IL PENSATOIO

Nasce Il Pensatoio

Nasce  il pensatoio , un mio spazio, privato ma non troppo, autarchico, indipendente, critico e privo di freni inibitori o condizionamenti....

domenica 10 febbraio 2019

Come ti inquadro il fornitore. Grazie al Garante ora non si litiga più.

Si registrano episodi in cui alcuni ordini professionali  abbiano dato prova di scarsa competenza pubblicando pareri non condivisibili e fornendo indicazioni errate ai propri iscritti. 

L'etica e la deontologia degli ordini non consentono di esplorare alternative che porterebbero a  concludere che i medesimi pareri siano improntati a criteri di comodo o convenienza. Non è lecito nemmeno pensarlo.

Purtroppo, molto spesso, questi pareri vengono utilizzati come risposta standard, acriticamente applicata, da consulenti molto competenti, ma in altre materie,  e probabilmente troppo occupati per curarsi di questi dettagli.

Personalmente ho spesso dovuto confrontarmi con posizioni atecniche, ma sostenute con veemenza e ardore sia da consulenti del lavoro che fiscalisti, commercialisti, avvocati, notai, revisori contabili, sindaci e consulenti dalle più disparate competenze. Le associazioni di categoria non sono immuni da questa tendenza interpretativa e sono moltissime ad aver guidato le imprese di riferimento sulla strada sbagliata, qualificando il ruolo dei propri fornitori in modo fantasioso e creativo.

Mi stupisce quanta fatica venga sprecata in difesa di temerarie posizioni in tutti  questi casi ove basterebbe un sereno ed intelligente confronto per individuare, caso per caso, lo scenario giuridico che meglio descrive la realtà.

Ultimamente, nel tentativo di semplificare la vita ai miei interlocutori e ai clienti, ho cercato di raccogliere alcuni materiali ufficiali per aiutare a comprendere la distinzione e i differenti ruoli di titolare, responsabile, incaricato, cotitolare, terzo. Tuttavia il parere del WP29 (Gruppo di lavoro ex art. 29 - Parere 1/2010 sui concetti di «titolare del trattamento» e «responsabile del trattamento» WP 169) viene recepito come troppo complesso, lungo, dettagliato e difficile da maneggiare.
Semplificando ulteriormente, ho cercato altri materiali pubblicati dai Garanti e, con rammarico, solo presso il garante Inglese (ICO) ho trovato una guida breve, chiara, orientata alla concreta applicazione della norma, purtroppo in lingua inglese. Anche questo pare essere un elemento che scoraggia la lettura di molti professionisti.

Courtesy Translation della
checklist e guida  ICO
su data processor (responsabile)
Nelle more di qualsiasi indicazione da parte della nostra Autorità, ho provveduto ad una personalissima traduzione di cortesia, ottenendo un documento abbastanza chiaro e leggibile: una paginetta che aiuta in concreto le aziende e i professionisti a comprendere i termini della questione e smorzare i toni di quello che, in moti casi, sembra uno scontro ideologico e un rimpallo di responsabilità.
Purtroppo, in un recente scambio, il precedente Presidente dell'Autorità Garante mi ha messo in guardia segnalando un concreto rischio nell'applicare linee guida di emanazione straniera. Effettivamente il mio ingenuo tentativo partiva dal presupposto che i garanti fossero coordinati e dalla mia intima convinzione che si fossero suddivisi il lavoro:

  • il garante inglese ha prodotto molte guide applicative
  • il garante francese ha pubblicato il software per elaborare la PIA (Privacy Impact Assessment)
  • il garante tedesco ha pubblicato pareri su temi scottanti di difficile soluzione interpretativa
  • il garante irlandese ha il compito di affrontare la compliance dei Big del web che in Irlanda hanno la base operativa, 
  • diversi garanti hanno pubblicato bozze di registro dei trattamenti, 
  • ecc.


Il garante Italiano, inizialmente,  è stato molto attivo su diversi fronti, ma non sulle guide applicative per i temi di più quotidiano interesse. 
Più di recente, si è registrata una accelerazione senza precedenti e l'Autorità ha gestito rilevanti ed urgenti temi, di portata generale, come il reddito di cittadinanza, la fatturazione elettronica, i temi di illecito trattamento dei dati da parte di Facebook–Cambridge Analytica.

