Francesco Iori

decreto trasparenza

Il Decreto Trasparenza

L'autore

BARBARA SABELLICO

BARBARA SABELLICO

AVVOCATO GIUSLAVORISTA E DPO

Profilo LinkedIn

Partecipa al Webinar sul Decreto Trasparenza 

Giovedì 22 Settembre 2022 dalle 11 alle 12

Dal 13 agosto è entrato in vigore il d.l. n. 104/2022 (c.d. Decreto Trasparenza) di recepimento della direttiva UE 2019/1152 relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea.

Tale Decreto porta numerose novità che impattano direttamente sulla gestione, sia formale che sostanziale, dei contratti di lavoro. Molte di queste novità hanno anche conseguenza diretta sulla gestione degli adempimenti normativi imposti dal Regolamento Europeo sulla Protezione dei Dati (GDPR) e ci obbligheranno a verifiche e revisioni documentali.

Per poter fare chiarezza, AgileClass, in collaborazione con PRIVACYLAB e l’Avv. Barbara Sabellico, esperta giuslavorista e DPO certificato, fornirà agli interessati un approfondimento sugli elementi più importanti della normativa con particolare attenzione ai casi studio e agli aspetti pratici del decreto.

COMPILA IL FORM E RICEVERAI IL LINK PER COLLEGARTI AL WEBINAR

 

 

dpo esterno

Il ruolo del DPO nelle scuole

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

La tendenza degli ultimi anni verso la didattica a distanza ha reso necessario accrescere una maggiore attenzione sul tema della tutela della privacy e dei dati personali. Nonostante, però, l’attenzione verso questo tema sia recente, la questione non è nuova dal punto di vista normativo.

Il DPO è, infatti, obbligatorio per gli istituti scolastici già da maggio 2018, grazie all’entrata in vigore del Regolamento generale sulla protezione dei dati n.2016/679 (di seguito GDPR). La normativa prevede, infatti, che il DPO sia obbligatorio per ogni ente pubblico o privato che tratti dati personali di cittadini europei.

Nuove necessità: il DPO nella scuola

Se partiamo dal presupposto che l’intento del GDPR è quello di tutelare il diritto delle persone ad avere il controllo totale delle informazioni che le riguardano in un mondo sempre più esposto  allo sviluppo della tecnologia, gli istituti scolastici non possono certamente essere esclusi dal campo applicativo della normativa in esame.

Seppur obbligatoria ormai da qualche anno, la figura del DPO in ambito scolastico non è mai stata così indispensabile. Sia esso soggetto parte dell’organico aziendale o una persona fisica o giuridica esterna, la sua presenza è ormai inderogabile. Negli ultimi anni, infatti, la mole di dati trattati è aumentata esponenzialmente e l’utilizzo di tools di terze parti come Zoom e Google Meets, che permettono l’erogazione della didattica a distanza, ha reso la governance sul trattamento dei dati un’attività ben più complessa.

Il garante è intervenuto in materia il 26 marzo 2020 con un provvedimento recante le prime indicazioni sulla didattica a distanza, sottolineando la necessità di conformare l’attività delle scuole ai principi del GDPR, offrendo agli interessati valide garanzie sul piano della protezione dei dati personali. Per quanto la responsabilità ultima in materia di privacy spetti alla singola istituzione, il DPO entra in gioco per la risoluzione di tutte le problematiche del caso, potendo agire su più fronti. Partendo dall’offerta di consulenza per la valutazione d’impatto (DPIA) e dall’adozione di misure di sicurezza, il responsabile per la protezione dei dati personali può essere un grande aiuto per la scelta delle tecnologie più appropriate per lo svolgimento delle attività scolastiche in conformità alle disposizioni normative. Può fornire, inoltre, supporto nella ricerca e nella redazione del contratto con i fornitori degli strumenti operativi per lo svolgimento della DAD e svolgere campagne di sensibilizzazione sulla tutela della privacy per il personale.

A chi è meglio affidarsi, DPO esterno o DPO interno?

Difficile stabilire se la scelta migliore per un istituto scolastico sia la nomina di un DPO esterno o interno. Le ipotetiche soluzioni applicative restano due. La prima prevede la nomina di un DPO esterno e l’individuazione di uno o più soggetti interni che siano formati adeguatamente per la gestione dei vari compiti in materia di privacy. La seconda prevede la nomina di un DPO interno che operi con l’appoggio di un consulente esterno. Resta a vedere quali siano le concrete necessità di un istituto scolastico per potersi approcciare alla soluzione più adeguata. Certo è che il DPO resta una figura chiamata a svolgere attività che non possono essere incompatibili con ulteriori attività svolte all’interno dell’istituzione, incompatibilità esclusa alla radice nel caso in cui il ruolo sia affidato a un soggetto esterno. Senza dimenticare che tale scelta costituirebbe un risparmio di tempo e denaro che sarebbero destinati alla formazione del personale dipendente a cui verrebbe affidato tale compito, che dovrebbe cimentarsi con le tematiche della privacy e della protezione dei dati personali, non esattamente il pane quotidiano della maggior parte delle realtà scolastiche. Per approfondire la questione si veda l’articolo il paradosso del DPO.

dpo esterno
Scopri di più sull'autore di questo articolo!

Phishing: cos’è e come non abboccare

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Anche chi non ne è stato vittima, o non ha abboccato, sa cosa sia il phishing: è quell’attività fraudolenta che consiste nell’invio di mail fasulle per attirare l’attenzione degli utenti che, se abboccano, forniscono i loro dati per usi illeciti.

Il termine nasce nel 1996 dalla fantasia di un gruppo di hacker all’attacco degli account di America Online, con una evidente analogia col mondo della pesca sportiva: l’hacker è il pescatore, la mail fasulla è l’esca con l’amo dentro, e gli utenti sono i pesci che abboccano.

Come il pesce che cade nel tranello e si immola, con il phishing siamo noi che consegniamo nelle mani del ladro le chiavi di casa nostra sotto forma di username e password dei nostri account. Sicuramente il ladro è stato bravo a camuffarsi e a fingere di essere una persona di nostra fiducia, un amico, un inviato di una azienda credibile, ma la domanda è: potevamo controllare meglio?

