Buon compleanno, WEB

Oggi il world wide web compie 25 anni e voglio celebrare un grande uomo, Sir Tim Berners-Lee che con la sua incredibile intuizione, capacità e lungimiranza ha creato il web libero.

Io c’ero; si respirava l’aria frizzante dei grandi eventi, delle innovazioni che sconvolgono; ognuno dei pochi pionieri era consapevole dell’importanza del proprio ruolo, del proprio piccolo contributo.

C’era una volta, purtroppo; oggi tutto è cambiato; il web non è quasi più libero.

Non solo, è diventato un luogo distopico, traviante, falso, nel quale è difficile vedere rispettati gli elementari diritti umani; anzi, in tutte le occasioni possibili le persone sono sfruttate.

Quale sarà il futuro della rete? Nessuno lo sà; abbiamo constatato che il far west selvaggio non funziona, mentre governarne ogni singolo aspetto funzionerà?

Un banco di prova è costituito dalla introduzione della nuova regolamentazione GDPR; sono piuttosto scettico, Google, FaceBook & Company hanno già mostrato la loro strategia: prendere o lasciare.

Coloro che sono social network addicted lasceranno o prenderanno? Alcuni dicono già che il GDPR, per i grandi di internet, fallirà i propri scopi; anzi, qualcuno ne trarrà vantaggi.

Trojan colpisce device ospedalieri

Nuovo attacco informatico contro le strutture ospedaliere di tutto il mondo.

Un nuovo gruppo di hacker black hat ha portato una offensiva cybernetica su scala planetaria ai sistemi informatici degli ospedali.

L’attacco mirato è stato realizzato compromettendo dapprima sistemi di industrie fornitrici o produttrici di sistemi medicali, che sono stati successivamente usati come “cavallo di troia” per infiltrarsi nei sistemi informatici di dispositivi X-RAY , TAC e RM.

Come al solito la sicurezza informatica, anche in sistemi costosissimi e vitali, lascia alquanto a desiderare.

In Italia (per adesso) non si registrano casi; saremo più fortunati o ancora non si sono accorti?

Gmail ed il GDPR

Talvolta rilevo che una azienda privata utilizzi il servizio “gratuito” di Gmail per le proprie attività.

Ma come si inquadra detto utilizzo in relazione all’introduzione del Regolamento Europeo sulla Protezione dei Dati Personali 679/2016?

Intanto, rileviamo che il servizio gmail.com è realizzato tramite sistemi I.T. cloud-based, in gran parte localizzati fuori dallo spazio extra-UE; quindi quando si invia o riceve una e-mail usando Gmail, si configura quasi sicuramente un trasferimento di dati personali verso un paese extra-UE.

Questo determina diversi effetti, due dei quali sono:

  • occorre nominare Google responsabile del trattamento di tali dati personali;
  • occorre indicare, nelle informative aziendali, che i dati personali conferiti potranno anche essere trasferiti ad di fuori dello spazio comunitario e memorizzati nei sistemi informatici di Google.

Ognuno condurrà le proprie valutazioni su come si possa ottenere la nomina di Google quale responsabile del trattamento, e la forza contrattuale di una azienda italiana verso il colosso di Mountain View.

Inoltre, dato che nella versione gratuita di Gmail si ritiene che Google effettui procedure di “content extraction” (leggasi profilazione) non ritengo assolutamente aderente a svariati dettami del GDPR l’utilizzo di Gmail per il trattamento di dati personali, effettuato da un Titolare del Trattamento soggetto al Regolamento 679/2016.

Da ultimo, vorrei portare a riflettere i miei 4 casuali visitatori del blog sulla opportunità dell’utilizzo di un servizio riservato ad un uso personale per scopi invece professionali (questo vale anche per tutti gli altri innumerevoli servizi e-mail “gratuiti”). Ricordo che l’obbligo della compliance al GDPR rimane comunque in capo al Titolare del Trattamento.

Svizzera e GDPR

Quando mancano esattamente 30 giorni all’applicazione del GDPR, la tensione stà aumentando.

Mi scrive un caro amico che lavora in Svizzera: “meno male che qui il GDPR non ha effetto”.

Caro amico, ma ne sei sicuro?

GDPR Art.3
 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
 a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
 b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Quindi quando un cittadino europeo è un cliente di una organizzazione svizzera, il GDPR ha applicazione; penso alle banche, ma anche ai semplici negozi che vendono agli europei, per non parlare degli e-commerce e di coloro che offrono servizi I.T.