La settimana scorsa il nostro Garante ha inoltre pubblicato, nella newsletter periodica, il proprio parere ufficiale, emesso in occasione di una specifica domanda posta da molti professionisti e ripresa dall'ordine dei CdL.

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9080970

Evviva!
Ora, finalmente, non è più necessario guardare alle altre autorità e possiamo fare riferimento ad un importante documento del nostro Garante.

Ad una prima e frettolosa lettura, si potrebbe pensare che la risposta riguardi strettamente la domanda che è stata posta all'autorità. Al contrario, l'articolata spiegazione rappresenta un'indispensabile guida per riuscire a regolare, in modo trasversale, i rapporti tra un titolare (un'azienda) e i propri fornitori e consulenti chiamati a trattare, per suo conto, dati personali. 
Con buona pace delle lettere standard, delle risposte approssimative, delle strampalate posizioni supportate dagli ordini e dalle associazioni, finalmente, esiste un criterio per regolare in modo omogeneo una enorme serie di situazioni.

Il criterio fondamentale è declinato e chiarito in modo molto esplicito dal Garante:


"Le attività di trattamento svolte da soggetti esterni per conto del titolare, il quale può decidere di affidare all’esterno lo svolgimento di compiti strettamente connessi all’esecuzione di obblighi previsti dalla normativa lavoristica e/o dal contratto di lavoro, devono, di regola, essere inquadrate nello schema titolare/responsabile del trattamento."

Sembra molto ragionevole provare, con cautela, ad estendere questo principio anche ad altre attività, parimenti affidate all'esterno, che comportino lo svolgimento di compiti strettamente connessi all’esecuzione di obblighi di legge o all'esecuzione di contratti di cui sia titolare il soggetto originario. 


Tutti siamo chiamati a leggere, analizzare, studiare ed imparare dal testo integrale del garante.
Senza alcuna pretesa, come mero esercizio di astrazione, provo ad usare alcuni testi estratti dal provvedimento in modo da poterli applicare anche oltre la rigida ed inconsistente barriera del singolo ordine professionale:



In via prioritaria occorre distinguere il segmento di attività in cui il consulente tratta i dati dei propri clienti nella sua qualità di professionista (per gli adempimenti propri, fiscalità, fatturazione, ecc), dalla diversa attività per la quale il medesimo soggetto tratta i dati personali di cui è titolare il cliente (erogazione del servizio professionale commissionato).  


Nel secondo caso occorre fare riferimento alla figura del responsabile, che rimane connotata dallo svolgimento di attività delegate dal titolare il quale, all’esito di proprie scelte organizzative, può individuare un soggetto particolarmente qualificato allo svolgimento delle stesse delimitando l’ambito delle rispettive attribuzioni e fornendo specifiche istruzioni sui trattamenti da effettuare  

Il titolare pertanto è il soggetto che, alla luce del concreto contesto nel quale avviene il trattamento, assume le decisioni di fondo relative a finalità e modalità di un trattamento lecitamente effettuato in base ad uno dei criteri di legittimazione individuati dall’ordinamento (v. artt. 6 e 9 del Regolamento). 

...


Su un piano del tutto diverso rispetto alla figura del responsabile si pone colui che effettua (senza apprezzabili margini di autonomia) operazioni di trattamento sotto l’autorità del titolare o del responsabile.
La possibilità di attribuire specifiche funzioni e compiti a soggetti designati dal titolare o dal responsabile, assimilabili al ruolo di incaricati del trattamento, è ora previsto dall’art. 2-quaterdecies del Codice in materia di protezione dei dati personali.


In continuità con la normativa previgente, il garante si è già espresso e conferma che, di regola, siano responsabili del trattamento questi soggetti:


  • società capogruppo delegata da società controllate e collegate a svolgere adempimenti in materia di lavoro, previdenza ed assistenza sociale per i lavoratori
  • soggetto che fornisce servizi di localizzazione geografica 
  • servizi di posta elettronica
  • servizi di televigilanza 

A margine di tutto questo, ma anche grazie alle illuminanti parole del Garante, di recente, intrattenendo divertenti conversazioni tra amanti della materia, ho esplorato il ruolo degli ordini professionali che attribuiscono ai propri iscritti indirizzi pec formattati con nome.cognome@ordinedeprofessionale.it 
Nessuno pare essersi reso conto che questa email possa portare all'individuazione dell'ordine come un Responsabile del trattamento del singolo professionista, a questo asservito e dal quale ricevere indicazioni su come comportarsi in tutti quei casi che possano ricorrere con riferimento alla mailbox: uscita di un professionista dall'ordine, portabilità di tale indirizzo e su un differente fornitore, ecc.
Sarà interessare leggere i pareri degli ordini in proposito. Fino ad ora è stato possibile sostenere posizioni fantasiose grazie all'assenza di indicazioni ufficiali. Oggi diventa molto pericoloso discostarsi dalle indicazioni del Garante Privacy.