Passando dalla pesca ad un’altra analogia, è come nella favola di cappuccetto rosso: la mail di phishing è il lupo travestito da nonna. Con più attenzione avremmo potuto notare gli occhi e le orecchie grandi, e che alla fine, con tutto quel pelo il lupo non assomigliava proprio a nostra nonna.

Social Engineering: l’ingegneria sociale della truffa

Se finora non siete mai cascati nel tranello: bravi. Ma attenzione. Negli anni le mail di phishing hanno migliorato la loro capacità mimetica. Ricorderete tutti le prime mail della vedova di un ricchissimo uomo del Congo che non sapeva a chi affidare i milioni di euro di eredità del marito e per un fortuito caso del destino aveva scelto proprio voi. Difficile crederci, anche perché spesso la traduzione dall’inglese (lingua di origine di queste truffe) all’italiano era fatta con software automatici che davano un risultato finale davvero poco convincente.

Oggi però le cose sono cambiate: mail e messaggi arrivano spesso a nome di aziende locali come poste italiane o corrieri, o vostri amici di Facebook e Instagram, persino colleghi o clienti. Se non possedete account o avete ordinato servizi con questi partner è facile capire che il target non siete voi, ma è molto probabile che prima o poi vi arriverà una mail fatta molto bene che sembra parlare a voi, e allora dovrete decidere se cliccare sul link oppure no.

Attacchi sofisticati di questo tipo, spesso effettuati dopo un lavoro preparatorio di raccolta di informazioni da parte dell’attaccante, fanno parte di una più ampia famiglia di attacchi. Si tratta di social engineering, in italiano ingegneria sociale ed è l’uso di tecniche di comunicazione e persuasione al fine di convincere una persona a fornire dati e informazioni riguardanti lui o la sua organizzazione, e può coinvolgere l’uso di email, sms, telefonate, chiavette USB trovate nel parcheggio aziendale…

Tornando all’argomento delle email, la miglior regola è controllare con attenzione il mittente, l’oggetto, il link. Se qualcosa non torna, ad esempio invece che www.poste.it, il link è www.poste-sicurezza.it, allora diffidate e fate attenzione.

Phishing scam: si pesca coi grandi numeri

Questo genere di truffe su internet funziona secondo la legge dei grandi numeri. Se io invio un milione di mail, anche se abbocca solo lo 0,01% dei riceventi, parliamo comunque di 100 persone. Se di queste dieci, il 90% si accorge dopo aver cliccato di aver fatto un errore e blocca la procedura, ne rimangono ancora altre 10 che rischiano di dare le loro credenziali ai ladri.

I numeri, nella realtà, sono ancora più impietosi. Secondo un’indagine di Terranova Security il 20% dei dipendenti di un’azienda è probabile che clicchi su un link di una e-mail di phishing. Di questi, il 67% prosegue e fornisce i dati richiesti dando così libero accesso a chi cerca di compromettere la sicurezza dell’azienda.

Se state leggendo questo articolo al lavoro alzate la testa e guardatevi intorno. Se avete quattro colleghi vicino attorno, uno di voi potrebbe essere la persona che clicca il link.

Ok, perdono, questo approccio è un po’ terroristico, ma i numeri sono questi.

Tecnologia e formazione assieme per non abboccare

Quando si parla di cybersicurezza e in particolare di phishing è assolutamente necessario che le corrette tecnologie, la giusta policy, è una corretta strategia proattiva vadano a braccetto con la corretta formazione del personale.

Il perché dovrebbe essere chiaro: sicurezza e firewall fanno la loro parte, ma se è l’utente a fornire il modo agli hackers di entrare nei server dell’azienda, tutto il lavoro fatto per proteggere i dati aziendali (brevetti, tecnologie), personali, va in fumo.

È un po’ come la storia del cavallo di troia: rischiamo di essere noi, convinti di essere tranquilli e al sicuro, a portare dentro le mura della nostra città il nemico.

La miglior strategia è quindi la formazione dei dipendenti, fatta attraverso corsi, simulazioni di attacchi, test, a cui ovviamente si accompagnano le necessarie procedure di sicurezza. 

In maniera poco sorprendente, sono convinto che sia parte di un buon servizio l’avere un DPO (esterno od interno) che sia in grado di supportare l’azienda sotto la sua tutela, nel mettere in campo le strategie di prevenzione più adatte ed efficaci.

Scopri di più sull'autore di questo articolo!

Il paradosso del DPO

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Responsabile della protezione dati, ufficiale di controllo, sentinella, esperto di disaster recovery, grande occhio del garante della privacy, colui che tutto vede e tutto sa: ma chi è il DPO?

 

Tecnicamente abbiamo già visto che cos’è e cosa fa un DPO. Non sarà però sfuggito ai lettori più arguti che le competenze richieste e i compiti da svolgere fanno del DPO una figura quasi mitologica, come un Sisifo il cui lavoro non finisce mai.

 

In effetti, proviamo un attimo a soffermarci sulle competenze richieste per il nostro Data Protection Officer. La prima deve essere di natura giuridica: conoscere a menadito il GDPR e tutte le norme ad esso collegate, da quelle legate alla gestione delle risorse umane a quelle che regolano il commercio e la pubblicità. Capire se ci sono state delle mancanze, come affrontare la gestione dei data breach e in generale valutare e approvare tutto il corpus dei documenti che un’azienda deve avere: informative, nomine registri, DPIA…

 

Al contempo, però, un bravo DPO deve conoscere il core business dell’azienda, quali sono i dati che ogni giorno elabora, deve avere una buona competenza tecnologica per sapere se i file dell’azienda sono al sicuro e se le procedure, decise insieme al fornitore di servizi, siano sufficienti a proteggere da un eventuale disastro. Infine, non obbligatoria ma sicuramente utile, una mente strategica, quasi scacchistica, capace di prevedere futuri disastri e anticipare le mosse per evitarli e superarli.

 

Esiste un DPO capace di fare tutto ciò che un DPO dovrebbe fare? 

 

Ironie a parte, si intuisce, insomma, che le competenze richieste sono davvero tante. Il rischio, nella realtà, è quello di avere una figura magari capace giuridicamente, ma debole dal punto di vista tecnologico o viceversa. Non è facile trovare una persona che raccolga in sé tutte queste cognizioni.

