F.A.Q. Registro dei Trattamenti

Il Garante per la Protezione dei Dati Personali ha pubblicato, in una apposita pagina, le faq sul Registro dei Trattamenti; ne avevo parlato pochi giorni orsono.

Relativamente alle aziende private, i soggetti obbligati ad averlo ed aggiornarlo sono così individuabili:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Sono quindi individuati alcune tipologie di titolari del trattamento che debbono provvedere alla tenuta del Registro dei Trattamenti:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o  che  trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).

Soggetti designati? Chi sono?

Domanda: nel recente D.Lvo 101/18 sono stati introdotti i “soggetti designati”; si tratta di responsabili interni del trattamento?

Tutti sono alla ricerca disperata di una figura similare a quella degli ex responsabili interni (attribuzione solo italiana) in modo talmente cervellotico che ogni nuova figura introdotta si spera possa adattarsi a tale ruolo.

Leggiamo la parte del testo del D. Lvo 101/18 che vi fà menzione:

Capo IV (Disposizioni relative al titolare del trattamento e al responsabile del trattamento)
Art. 2-quaterdecies (Attribuzione di funzioni e compiti a soggetti designati).
1.  Il titolare o il responsabile del trattamento possono prevedere, sotto  la  propria responsabilita' e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di   dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorita'.

Mi spiace quindi dover comunicare che i soggetti designati sono coloro che svolgono specifici compiti e funzioni connessi al trattamento di dati personali, quindi si tratta delle figure precedentemente indicate dal D.LGS. 196/03 come incaricati al trattamento.

Windows 10 Update – ottobre 2018 (version 1809)

Informo che l’aggiornamento di ottobre di Windows 10 (alla versione 1809) ha prodotto, in alcuni specifici casi, perdita di files (in prevalenza presenti nelle cartelle \users).

Attualmente Microsoft ha segnalato l’evento ed interrotto la distribuzione automatica dell’aggiornamento, mentre stà indagando sull’accaduto.

Ovviamente è tassativo avere una copia di backup del sistema prima di applicare qualsiasi aggiornamento al S.O. (ma anche ai software applicativi).

Consiglio a coloro che hanno riscontrato perdita di dati importanti di non adottare procedure fai da te ma di spegnere il PC e rivolgersi ad esperti per tentare il recupero dei dati.

Aggiornamento: Microsoft ha riscontrato il problema, segnalando su di una apposita pagina del suo blog le cause che hanno creato la perdita di dati.

Chip clandestino, spionaggio planetario

Sembra originare dalla Cina il più incredibile caso di cyber-spionaggio della storia.

Secondo un articolo di  Bloomberg, qualcuno ha inserito un chip microscopico nelle motherboard di SuperMicro, una azienda americana che produce sistemi server High Tech.

Si ritiene che questi micro-chips, installati nelle mainboard durante la produzione in Cina, contengano del codice “backdoor” che comprometta il dispositivo, sovrapponendosi al sistema operativo.

Le indagini, condotte sin dal 2015 ed ancora in corso, sarebbero scaturite da una verifica di sicurezza su sistemi server di Amazon; non sono stati divulgati dettagli dalle Autorità.

I big del settore apparentemente coinvolti smentiscono categoricamente; nel frattempo i titoli delle aziende cinesi produttrici di componenti I.T. vanno a picco nelle borse mondiali.

Come sempre, quando si guarda prevalentemente ai costi, la sicurezza viene sempre in ultimo piano; occorre garantire la sicurezza della intera filiera produttiva dei prodotti I.T.

Forse SuperMicro (se supererà il ChipGate) tornerà a produrre in USA?

La sicurezza informatica riguarda tutti gli aspetti di un sistema; adesso l’opinione pubblica ha scoperto che anche l’hardware può essere compromesso in fabbrica.

Lo ripeto da tempo: tutte le componenti debbono essere oggetto di analisi di sicurezza; qualcuno sa esattamente cosa faccia il BIOS (adesso uefi, in pratica un sistema operativo a se stante) dei moderni PC?

DPO ed Autorità Giudiziarie

Appare opportuno segnalare un dato che è passato piuttosto in sordina, anche tra gli addetti ai lavori.

Art. 2-sexiesdecies (Responsabile della protezione dei dati per i trattamenti effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni)
1. Il responsabile della protezione dati e' designato, a norma delle disposizioni di cui alla sezione 4 del capo IV del Regolamento, anche in relazione ai trattamenti di dati personali effettuati dalle autorità giudiziarie nell'esercizio delle loro funzioni.

Quindi, come si può leggere dal nuovo Codice novellato dal D.Lgs. 101, anche le autorità giudiziarie italiane debbono nominare un DPO-RPD.

Il Legislatore italiano conferma la estrema importanza della figura del Responsabile della Protezione dei Dati, specialmente negli ambiti dove si trattano dati personali che hanno molta rilevanza sulla dignità e quindi sulla vita delle persone.

Come diventare DPO?

Domandina frequente: come posso diventare un professionista della dataprotection, un privacy consultant o privacy auditor, oppure un D.P.O.?

La materia è estremamente complessa, multidisciplinare ed eterogenea; occorre quindi molto studio, affiancato da molta “esperienza sul campo”; non sono certamente sufficienti i molteplici corsi che sono spuntati ovunque come funghi.

In riferimento al “framework” delle competenze necessarie, direi che una buona base di partenza (relativamente all’ambito italiano ) siano le recenti norme UNI 11697:2017; vi sono classificati quattro diversi profili professionali:

  • Responsabile della Protezione dei Dati (RPDP);
  • Manager Privacy;
  • Specialista Privacy;
  • Valutatore Privacy;

anche se, a mio parere, questi profili molto diversificati inducono varie perplessità sulla opportunità di riunire nello stesso framework funzioni notevolmente diverse.

Inoltre, coloro che avranno ruoli come DPO di aziende multinazionali, dovranno avere anche competenze ulteriori, relative alle Nazioni estere nelle quali esse operano.