CB

mercoledì 10 ottobre 2018

Chi ci da una mano?

Sono stato colpito da due notizie di cronaca che mi hanno fatto riflettere in modo nuovo sul GDPR e alle sue implicazioni.

PRIMA NOTIZIA- ieri si è verificato un fatto assurdo: un agente di polizia è stato ferito esaminando una pendrive, una chiavetta di memoria USB che da due anni giaceva nell'ambito di un indagine. Poichè sospetta e segnalata dall'avvocato destinatario e dall'ordine degli avvocati che era indicato falsamente come mittente, è stata acquisita per essere poi analizzata.
La chiavetta è rimasta due anni in attesa e, nel momento in cui è stata presa in considerazione per svolgere l'indagine, è stata inserita in un PC ed è esplosa. Si trattava di un dispositivo modificato e fatto apposta per esplodere, dotato di una carica che ha detonato grazie alla tensione fornita dal PC in cui è stata inserita.
Assurdo, criminale, folle... ma anche evitabile.

SECONDA NOTIZIA- oggi, su diverse testate, leggo di un europarlamentare che ha dichiarato di aver dovuto condividere le sue password dei social media account con la segreteria del proprio partito. Che ciò sia vero o falso, quasi non conta. Si tratta di una notizia grave, preoccupante e angosciante, che mette in luce risvolti spaventosi di pratiche antiche ma che, con la tecnologia, diventano decisamente più efficaci, complesse da gestire e problematiche.

Entrambi questi fatti hanno un denominatore comune: il GDPR e i suoi principi fondamentali.

Il regolamento europeo richiede di elevare gli standard di sicurezza in funzione dei rischi che ciascuno deve individuare e valutare. L'uso di una pendrive, ad esempio per una copisteria, può avere un livello di rischio medio ed è lecito pensare alla sola presenza di virus o programmi dannosi. Al contrario, un computer di una banca deve essere protetto anche rispetto ad attacchi più sofisticati e deve considerare la porta USB come una grave vulnerabilità, fino al punto di bloccarne l'uso. La gestione dei dispositivi deve essere pertanto adeguata e rafforzata. Il reparto indagini forensi, al quale la procura può aver affidato l'esame della chiavetta modificata, ha certamente necessità di applicare lo stesso principio di proporzionalità e di valutazione del rischio, di individuare rischi ben maggiori di quelli meramente informatici, strutturarsi per prevenirli e addirittura per proteggersi da essi. Nel caso specifico, il laboratorio non è tenuto ad applicare il GDPR ai sensi dell'art. 2, comma 2 lett.D del Regolamento. tuttavia, applicarne le logiche, i principi e considerarlo una best-practice da seguire anche se non specificamente obbligati, avrebbe certamente comportato un esito differente per il malcapitato agente che è rimasto danneggiato dalla bomba che stava per analizzare.

Il regolamento, se correttamente applicato, garantisce a tutte le persone libertà di pensiero e di comportamento, fa sì che ciascuno possa esprimersi o non esprimersi e che sia sempre libero di comportarsi a suo piacimento e in piena libertà, senza vincoli o paure. Se si pensa ad un europarlamentare, ad un senatore, un presidente, un funzionario, un sindaco o chiunque sia chiamato ad esercitare un dovere pubblico o a guidare l'amministrazione dello stato, la libertà e l'indipendenza diventano essenziali e necessari anche per garantire una effettiva democrazia. Da sempre si raffinano sottili tecniche per condizionare l'esercizio del potere: penso all'uso distorto del denaro e mi tornano alla memoria famose inchieste giudiziarie su "fogli firmati in bianco" che i militanti dovevano rilasciare al proprio partito alcune decine di anni fa e che altro scopo non avevano se non condizionarne l'operato e ridurre la loro libertà di agire, decidere, parlare. Oggi, complice la tecnologia, diventa decisamente semplice ottenere questo scopo in modo economico ed infallibile. Oggi, i dati sono il nuovo denaro. Oggi, le password sono i nuovi fogli in bianco.
Nel caso dell'europarlamentare, la libertà e la tutela della riservatezza e dei suoi dati personali, diventa il baluardo della libertà di tutti.
Il GDPR, assieme ad una lunga serie di norme penali, impedisce in modo energico e tassativo che si possa verificare uno scenario come quello descritto dai giornali di oggi e che un esponente politico debba condividere password con il suo partito o fogli firmati in bianco.