 

Una soluzione a questo empasse può essere un team multidisciplinare che coinvolga più persone ognuna esperta nel proprio campo. Idea geniale, ma anche qui sorgono alcuni problemi. Il primo di natura economica. Quali risorse può dedicare la nostra azienda alla protezione dei dati? Compito, sì, obbligatorio, ma che comunque deve essere sostenibile.

Un team di persone interne all’azienda tutte incentrate a dar vita al DPO perfetto può funzionare ma è sicuramente un gran dispendio di risorse per l’azienda.

 

C’è anche un altro problema. Proprio per la sua natura, un gruppo del genere è composto da persone ognuna competente nel proprio campo, che a questo punto necessiterebbe di continue riunioni per condividere i vari aspetti coinvolti, investendo ulteriore tempo.

 

DPO esterno?

 

Sicuramente esternalizzare completamente il servizio di DPO è una soluzione che può sopperire a molte di queste difficoltà, sia dal punto delle competenze che della gestione organizzativa ed economica; tuttavia, per poter gestire in maniera efficace l’attività sarebbe comunque richiesta una profonda e costantemente aggiornata conoscenza della realtà aziendale o una figura interna di coordinamento che dovrebbe conoscere un po’ di tutto, tornando quindi al problema già visto.

 

La soluzione di Agile DPO: Non vendere un pesce, insegna a pescare 

 

Forse possiamo provare a cambiare il punto di osservazione. Non dobbiamo cercare un DPO esterno (o interno) capace di fare tutto, ma una persona che sappia valutare la complessità dell’azienda e iniettare in ogni livello le competenze necessarie per far crescere la qualità digitale e giuridica delle aziende.

 

In una parola: formazione.

Ricordate quando abbiamo parlato di Privacy by design, l’idea cioè che tutto il contesto della privacy sia integrato nell’azienda dalla sua fondazione e non un elemento posticcio attaccato a posteriori?

 

Qui il concetto è simile. Invece di prendere il dipendente che ha estratto la pagliuzza corta e fargli fare il DPO interno, rendendo lui infelice e l’azienda insicura, se tutti i singoli comparti dell’azienda fossero “formati” da esperti sul GDPR, in modo che ognuno, nel proprio settore, abbia ben chiaro che cosa significa lavorare per far rispettare il Regolamento avremmo dipendenti competenti, e nel contempo avremmo snellito mostruosamente il lavoro.

 

Per riprendere il detto evangelico: molto meglio insegnare a pescare che regalare un pesce e poi sparire. Una formazione efficiente, capillare e certosina, farà in modo che il comparto tecnico sappia scegliere il servizio con la miglior tutela dei dati e un disaster recovery plan efficiente, che i venditori conoscano il modo migliore di trattare i dati dei clienti. Ma anche che, ad esempio, qualsiasi dipendente sia consapevole se si trova di fronte ad un data breach (una mail di un utente spedita ad un altro utente: come mi comporto?), e che il responsabile conosca a menadito la procedura da intraprendere quando questo accade.

 

Come abbiamo già visto altre volte, in un momento in cui gli utenti sono estremamente attenti e gelosi dei propri dati, mostrare competenza e trasparenza è un ottimo biglietto da visita. Inoltre, rendere edotti i propri dipendenti su meccanismi sempre più presenti nel mondo del lavoro, eviterà grossi problemi e spese all’azienda.

 

Anche perché, da un punto di vista giuridico e di diritto del lavoro, una volta che l’azienda ha speso soldi per organizzare dei corsi e formare i dipendenti, gli errori, a quel punto, non sono più scusabili.

Scopri di più sull'autore di questo articolo!

Tre anni di GDPR, come è cambiata la nostra vita?

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Il 25 maggio del 2018 è entrato in vigore il Regolamento generale sulla protezione dei dati personali (GDPR), e da quel momento, nulla è stato come prima. Ok, forse così è troppo roboante, ma è indubbio che in questi tre anni e mezzo l’impatto del GDPR sul nostro lavoro e sulla nostra sensibilità a temi quali privacy, diritti e libertà, sia stato profondo.

A molti utenti sarà sembrato solo un piccolo fastidio in più, quello di dover acconsentire e “skippare” velocemente le informative sulla privacy che per legge troviamo su ogni nuovo sito che visitiamo, ma in realtà dietro questa semplice operazione si sviluppa e si rinforza la certezza che i nostri dati sono ora considerati e trattati con maggior rispetto, pena controlli e multe salate.

L’Unione Europea, in particolare, ha profuso energia e risorse in questo sforzo mettendo con le spalle al muro anche giganti dell’hi-tech e del mercato che, nell’immaginario collettivo ma non solo, per lungo tempo hanno giocato con i nostri dati con una certa sufficienza.

I numeri della Privacy

 
Il Garante per la protezione dei dati personali pubblica con cadenza regolare i report della propria attività, dai quali si evince l’aumento di segnalazioni e contatti.

In particolare le comunicazioni dei Responsabili della protezione dei Dati (RPD all’italiana o DPO per tenere l’acronimo anglosassone) al garante, sono passate dalle 43.269 del dicembre del 2018, alle 60.864 di giugno 2021, un incremento di circa il 40%. Così come sono aumentate le notifiche di Data Breach passate da 305 a 592.

Anche i reclami da parte degli utenti sono aumentati, pur con un andamento altalenante, passando dai 2.547 del primo trimestre dall’applicazione del GDPR fino ai 3.070 del periodo aprile – giugno 2021.

Come il GDPR ci ha reso più consapevoli dei nostri diritti

 
Se si confrontano i numeri delle segnalazioni di Data Breach (circa 3,5 al giorno), rispetto ai dati degli effettivi attacchi informatici, il numero rimane ancora basso, ma l’aumento è comunque indicativo delle politiche di sicurezza adottate.

In generale, questi aumenti non segnalano tanto un incremento di effettivi data breach o abusi della normativa, ma di presa di coscienza, da parte sia dei professionisti che degli utenti della possibilità di segnalare una situazione anomala e richiedere la difesa di un proprio diritto acquisito.

Un altro dato molto interessante da questo punto di vista è stata la comunicazione dei nominativi dei Responsabili DPO: 59.838, soprattutto di aziende pubbliche, ma non solo, ad indicare quanto sia diventata fondamentale la presenza di questa figura all’interno delle aziende che trattano dati sensibili.