Poi c’è il settore turistico; un hotel che ha un sito che profila gli interessi e le preferenze di un europeo, anche se non è stato mai cliente, è soggetto? Certamente si.

E per quanto riguarda i dipendenti “frontalieri” di una società svizzera? Siamo assolutamente certi che il GDPR non abbia effetto?

Poi ci sono i giornali on-line; ambito estremamente vario e complesso.

Oltretutto, alcune organizzazioni dovranno nominare un DPO (esempio le banche, ma anche chi lavora nell’ambito sanitario e alla cura della persona, dettagli qui).

Comunque, in Svizzera stanno lavorando alla revisione della loro legge sulla protezione dei dati (LPD); a breve (2019) è attesa la relativa attuazione.

Preso atto di questo, consiglio alle aziende svizzere di iniziare il processo di compliance; avranno più tempo per adeguarsi al loro regolamento LDP, che sarà molto simile al GDPR.

Aggiornamento: ho ricevuto molte richieste di chiarimento, relative all’articolo.

Riassumendo, i casi nei quali si applica il GDPR ad un “Titolare del Trattamento” svizzero:

  • quando offre beni o servizi a persone stabilite nei Paesi comunitari, come per esempio quando ha un sito di e-commerce che vende in UE;
  • quando effettua attività di profilazione di soggetti stabiliti in Paesi comunitari, al fine di presentar loro dei prodotti e servizi personalizzati, anche qualora non siano a titolo oneroso;
  • qualora svolga attività di responsabile esterno del trattamento per titolari del trattamento appartenenti alla UE.

Aggiornamento2: da poco abbiamo un punto di presenza anche in Svizzera, presso Maroggia; ulteriori dettagli alla pagina dove siamo e contatti.

GDPR e scuola guida

Pervengono domande in merito agli adempimenti delle scuole guida rispetto al GDPR.

Tutte le scuole guida (ovviamente) trattano dati personali, in quanto vengono forniti dai clienti che frequentano i loro corsi per conseguire l’abilitazione di guida.

Talvolta questi dati sono di natura particolare (es. quando la persona ha una patologia o una inabilità); inoltre molte scuole guida effettuano al loro interno le famose visite del medico per il rinnovo delle patenti; questi sono dati personali sanitari.

Il GDPR impatta quindi in modo sistematico sulla intera organizzazione, che dovrà verificare la rispondenza degli attuali trattamenti di dati personali alla luce del nuovo regolamento europeo.

Studi Commerciali e GDPR

Quale Titolare del Trattamento ha un impatto GDPR superiore di uno studio commerciale?

Lo studio commerciale ha nel proprio core-business il trattamento dei dati forniti da terzi; chi meglio di esso quindi interpreta il ruolo di responsabile del trattamento (esterno) indicato nel nuovo regolamento generale per la protezione dei dati personali?

Allo studio commerciale vengono comunicati dati personali che quasi sempre sono “particolari” (precedentemente si definivano sensibili); che si tratti dei dati di collaboratori o dipendenti, delle spese mediche, degli scontrini di prodotti farmaceutici, della destinazione del 5 per mille o degli infortuni.
Per non parlare degli incarichi del tribunale al commercialista, oppure dei procedimenti fiscali, amministrativi o giudiziari dei clienti, e delle eventuali condanne.
Inoltre, il commercialista spesso è un revisore contabile di una grande società, oppure è nominato nel collegio sindacale di una organizzazione, privata o pubblica.

In ogni caso, il commercialista è tenuto al segreto professionale; conseguentemente, tutti i dati da esso trattati dovranno avere tutele adeguate a tale obbligo; alcuni addirittura ritengono che esso debba usare le migliori misure di sicurezza disponibili allo stato attuale della tecnologia informatica (ad esempio, cifrando tutto, ma non solo).

Spesso lo studio commerciale non ha risorse interne da dedicare a supportare i propri clienti nel processo di adeguamento al GDPR; in tal caso, un consulente esterno specializzato in protezione dei dati personali rende lo studio in grado di fornire un servizio completo alla clientela; oltre che ad essere una risorsa preziosa, per lo studio stesso, per raggiungere la compliance al nuovo regolamento.

Contattatemi per un primo incontro; ho già collaborato (e collaboro tuttora) con importanti studi commerciali, in tutta la Toscana.