Il GDPR ci può aiutare, se solo siamo disposti a vedere quante implicazioni e quanta protezione sia annidata tra le pieghe dei suoi articoli, dei suoi considerando, dei suoi principi.

CB




mercoledì 26 settembre 2018

GDPR e Blockchain. Facciamo la pace?

Grazie al CNIL, il GDPR e la  Blockchain fanno la pace.

Chi gestisce la privacy si trova oggi a confronto con la BLOCKCHAIN, una fantastica tecnologia, dalle caratteristiche uniche, che risolve una lunga serie di antichi problemi del mondo dell'informatica.
Il GDPR a prima vista non va molto d'accordo con la blockchain e da più parti sono state sollevate perplessità e difficoltà di applicazione della norma. Più d'un interprete sostiene che la Blockchain "non sia a norma" con il GDPR e altrettanti sostengono che il GDPR sia obsoleto perchè non tiene conto della Blockchain.

Oggi, grazie al Garante francese, possiamo contare su un'indicazione autorevole. Una interpretazione autentica che rasserena gli animi e ci permette di guardare avanti, superando l'empasse.

Ecco il parere del CNIL:

Il TITOLARE DEL TRATTAMENTO è il soggetto che partecipa alla blockchain e presenta un dato da convalidare e integrare nella catena.

Quindi, i titolari sono molti. Il garante non si esprime in termini di contitolarità.
Ricordo per completezza che il "titolare del trattamento" in inglese si chiama "data controller" e in francese risponde al nome di "responsable de traitement".

Non tutti quelli che interagiscono con la blockchain sono titolari. Chi semplicemente mina,  non lo è affatto poichè non intervenire sull'oggetto delle transazioni: non determinano quindi le finalità e i mezzi del trattamento.

Quando l'uso della blockchain avviene per volontà di più soggetti, è bene che questi individuino preventivamente chi agisce nella veste di titolare. In mancanza, sono tutti considerati co-titolari (art. 26) e destinatari singolarmente degli obblighi di legge che gravano sul titolare.

Negli SMART CONTRACTS, come per qualsiasi altro software, il programmatore può essere un semplice fornitore software oppure, quando partecipa al trattamento, può essere qualificato come un responsabile del trattamento (data processor / sous-traitant) o addirittura come titolare a seconda del suo ruolo nella determinazione delle finalità.


Esistono dei responsabili del trattamento (data processor) nella blockchain?
Si, per esempio uno sviluppatore di smart contracts per conto di un titolare.
Si, anche i miners possono essere responsabili del trattamento in alcuni casi in cui chi convalida i dati verifica che la transazione rispetti dei criteri tecnici per conto del titolare.
Anche in questi casi è opportuno che i soggetti coinvolti definiscano prima i reciproci ruoli con un contratto.

Il CNIL riconosce che su questo particolare aspetto, in particolare per le blockchain pubbliche, ci siano delle difficoltà applicative del GDPR e consiglia di adottare soluzioni innovative, al momento in fase di studio.

Come possono essere ridotti i rischi per gli interessati?
Innanzitutto occorre che il titolare valuti se è opportuno ricorrere alla blockchain per effettuare il trattamento o se, al contrario, vi sono tecnologie preferibili che comportano meno rischi per l'interessato.

Il titolare potrebbe preferire altri strumenti, anche solo per non dover gestire gli adempimenti relativi al trasferimento dei dati in paesi terzi, scenario praticamente certo in caso di uso di blockchain pubbliche.
Se il titolare scegli una blockchain pubblica per trattare dati personali, deve occuparsi della gestione del consenso al trasferimento in paesi terzi e deve gestire contrattualmente la protezione offerta dai miners fuori dalla UE, con gli strumenti che il GDPR ammette. Questo livello di complicazione è notevole e potrebbe disincentivare la scelta.


