sistemi informatici (quindi decisi dal C.I.O.) siano rispondenti alle norme.