La pandemia come boost

Proprio su questo punto si gioca forse la questione più importante per le aziende, ovvero il rapporto costi benefici.

È indubbio che la sensibilità degli utenti sia molto cambiata in questo triennio. Se da un lato l’introduzione delle norme del GDPR ha conferito alle persone gli strumenti per organizzare la propria consapevolezza sull’importanza dei propri dati personali, dall’altro, la spinta allo smart working e agli acquisti online dovuta alla pandemia da Covid-19 ha costretto milioni di persone a confrontarsi con l’ambiente informatico e di conseguenza con l’utilizzo e la cessione dei dati.

Secondo uno studio di Cisco System, il Data Privacy Benchmark Study 2021, il Covid-2019 ha forzato molte aziende ad effettuare cambiamenti profondi, a causa della necessità urgente di doversi confrontare con dati personali di salute pubblica, spesso in aiuto alle organizzazioni pubbliche. Sempre secondo i dati raccolti da Cisco, per riprendere il discorso dello Smart Working, il lavoro da remoto è passato dal 40 al 67% e il 91% delle aziende si è ritrovata con al meno un quarto dei propri dipendenti in questa modalità di lavoro.

Di fronte a questa situazione nuova gli utenti hanno percepito come estremamente positivi i regolamenti sulla tutela dei dati personali, orientando la loro fiducia sulle aziende certificate che negli anni avevano recepito e adottato la normativa GDPR

GDPR: un investimento, non un costo

La conseguenza è scontata: gli investimenti effettuati per l’adeguamento al GDPR sono stati un costo ampiamente ripagato dal ritorno economico. Sempre spulciando i dati dello studio di Cisco, emerge che le aziende che avevano da subito investito sulla privacy hanno avuto i maggiori benefici economici, ma non solo, anche una maggiore efficienza (per essere già capaci di rispondere alle nuove esigenze), e soprattutto una maggiore fiducia da parte degli utenti, verso cui diventano più attrattive.

Inoltre, al di là del rapporto con gli utenti, le aziende già “pratiche” di GDPR hanno affrontato le difficoltà di quest’ultimo biennio con meno stesso per la struttura e i dipendenti, proprio perché già preparate – nel supporto e nelle infrastrutture, nello sviluppo, e nell’analisi dei rischi – alle modalità imposte dalla pandemia.

Se dovessimo riprendere la domanda iniziale, Come è cambiata la nostra vita in questi tre anni dall’applicazione del GDPR, la risposta ora sarebbe, bene, soprattutto per chi ha recepito e adottato la normativa.

Scopri di più sull'autore di questo articolo!
dpo esterno

DPO obbligatorio o consigliato?

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Il DPO ha la responsabilità di garantire contemporaneamente sia la libera circolazione dei dati, che la protezione dai rischi che questa circolazione comporta.
Facile no?

Si chiudeva così il nostro editoriale con un perfetto cliffhunger, un momento di grande suspance. Perché, sì, è vero: il DPO è una figura davvero articolata, a metà strada tra il Garante della Privacy e l’azienda, capace di monitorare e comprendere il corretto flusso dei dati, e nel contempo mettere in atto tutte le operazioni per garantire la protezione dei rischi che questa circolazione comporta.

Questo è il nostro punto di partenza: dati e gestione dei dati.

Da quando la società e la politica si sono interessate alla protezione dei dati, sono stati messi in atto regolamenti, norme e obblighi che le aziende hanno dovuto recepire e attuare. E non poteva essere diversamente, visto che con l’aumento della tecnologia e la contaminazione dei dati personali in praticamente ogni dispositivo e ogni operazione relativa all’utente, il nostro approccio ai dati è diventato pervasivo.

Ammettiamolo: quando siamo di fronte al leviatano legislativo che impone una misura – in questo caso l’assunzione di un DPO – la si recepisce sempre con sospetto e circospezione, quasi fosse un’ingerenza che sarebbe meglio evitare. Eppure, guardiamo la cosa da un altro punto di vista. Non in tutte le casistiche il DPO è obbligatorio, ma lo è sempre la corretta gestione dei dati.

Considerare il Data Protection Officer un obbligo di legge è limitante, così come pensare che sia semplicemente “consigliato” averlo in azienda. In realtà parliamo di un vero e proprio investimento. Lo stesso che l’azienda opera in altri settori delle risorse umane. Anche il responsabile dei dati de facto è un investimento e garantisce all’azienda di avere la gestione dei dati in regola, con un basso rischio riguardo la protezione e una libera circolazione dei dati.

Proviamo a partire dall’idea che il DPO non sia mai obbligatorio, ma che sia una figura facoltativa che l’azienda può implementare, allo stesso modo del direttore marketing o del direttore vendite, o di qualsiasi posizione che funga da raccordo e controllo.

Ricordate? Si diceva che la figura del DPO è complessa, svolge numerose funzioni di raccordo, di controllo e di consulenza. Se dovesse mancare, quanti professionisti dovrebbero investire, all’interno dell’azienda, tempo e risorse per svolgere queste mansioni?

Perché, sia ben chiaro, anche se il Data Protection Officer non è presente nella nostra azienda, i Dati che necessitano Protection ci sono in ogni caso! Serve insomma qualcuno che sia capace di fare contente tanto le aziende che devono far circolare i dati, quanto gli interessati i cui dati devono essere protetti.

Siamo sicuri quindi che questo “obbligo” del DPO nasca solo come normativa e non come necessità interna dell’azienda? Riprendendo l’esempio del direttore marketing o vendite, davvero l’azienda risparmierebbe denaro e risorse se non assumesse una persona per questo ruolo?

Non avere il DPO, oggi, e ancor più in futuro, potrebbe farci spendere molto di più di quanto ci costerebbe oggi affidarsi a un esperto.

È innegabile che ormai il GDPR faccia parte del core di un’azienda quanto le vendite e la gestione del materiale. Va gestito, aggiornato e deve essere funzionante e funzionale, oltre ad essere un marchio di garanzia per gli utenti e i clienti sempre più attenti alla gestione dei loro dati.