I dati
Pare difficile rispettare il principio della minimizzazione del dato e anche il principio della limitazione della conservazione del dato.
Per definizione, nella Blockchain alcuni dati sono necessari e sono conservati senza un termine.
Il CNIL non si esprime e richiama la necessità di una riflessione e una indicazione ufficiale dell'UE per armonizzare il GDPR con le caratteristiche intrinseche della Blockchain.

Nella Blochchain sono presenti i dati identificativi dei miners e di chi ha registrato dei blocchi. Questi identificatori saranno sempre validi. Il CNIL chiarisce che questi dati non sono minimizzabili ulteriormente e saranno trattati per tutta la durata della blockchain, cioè in modo indefinito.

Il Cnil da una preziosa indicazione anche sui dati registrati nel blocco (payload). Questi dati dovrebbero essere non comprensibili ai miners e ad altri soggetti e dovrebbero essere registrati con funzioni crittografiche evolute (impegno crittografico a due fasi), oppure potrebbe essere registrato il solo hash dei dati o, ancora, dati con cifratura forte.
Solo se la valutazione preliminare ha evidenziato un basso impatto o un rischio assente, allora è possibile registrare dati in chiaro o con cifratura debole. Questo è il caso dei soggetti legalmente obbligati alla pubblicazione di dati ed informazioni che, in quanto tali, possono essere registrai in blockchain in un formato leggibile da chiunque.


Esercizio dei diritti dell'interessato
Il diritto alla corretta informativa non pone problemi con la Blockchain. resta a carico del titolare o del responsabile ed è compatibile. Anche il diritto di accesso e alla portabilità sono compatibili con la blockchain.

Sono problematici i diritti relativi alla cancellazione, alla rettifica e di opposizione.

La cancellazione non è possibile per definizione. Tuttavia il titolare può registrare solo l'hash dei dati o ricorrere a impegno crittografico a due fasi e quindi, in caso di necessità, è nella condizione di cancellare i dati (chiave segreta di hashing) che possono essere associati a quel determinato hash o la fase dell'impegno crittografico non registrata in blockchain. Non si tratta di una cancellazione in senso tecnico ma il procedimento si avvicina molto al risultato desiderato, rendendo praticamente impossibile ricostruire il dato.
Questi sistemi possono essere valutati dal titolare come equivalenti alla cancellazione in senso tecnico e, di conseguenza, adottati.

Rimane impossibile eseguire una cancellazione di dati registrati in chiaro nella blockchain e questo dovrebbe quindi essere sempre evitato.

La rettifica è possibile solo mediante la registrazione di un nuovo dato, correttivo, in un blocco successivo della blockchain. Chiaramente, il dato sarà visibile sia nella versione originaria che nella versione corretta. Potrebbero essere valutate le medesime soluzioni tecniche applicabili alla cancellazione, anche per la rettifica, in modo da rendere non ricostruibile il dato originariamente registrato che si deve andare a modificare con una nuova iscrizione nella blockchain.

La limitazione del trattamento può essere prevista originariamente in uno smartcontract e risultare, dunque, possibile.
Gli smartcontract pongono interessanti quesiti anche con riferimento all'opposizione rispetto alle decisioni automatizzate. Questi contratti si eseguono in automatico se si realizzano determinate condizioni. Se opportunamente realizzati, possono integrare l'esercizio dei diritti previsti dal GDPR e diventa possibile richiedere l'intervento umano nella decisione.


La protezione dei dati

Le caratteristiche della blockchain sono la trasparenza, la decentralizzazione, la non falsificabilità, la disintermediazione. Queste sono punti di forza della tecnologia e sono garantiti fondamentalmente da: la partecipazione di molti partecipanti e miners e le funzioni crittografiche

Il CNIL suggerisce di prevedere anticipatamente cosa debba accadere in caso di collisioni o malfunzionamenti degli algoritmi utilizzati e di includere una procedura di emergenza per la sostituzione di un algoritmo qualora se ne riscontrasse la vulnerabilità o la fallacia.

I software per minare o per effettuare transazioni devono essere documentati e la fase di sviluppo deve essere governata.

Se la blockchain non è pubblica, le protezioni per garantire la sua riservatezza e confidenzialità devono essere adeguate.

Tutti i titolari del trattamento che utilizza la blockchain deve garantire la protezione e la confidenzialità delle chiavi o degli impegni crittografici curandone l'archiviazione su supporti sicuri.



Chiaramente, tutto ciò non vale per chi utilizza la blockchain per registrare dati di persone giuridiche, che non sono quindi dati personali e non riguarda nemmeno chi utilizza la blockchain per scopi personali e non professionali o per conto di terzi.

CB.

giovedì 6 settembre 2018

Quella sottile differenza... nell'applicazione della legge di Murphy

Il 24 maggio, un giorno prima dell'entrate in vigore del GDPR, il sito dell'autorità Garante per la Privacy Inglese (ICO) si è sconnesso dalla rete per più di due ore. Poco male, certamente un guasto tecnico gestito in un tempo tecnico. Si può dire che il guaio sia capitato nel giorno sbagliato ed all'ente sbagliato, ma chi frequenta i sistemi informatici è abituato a gestire la loro perfidia e conosce alla perfezione la legge di Murphy, inclusi corollari e postulati.

Purtroppo, il 22 agosto, il medesimo sito dell'ICO è stato afflitto dalla peggiore disgrazia che possa colpire un sito web: un devastante crash informatico che ha comportato il malfunzionamento del sito per oltre 2 giorni. Due giorni, senza prospettive sui tempi di ripristino e senza la possibilità di accedere ai materiali pubblicati, senza poter inviare le notifiche all'autorità, senza accedere alle registrazioni dei titolari del trattamento (in Inghilterra è un adempimento previsto in modo generalizzato), ecc.

Murply non perdona!

In questi giorni, anche il nostro Garante Privacy sta subendo la stessa sorte e vive le impietose conseguenze della immutabile regola aurea.

Murphy non perdona!

Su suolo Italico, il 25 maggio, sicuramente per un eccessivo lavoro del server e delle linee, il sito del nostro Garante è risultato irraggiungibile per ore... effettivamente il tamtam mediatico ha portato molta più gente del previsto ad occuparsi di una materia che, generalmente, è frequentata da 4 gatti spelacchiati e 4 minions.

Ripenso all'antico adagio letto tante volte in tribunale: "la legge è uguale per tutti"...e poi ripenso alla legge di Murphy!

Il 4 Settembre, dopo una lunga e ansiosa attesa, è stato pubblicato il D.Lgs 101/2018 che modifica e armonizza il D.Lgs 196/03 al GDPR. Una giornata campale, densa di emozioni per tutti i gatti spelacchiati e i minions che di privacy sono appassionati.

Purtroppo... Murphy non perdona!

Il 5 settembre, all'alba della pubblicazione dell'importante nuova legge, il sito del Garante Privacy va offline, si scollega dal mondo: irraggiungibile... muto e sordo ad ogni tentativo di accesso!
E pensare che non si tratta di un sito vetrina, statico e immutabile. Garanteprivacy.it è un sito molto frequentato, ricco di contenuti, magari non paragonabile ai siti di alcune Autority gemelle in altri stati d'Europa, ma pur sempre punto di riferimento per i cultori della protezione dei dati personali.

In effetti, oltre ad essere il faro che traccia la rotta per il corretto adempimento della norma, è anche un portale per una serie di "servizi": attraverso il sito è gestito il registro delle notifiche del trattamento per chi era tenuto ad effettuarla (in effetti è un obbligo tutt'ora vigente), è l'interfaccia di invio dei dati di contatto del DPO nominato presso gli enti che debbono dotarsi del responsabile della protezione, è il punto di contatto per ricorsi e segnalazioni.

Un evento, insomma, che mortifica il requisito della disponibilità del dato personale previsto dall'articolo 32 del GDPR!

Potrebbe andare peggio? Beh, si... sul sito del garante si dovrebbero notificare i Data breach...  Opps! Come fa ora il Garante a notificare il suo stesso Data Breach?

Murphy non perdona!

Probabilmente questa autodenuncia circolare di data breach non avverrà e non è previsto debba avvenire, anche se mi sembra tutto abbastanza ridicolo.