Oggi qualsiasi azienda che utilizza il mondo digitale dei dati – soprattutto quelle di un certo tenore – trova nel DPO un risparmio di risorse, di tempo e di conseguenze legate ai problemi connessi con la sicurezza dei dati. È davvero un risparmio non averlo?

Scopri di più sull'autore di questo articolo!
La gestione dei controlli del Green Pass a norma di GDPR

La gestione dei controlli del Green Pass a norma di GDPR

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Aggiornamento del 19/11/2021

 

È stato convertito in Legge il DL 127/2021 relativo alla gestione del Green Pass nei luoghi di lavoro. Si è in attesa della pubblicazione in Gazzetta Ufficiale del testo definitivo del provvedimento.

Poiché il testo di conversione ha diverse novità di rilievo che impattano sulla materia della Certificazione verde nei luoghi di lavoro, provvederemo ad aggiornare questa pagina solo dopo la pubblicazione in Gazzetta del provvedimento.

 

Aggiornamento del 08/11/21:

L’articolo che segue è stato pubblicato il 6 agosto, data dalla quale ormai sono trascorsi molti giorni e si sono susseguiti aggiornamenti di legge che hanno esteso l’applicazione del Green Pass anche ai luoghi di lavoro pubblici e privati e hanno in parte confermato quelle che erano le indicazioni che vi avevamo fornito.

 

Se volete leggere gli ultimi aggiornamenti sul tema Green Pass cliccate qui sotto.

 

Se invece dovete ancora leggere l’articolo completo, buona lettura!

Venerdì 6 Agosto è entrato ufficialmente in vigore l’obbligo della certificazione Green Pass. Il certificato vaccinale da ora in avanti, farà da spartiacque tra chi potrà accedere a molte attività ed eventi al chiuso e non solo, e chi invece rimarrà fuori.

Non è riuscito, però, a fermare le polemiche, cominciate già prima del suo arrivo. In particolare, ristoratori e imprenditori della cultura, del divertimento e dello spettacolo puntano il dito sulla necessità di dover dedicare almeno un loro dipendente all’attività di controllo, con tutte le conseguenze del caso, come l’aumento dei costi del personale e la formazione per chi dovrà svolgere questo compito, in una stagione già difficile. In molte località turistiche, albergatori e ristoratori sono sul piede di guerra.

C’è un aspetto, poi, legato al controllo, che ha dei risvolti problematici, come hanno fatto emergere alcuni esponenti di Confcommercio secondo cui, data la necessità di dover chiedere, oltre al certificato vaccinale, anche i documenti di identità, si rischia di ledere la privacy degli avventori, con il rischio di denuncia al garante della Privacy. Visto che in definitiva i dipendenti di un’attività alberghiera, culturale o gastronomica non sono né poliziotti, né controllori.

È un timore fondato quello della Confcommercio, che nel frattempo chiede al governo di rivedere le modalità di controllo del Green Pass, oppure no?

La situazione non è semplice, visto che le attività suscettibili di controllo sono numerose: dai cinema e teatri ai parchi tematici, dalle fiere alle sale giochi, palestre, oltre a ristoranti, bar e mostre, per citare le principali.

Green pass e GDPR: chi controlla i controllori?

Partiamo dalle ragioni degli imprenditori: sì, uno dei dipendenti deve diventare un controllore. In particolare, il titolare deve elaborare una nomina per ciascuno dei dipendenti che verranno impiegati nel nuovo servizio, come “addetto delegato alla verifica delle certificazioni verdi Covid-19“, che contenga precise istruzioni sullo strumento da utilizzare per i controlli.

Per chi svolge un’attività conto terzi, questa nomina, però, richiede un ulteriore passaggio. L’attività deve assicurarsi di aver ricevuto una lettera di incarico da parte del Comune o Ente che sta delegando il lavoro all’impresa. L’art. 13 del DPCM 17 giugno 2021 prevede infatti la possibilità di delegare tale attività di controllo, purché avvenga mediante incarico “con atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica”.

È fondamentale quindi verificare in prima battuta di aver ricevuto le lettere di incarico da parte di questi enti, per poi delegare, istruire e sensibilizzare in maniera specifica il o i dipendenti in modo da garantire massima riservatezza e corretta gestione dei dati.

Green Pass e GDPR: controllare senza archiviare

 

Il primo timore degli imprenditori è purtroppo confermato. Secondo quanto riferito nel DL 52/2021 l’onere del controllo del Green Pass ricade sulle spalle dei gestori dei servizi e delle attività. Si può cercare, però, di farlo al meglio e senza ledere la privacy delle persone.

Innanzi tutto deve essere chiaro a gestori e imprenditori che l’attività di verifica delle certificazioni non deve comportare, in alcun caso, la raccolta dei dati dell’intestatario. L’addetto al controllo non potrà infatti fotocopiare i pass o i documenti di identità né salvarli in formato digitale.

La soluzione più veloce è il controllo del Green Pass attraverso l’app Verifica C19, che permette di appurare velocemente autenticità e validità della certificazione e di conoscere le generalità della persona senza rendere visibili le informazioni e tutelando così la privacy.

Ma la vasta platea interessata e la scarsa abitudine al digitale del nostro paese presenteranno più di una situazione in cui il certificato vaccinale cartaceo sarà il pass esibito per accedere. In ogni caso, qualora dovesse essere richiesto all’utente di esibire un documento di identità, è importante ribadire che nulla, di queste informazioni, dovrà essere archiviato, né in formato cartaceo né in formato digitale.

Un ulteriore metodo per evitare diatribe e polemiche sono i lettori Green Pass automatici che leggono la codifica da smartphone o su carta stampata, garantendo l’accesso senza la presenza di operatori. Se da un lato non è necessario mettere un dipendente a svolgere questa mansione e si assicura il rispetto delle norme del GDPR, d’altra parte, però, è necessario acquistare e configurare il macchinario.

Green Pass e GDPR: ci siamo già passati…

Una gatta da pelare per gli esercenti? Fino a un certo punto. Alcuni mesi fa le stesse polemiche si erano presentate per la necessità di misurare la temperatura all’ingresso di luoghi ed eventi, compito certamente in più rispetto alle normali attività dei dipendenti, ma alla fine non così complesso da mandare in tilt il lavoro.