Amaramente, smetto però di ridere se penso che noi gatti spelacchiati e noi minions, se subiamo un evento del genere, dobbiamo autodenunciarci al Garante e saremo chiamati a dare prova di aver fatto tutto il necessario per scongiurare l'inaccessibilità dei dati e garantire il requisito della disponibilità, di aver garantito la continuità dei servizi, di aver escluso la possibile perdita di dati, di aver impedito accessi non autorizzati e di aver organizzato la resilienza del sistema.

Noi dobbiamo dotarci di efficaci procedure di disaster recovery e di business continuity. Noi dobbiamo vincolare i nostri processor a standard analoghi di protezione dei dati e, se non facciamo tutto questo, veniamo sanzionati, incriminati e dobbiamo risarcire i danni causati.

...e tutto questo accadrà, è una certezza: Murphy non perdona!

CB




martedì 4 settembre 2018

Una telefonata che non poteva finire bene.

A volte rispondere ad una telefonata é un'esperienza surreale:

Ring ring...
Io: pronto chi parla? Lei: buongiorno, chiamo dall'editrice xyz, la contatto per informarla sul nostro nuovo manuale su come applicare il gdpr e la normativa privacy. Si tratta di un testo di 520 pagine con esempi e schemi che l'aiuteranno ad applicare correttamente il gdpr...
(La interrompo)
Io: mi scusi, ma io non vi conosco, come mai mi sta chiamando sul cellulare?
Lei: beh, si, abbiamo trovato il suo numero di cellulare nel suo cv su internet in una pagina di esperti di privacy e dpo.
Io: guardi che é illegale fare una cosa simile. Dovreste leggere un buon libro su come applicare il gdpr.
(Silenzio)
Io: penso che nessuno vi comprerà il libro sul gdpr se lo proponete così, violando il gdpr...
Lei: ma si, era solo per aggiornarla, comunque non faccia cosi,  se proprio non le interessa cercheremo di non chiamarla piu.
Io: speriamo!
Click.

giovedì 30 agosto 2018

Che la giustizia trionfi!

Che rarità!
Dopo alcuni giorni di schermaglia telefonica e postale, dopo aver interessato diversi uffici e aver gettato nello sconforto numerose segretarie, ce l'abbiamo fatta!  Esiste! Esiste qualcuno diposto a mettere il cervello in ciò che fa! Esiste qualcuno che sa ascoltare, valuta, capisce e, se ha sbagliato, si corregge!

Perchè questo mi stupisce? Perchè non è sempre così? 
Nel mio piccolo mi capita, a volte sbaglio, me ne accorgo e mi correggo. A dire il vero capita anche abbastanza spesso! Perchè capita solo a me?

Ecco un luminoso esempio di email che ti può risollevare la giornata:

Buonasera,
con riferimento a precedenti relative all’oggetto  siamo con la presente a comunicare che concordiamo pienamente con quanto da Lei affermato: invitiamo pertanto a non tener conto degli atti di designazione a responsabile del trattamento inviati dalla scrivente alla vostra spettabile azienda, riferiti, in seguito a non corretta interpretazione da parte nostra, al trattamento dei dati personali della clientela acquisiti nell’adesione al programma di fidelizzazione XYZ, dei quali voi siete il TITOLARE del trattamento , che ha già nominato la scrivente  RESPONSABILI del trattamento dei dati relativi ai clienti che si sono registrati presso le i nostri store.

Con i migliori saluti

mercoledì 29 agosto 2018

Il dubbio non è piacevole, ma la certezza è ridicola. Solo gli imbecilli son sicuri di ciò che dicono. (Voltaire)


Le aziende stanno adottando in GDPR in modi che travalicano anche la più fervida fantasia.


Ho sempre trovato uno specifico aspetto del GDPR critico e temo che ora sia visto come cruciale anche dalla gran parte delle aziende: il rapporto tra titolare e fornitore (data owner - data processor) presenta uno scenario estremamente variopinto e poliedrico. In tutta questa varietà, non si può fare a meno di lasciarsi sfuggire un sorriso.

Ecco un caso concreto, che coinvolge nomi blasonati ed importanti firme legali, che mi ha lasciato senza parole:

- Attore principale: azienda titanica, enorme, con migliaia di dipendenti e centinaia di collaborazioni...
- Comparsa: un servizio esternalizzato di formazione in materia di sicurezza del lavoro.

Come noto, la formazione in materia di sicurezza del lavoro è un adempimento a cui deve pensare il datore di lavoro (che è anche il titolare del trattamento) e che lui deve gestire. Ovviamente, ogni datore di lavoro affida ad altri questo compito, in alcuni casi a funzioni interne, in altri casi in outsourcing. In ogni caso, la formazione che viene erogata riporta al datore di lavoro e, chiunque sia coinvolto,  opera sempre in nome di costui che, peraltro, finanzia le attività di formazione.

Date queste premesse, il GDPR non riserva troppe sorprese perchè l'azienda esterna che eroga la formazione lo fa PER CONTO del datore di lavoro originario. Da costui riceve le liste dei lavoratori, riceve il dettaglio di quale formazione effettuare ecc. Chiaramente, il lavoratore è informato dal  proprio datore di lavoro circa questo trattamento e non ha bisogno di alcuna autorizzazione o consenso per trasferire, ad esempio, le liste dei dati dei lavoratori all'ente che eroga la formazione. E' il datore di lavoro che determina le FINALITA' di questo trattamento e questo elemento è dirimente per applicare il GDPR e attribuire il corretto ruolo ai soggetti coinvolti.

Ci si aseptterebbe che il Protagonista, l'azienda datore di lavoro, in qualità di TITOLARE DEL TRATTAMENTO, provveda a nominare il fornitore quale responsabile del trattamento.

Eppure...   eppure in alcuni casi ci sono delle sorprese.

Dopo aver chiesto di ricevere una nomina a responsabile del trattamento, dando forse per scontato troppo,  mi vedo inviare questa illuminante risposta dal Protagonista:

Riscontro la Vs. cortese richiesta al fine di rilevare che nessuna nomina quale di Responsabile del Trattamento dovrà essere predisposta in favore Christian Bernieri e ciò in ragione del servizio (formazione on line del personale) che egli andrà ad erogare in favore della scrivente.
Tale categoria di soggetti, infatti, come espressamente indicato all'interno dell'informativa resa ai lavoratori, è stata fatta rientrare nel novero dei Terzi Titolari Autonomi (e non dei Responsabili), affinchè l’Interessato nel caso di errato o non conforme trattamento dei suoi dati personali o in ipotesi di “data breach” nulla possa rivendicare nei confronti della scrivente.

Chiaramente, come fornitore, sono ben lieto di accettare questo parere, per me autorevole, sul quale posso solo meglio riflettere, nella speranza di imparare i fini meccanismi delle politiche di attuazione del GDPR.

Uscendo però dalla logica cliente-fornitore e ragionando da consulente privacy, non posso fare a meno di pensare che, al posto della applicazione di una norma, siamo di fronte alla personalizzazione della norma stessa, al suo allontanamento dalla realtà e del suo assoggettamento ad interessi di parte o a politiche aziendali accuratamente studiate. Leggere termini come "è stata fatta rientrare" mi fa pensare ad una azione deliberata, una lettura appositamente orientata piuttosto che alla descrizione di una realtà fattuale.

Penso che sia difficile sostenere una posizione simile.

Dal canto mio, ho la ferma intenzione di trattare i dati che mi verranno consegnati con la massima diligenza, proteggerli, ed utilizzarli unicamente per le finalità per le quali mi sono stati consegnati. Chiaramente ora dovrò pensare all'informativa che devo dare ai lavoratori coinvolti, ma questo è marginale: avevo già predisposto una informativa integrativa, a beneficio dell'azienda mia cliente.

Tuttavia, forse con eccesso di zelo, mi sorge un dubbio e inizio a scavare su un aspetto particolare: se è vera la posizione sostenuta del mio cliente, in ragione dell'informativa citata, quei dati sono, di fatto, usciti dal controllo del titolare originario e sono oggetto di un data breach che si è consumato nel momento stesso in cui mi sono stati consegnati. Io sono libero come l'aria rispetto al titolare originario, sono svincolato da ogni dovere nei confronti degli interessati e posso trattare quei dati senza alcun ulteriore preoccupazione, se non il mero adempimento dei miei obblighi di legge in materia di protezione dei dati... un fosco scenario!



Forse il GDPR non permette una simile interpretazione, una così estrema applicazione... mi sembra di poterla definire addirittura una manipolazione.
Forse, questa applicazione della norma, è in realtà una violazione della norma stessa. Un data Breach in termini.
Forse, l'azienda ha incontrato il proprio destino proprio sulla strada presa per evitarlo...

Speriamo di no.

CB