Anche in questo caso, non essendoci la necessità di archiviare e registrare i dati, una volta prese le misure il compito si rivela piuttosto agevole. E’ un fastidio in più, ma non così differente da altre incombenze di controllo, come ad esempio la richiesta di esibire i documenti per vendere alcolici ai più giovani. Nella speranza, ovviamente, che tutte queste necessità scompaiano presto insieme alla pandemia.

Aggiornamento in materia di gestione Green Pass 08/11/21

 

L’entrata in vigore del D.L. n.127/2021 ha introdotto l’obbligo di impiego delle certificazioni verdi Covid-19 in ambito lavorativo privato, oltre che pubblico, e ha imposto che anche in questo caso fosse il datore di lavoro, o un suo delegato, a verificare la validità delle certificazioni verdi dei dipendenti e dei collaboratori esterni.

 

Si è palesato nuovamente il problema di come effettuare i controlli, cercando il giusto equilibrio tra procedure che permettessero di controllare i dipendenti, organizzare per tempo il lavoro quotidiano e continuare a rispettare i principi espressi dal GDPR e le policy già approvate dal vostro DPO.

Come avevamo anticipato con il nostro articolo, il DPCM del 12/10/21 ha confermato la possibilità di automatizzare i controlli integrando nei sistemi di controllo degli accessi, inclusi quelli di rilevazione delle presenze, le funzionalità di verifica della Certificazione verde Covid-19.

Resta comunque invariato l’obbligo di non archiviare in questi dispositivi il Green Pass o di utilizzare per finalità ulteriori le informazioni rilevate dalla lettura dei QR-code e le informazioni fornite all’esito ai controlli.

È possibile considerare legittima la raccolta dei dati personali dei dipendenti soltanto nei casi in cui questa sia finalizzata alla trasmissione agli uffici individuati dal datore di lavoro per dare seguito alle procedure di sospensione del dipendente sprovvisto di certificato valido.

Con l’articolo 3 del D.L n. 139/2021 abbiamo poi una chiara approvazione della possibilità per il datore di lavoro di richiedere in anticipo ai lavoratori di essere o meno in possesso della certificazione verde Covid-19, con un preavviso tale da soddisfare le esigenze organizzative e garantire un’efficace programmazione del lavoro.

Tale concessione, tuttavia, non fa venire meno l’obbligo di effettuare i controlli al momento dell’accesso; per quanto riguarda la frequenza con cui effettuare tali controlli la norma ci fornisce un riferimento chiaro:

“I controlli devono avvenire in misura percentuale non inferiore al 20% di quello presente in servizio, assicurando che tale controllo, se a campione, sia effettuato, nel tempo, in maniera omogenea con un criterio di rotazione, su tutto il personale dipendente e, prioritariamente nella fascia antimeridiana della giornata lavorativa”.

Per capire quale sia il metodo migliore da adottare per essere certi di verificare nel tempo la totalità del personale aziendale vi consigliamo di confrontarvi con il vostro responsabile per la sicurezza e di coinvolgere il vostro DPO per essere certi di non adottare pratiche che siano in contrasto con le linee guida del Governo o con la disciplina della protezione dei dati.

La gestione dei controlli del Green Pass a norma di GDPR
Scopri di più sull'autore di questo articolo!

Privacy vs protezione dei dati

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Siete pronti? Il garante della privacy non è il garante della privacy, ma è il garante per la protezione dei dati personali. Non è uno scioglilingua: le cose stanno proprio così, perché privacy e protezione dei dati, anche se spesso usati come sinonimi, in realtà sono concetti diversi, e forse è arrivato il momento di fare chiarezza.

 

Facciamo un minimo di cronistoria. Il concetto di privacy è vecchio come l’uomo e fa parte della sua storia nell’arte, nella società e nei rapporti tra le persone. L’idea che quello che faccio tra le mura di casa mia rimane un fatto mio personale risale probabilmente allo strutturarsi della vita sociale.

 

Ma la privacy ha anche un altro aspetto, di natura più giuridica, che nasce negli Stati Uniti nel 1890, con l’articolo pubblicato sulla Harvard Law Review “Right to privacy”, scritto da due avvocati di Boston: Samuel D. Warren e Louis D. Brandeis. Il principale concetto che ne emerge è quello di privacy come difesa del proprio cortile privato dalle invasioni dei giornalisti e della stampa scandalista che in quegli anni muoveva i primi passi.

È quindi una privacy strettamente correlata all’aspetto della protezione domestica, della persona e della sua intimità.

 

L’idea di protezione dei dati, invece, ha un’origine più europea, e nasce nel ‘900 durante le esperienza del totalitarismo, come protezione dei miei dati dal controllo dello stato che può poi usufruirne per attività discriminatorie o di profilazione legate poi agli episodi drammatici che hanno segnato il secolo scorso (sterminio minoranze, guerra fredda, schedature dei dipendenti, etc.).

 

Cambia quindi l’approccio: al centro non c’è più soltanto la vita intima delle persone (come nella privacy nord americana), ma è una protezione del dato del soggetto in società. Se quando parlo di privacy intendo quindi il mio personale concetto di ciò che ritengo inviolabile della mia vita privata e quello che invece decido di divulgare liberamente; la protezione dei dati, invece, è la normativa che la Comunità europea ha partorito attraverso numerosi passaggi per proteggere il cittadino nel momento in cui la società ha raggiunto un alto livello di controllo.

 

Protezione dei dati: il cittadino al centro del regolamento

 

L’avvento della società digitale ha alzato ulteriori minacce alla privacy che la normativa per la protezione dei dati cerca di contenere. Sempre di più privacy e GDPR sono accomunate, spesso si intersecano, ma ancora: non sono la stessa cosa. La privacy tra cittadini è già tutelata dal diritto civile, mentre la protezione dei dati interviene quando la persona, o meglio la sua rappresentazione elettronica/digitale, entra in contatto con le grandi aziende.

 

La confusione rimane, soprattutto quando sono io cittadino disposto a cedere i miei dati in cambio di servizi che necessitano di quei dati per funzionare correttamente. Se ci rivolgiamo ai social network il discorso si complica ancora di più, perché in questo caso l’esibizione e la divulgazione del dato sensibile e delle informazioni personali della propria vita privata diventa la regola.

 

Rimaniamo però nell’ambito del GDPR. L’elemento cardine di questo regolamento è che è stato costruito attorno ai diritti della persona. È difficile trovare nel regolamento delle disposizioni che siano favorevoli o agevoli all’impresa.

 

Questo significa che i dati raccolti dalle aziende (siano esse pubbliche o private), devono essere protetti, tutelati, e tenuto riservati, attraverso i principi di liceità e trasparenza. L’azienda, inoltre, è tenuta ad utilizzarli solo per la necessità che ne ha richiesto la raccolta, e non per altre.

 

Il GDPR interviene proprio in questo punto del rapporto, controllando il trattamento dei dati da parte degli enti che li raccolgono, cioè che non ne facciano un uso improprio e pretendendo anche la protezione nei confronti di tentativi di data breach. Inoltre i gestori dei dati devono rimanere a disposizione dell’utente qualora volesse richiederne la modifica o la cancellazione.

 

Che il dato sia raccolto attraverso il mio consenso, come ad esempio la necessità di rivelare certi particolari sensibili ad un’azienda sanitaria per un intervento, o che siano stati presi involontariamente, come può capitare a Google Street view nella realizzazione delle mappe fotografiche della città, la persona proprietaria di quel dato ha sempre diritto di intervenire. Il GDPR obbliga l’azienda a rispondere alla richiesta, ed eventualmente la sanziona se questo non avviene.

 

È quindi un regolamento fondamentale in un periodo in cui la circolazione dei dati è continua (app, social network, aziende gestione utilities, etc.) e in cui i dati acquistano sempre più valore sociale ed economico.

Proprio per questo è importante continuare a fare una corretta distinzione tra privacy e data Protection.  Perché il GDPR è il risultato di una specifica tradizione europea di protezione del cittadino non tanto – o non solo – della sua sfera privata (per le querelle tra cittadini ci pensa il diritto privato), ma in quadro sociale di tutela dei dati sensibili contro l’occhio indiscreto del grande fratello.

dpo esterno
Scopri di più sull'autore di questo articolo!
data breach

Data Breach? Niente panico. Ecco come comportarsi.

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Fermi tutti! C’è stato un Data Breach. La prima regola è: niente panico!

 

Poi, cerchiamo di capire cos’è successo, e di mettere in pratica tutte le azioni necessarie.

Il Data Breach è la bestia nera nel mondo della protezione dei dati. È ciò che non dovrebbe mai accadere, ma avviene più spesso di quanto si pensi.

 

Secondo gli articoli 33 e 34 del GDPR il Data Breach è: “una violazione di sicurezza – accidentale o illecita – che causa la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai dati personali conservati o trattati”.

 

In qualche modo i dati che avevamo raccolto per necessità di lavoro e che avremmo dovuto proteggere sono stati divulgati in modo scorretto o persi. Può essere una mail con dati sensibili inviata all’indirizzo sbagliato, o un hacker che è entrato nei nostri server e ha copiato credenziali e indirizzi dei nostri clienti.

 

In entrambi i casi è un Data Breach, ma ovviamente cambia la gravità e di conseguenza cambiano le azioni da mettere in campo.

 

La Gestione del Data Breach: 72 ore per mettersi al riparo

 

La prima cosa da fare è valutare l’entità della violazione. Entro 72 ore dalla scoperta del breach, questa deve essere notificata al garante e all’interessato, ma solo se si presentano rischi effettivi per i diritti e le libertà delle persone fisiche coinvolte nella violazione.

 

È quindi necessario per il Titolare di trattamento valutare attentamente la portata di quanto accaduto coinvolgendo il DPO fin dai primissimi istanti. Questo è il momento più delicato, perché ci si muove sul filo della lama. Da un lato, una mancata comunicazione potrebbe peggiorare la situazione e attirare sull’azienda le ire del garante con le relative multe; dall’altro una comunicazione non necessaria potrebbe comportare un danno d’immagine e di reputazione.

Quest’ultima parte è un timore concreto di molti Ceo e amministratori, ma è vera fino a un certo punto. L’atteggiamento di trasparenza e di onestà è oggi molto apprezzato dagli utenti, e potrebbe far aumentare la fiducia nell’azienda.

 

Se alla fine dell’indagine sulla natura e la portata della violazione si ritiene necessaria la notifica, questa va fatta al garante, descrivendo la natura dell’infrazione, i contatti coinvolti, le probabili conseguenze e quali saranno le misure adottate per arginare il danno.

Non ultimo: è necessario compilare il registro dei casi dei data breach e adottare un protocollo di risposta.

 

Violazione dei dati: prevenire è meglio che curare

 

Rubiamo questa frase ai dentisti, perché la prevenzione non solo evita carie e tartaro, ma minimizza i rischi del breach.

La cosa più importante è aver lavorato bene in fase di progettazione della sicurezza dell’azienda. Se si è operato secondo i principi della Privacy by design molto probabilmente la struttura sarà già pronta a reagire in modo veloce e lineare per attutire i rischi. Come abbiamo già visto parlando di accountability, anche tenere un atteggiamento proattivo, che guarda avanti e indaga in anticipo le mosse del destino (come in una partita a scacchi), aiuta ad evitare la catastrofe.

 

La compilazione del registro dei casi di data breach, oltre ad essere un obbligo di legge, permette di avere un utile storico per valutare quali sono le possibili falle e vulnerabilità del sistema e capire quali test periodici effettuare per verificare la validità del protocollo.

 

Pochi Hacker all’orizzonte

 

Quando si pensa al data breach la mente subito corre all’immagine dell’hacker che buca sistemi informatici digitando dati a velocità incredibile sulla tastiera per rubare password e conti correnti di poveri utenti.

 

Certo, questo accade, ma la maggior parte dei data breach che riguardano aziende di medie e grandi dimensioni sono causati da errori umani, principalmente dei dipendenti. Che sia la mancata collocazione dei dati in un luogo effettivamente sicuro, o la trasmissione di dati personali alla persona sbagliata, sono tante le prassi aziendali errate che causano violazioni, magari di piccola entità, ma che spesso non vengono neanche riconosciute come tali.

 

Il registro è vuoto: ma siamo davvero così bravi?

 

Siamo onesti: è impossibile che un’azienda non abbia mai avuto un data breach! Che siate un piccolo laboratorio artigianale o una grande società di telecomunicazioni o di sanità, qualcosa è sicuramente successo.

 

Bisognerebbe capire se chi ha commesso o è entrato in contatto con la violazione si è accorto di averla fatta o vista. Magari dopo aver inviato la mail al destinatario sbagliato si è affrettato a riscrivere alla persona chiedendo di cestinare la mail, e dopo aver ricevuto risposta positiva ha considerato chiuso il fatto: nessun bisogno di registrazione.

O ancora una telefonata che non andava fatta, oppure, per velocizzare una pratica, la richiesta ad un cliente dell’invio di alcuni dati sul proprio cellulare personale.

 

Sono tante le situazioni, sicuramente a basso rischio, che sono configurabili come data breach. In ogni caso, anche se non c’è notifica per il garante, il registro va compilato.

È importante avere un documento sempre aggiornato: il registro dei casi non dev’essere visto come “il quaderno della vergogna”, ma come uno storico degli eventi su cui valutare come migliorare.

 

Nel GDPR, come nella legge italiana, l’ignoranza non è una scusante. I dipendenti devono essere istruiti, attraverso dei corsi, per saper riconoscere un data breach. Se questo non avviene, le responsabilità possono essere dei titolari (se non hanno fatto fare i corsi ai dipendenti), o dei dipendenti (se hanno fatto i corsi ma non hanno seguito).

Data breach
Scopri di più sull'autore di questo articolo!

Accountability nel GDPR: significato e applicazione.

L'autore

FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Nella selva di termini anglosassoni e acronimi che ruotano attorno alla privacy, oggi affrontiamo l’accountability. Qui le cose si complicano, perché il termine non ha una traduzione semplice e lineare, e identifica un concetto molto ampio.

Lo ignoriamo e passiamo oltre? Assolutamente no, perché all’interno del GDPR, l’accountability svolge un ruolo di primo piano.

 

Partiamo dallo stato della questione. Nell’articolo 24 del GDPR così viene definito il termine:

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

Siamo alla prova del fuoco. Arriva il momento in cui bisogna dimostrare che le misure adottate per la protezione dei dati “funzionano”. In questa fase si situa l’accountability, che spesso viene tradotto, in modo incompleto, con responsabilizzazione o responsabilità. Incompleto perché la “responsabilità” è compresa all’interno del concetto di accountability, ma non lo esaurisce.

Responsabilità, perché, appunto, di fronte ad un problema di gestione dei dati si devono avviare tutte le procedure necessarie atte a risolverlo. Il trattamento, insomma, deve agire bene, e si deve dimostrare di aver fatto tutto il necessario e di averlo fatto bene, progettando, alla base, tutta l’impalcatura nel modo corretto.

 

Ma, come detto, l’accountability non è solo questo.

 

Accountability: dalla definizione all’applicazione

 

Come si faceva ai tempi della scuola, partiamo dal dizionario. L’Oxford Dictionary, definisce accountability: “Il fatto o la condizione di essere accountable”. Perfetto. Quindi cerchiamo accountable, e troviamo due definizioni:

  1. Required or expected to justify actions or decisions. Responsible.
  2. Able to be explained or understood.

Tradotte:

  1. Quando è necessario o previsto giustificare le proprie azioni o decisioni. Responsabile.
  2. Capace di essere spiegato o capito.

Quindi, la responsabilità c’è, ma non è sola. Si trova insieme ad un altro concetto che in italiano potremmo tradurre con: dare conto di…, giustificare…, saper dimostrare cosa si è fatto e per quale motivo.

 

Ecco che il concetto di accountability, declinato sul GDPR, comincia a delinearsi meglio, ovvero non solo la responsabilità nell’attuare le misure messe in campo, ma anche nella dimostrazione che queste sono efficaci, funzionali e ben progettate. E soprattutto che questa funzionalità è verificabile.

 

Ora facciamo un passo indietro. Ricordate quando abbiamo parlato di Privacy by design, ovvero del concetto di iniettare la tutela dei dati direttamente nelle fondamenta dell’azienda, in modo da non renderla un elemento posticcio e accessorio ma integrato nel sistema? Ecco, qui stanno le basi dell’accountability, in un atteggiamento proattivo, ovvero che cerca di prevenire il problema, che ha definito gli obiettivi in anticipo, con attenzione, attraverso un sistema coerente ed efficace.

Il contrario di Accountability

 

Quando questo meccanismo si inceppa o non è calibrato bene alla base, l’accountability rischia di trasformarsi nel più italico “scaricabarili”. L’iter è quello ben conosciuto: si presenta un problema, il processo attivato non è quello giusto, o non ha funzionato come ci si aspettava, allora la responsabilità viene rimbalzata tra il responsabile del trattamento dei dati, il tecnico informatico, i commerciali, il Ceo e via così fino a che qualcuno rimane senza buoni argomenti.

 

Tutela dei dati: dall’adeguamento alla responsabilità

 

L’accountability, insieme alla Privacy by design, ci rammentano che per aver un giusto approccio al trattamento dei dati non è sufficiente adeguare le misure, inserire un banner, un modulo da cliccare o compilare e basta. Giusto per dire: “ho adempiuto agli obblighi di legge e ora riprendo la mia attività”.

 

Poter dimostrare l’efficacia delle misure, essere proattivi, vuol dire conoscere bene le misure da attuare e saper rendicontare l’atteggiamento tenuto. Ovvio che questo non mette al riparo da errori o sviste, ma, di fronte ad un accertamento, è comunque una condizione di favore nell’aver dimostrato di aver arginato i rischi, tale da poter persino trasformare la sanzione in un semplice ammonimento.

Se “l’accountability funziona” vuol dire che il processo è

  • trasparente
  • funzionale
  • comprensibile.

Rileggendo ora l’articolo 24 del GDPR – quello che introduce il principio dell’accountability – il suo significato ci appare più chiaro.

“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

 

Chi ha la responsabilità del trattamento deve quindi dimostrare con quali modalità ha tutelato i dati e quali sono state le decisioni che lo hanno portato a determinare la scelta. Se la privacy by design è stata ben architettata, ha già tutto sottomano.

 

Se desideri verificare lo stato di accountability della tua organizzazione, puoi contattarci attraverso il form di contatto.

Accountability
Scopri di più sull'autore di questo articolo!