Skip to main content

La tirannia del titolare del trattamento



Con il Regolamento UE 2016/679 (“GDPR”) è stata introdotta una normativa che, in realtà, semplifica molti aspetti nel settore, ma che una parte consistente – e non necessariamente autorevole – di coloro che hanno esposizione sui media e sui social, ha voluto battezzare come pietra miliare della privacy, presentandola, peraltro, come contorta e pericolosa in termini sanzionatori.
Molti dei tratti caratteristici del GDPR riguardano il metodo; quando, nel corso di una delle mie lezioni,  illustro il Regolamento, sono solito disegnare una linea, sulla quale, ad un dato punto, traccio una tacca: ciò, per spiegare che il GDPR, rispetto alla direttiva e alle relative norme attuative, sposta in avanti il momento del controllo (la tacca, appunto), comunicando a chi lo deve applicare: “implementa la sicurezza dei dati come ritieni opportuno, poi l’Autorità o l’interessato condurranno i propri controlli o eserciteranno i propri diritti”.
Ai fini del GDPR non è rilevante se la tua password sia di otto caratteri o di dodici, l’importante è che il tuo sistema non venga violato o, per lo meno, che il sistema sia pensato per abbattere i rischi che incombono sui trattamenti dei dati personali e, quindi, sui diritti fondamentali degli interessati.
Nel caso del rapporto tra un titolare e i terzi che trattano i dati, operando per lui, con lui, al suo posto, ho osservato un fenomeno che desta qualche preoccupazione: è come se si creasse una sorta di cortocircuito, tale per cui, nel rapporto con i terzi, viene individuata la maggior vulnerabilità/fonte di criticità dell’intero sistema.
Il titolare, perfetto e preciso nel proprio sistema di trattamento dei dati, vuole evitare che un terzo, pasticcione, rappresenti un “buco” – e possa quindi costituire un pericolo – nella propria muraglia di sicurezza.
D’altro canto, il Titolare cerca di semplificare (ma in modo grossolano), standardizzando, senza prima analizzare adeguatamente i trattamenti al fine di distinguere tra quelli condotti in prima persona e quelli condotti attraverso terzi.
Sovente, quando mi trovo a supportare enti che sono nella posizione di “Responsabili del trattamento”, mi capita che mi venga sottoposta la corrispondenza proveniente dai diversi Titolari, o presunti tali, contenente proposte di “accordo”, ove il titolare chiede al Responsabile di rendergli noto quali dati tratta e quali trattamenti conduce, oppure impone l’adozione della cifratura del dato, pur in presenza di trattamenti a basso rischio per i diritti e le libertà fondamentali degli interessati.
Altro errore ricorrente – che sembra dettato dalla paura, dall’arroganza o, forse, dall’ignoranza – è quello per cui - continua a leggere su ictsecuritymagazine.com -

Comments

Popular posts from this blog

Peppermint 2 ... Logistep SA raccoglie, segretamente, gli IP degli user delle reti p2p

Il caso è nato dal fatto che, su incarico di alcune case discografiche (e non solo) Logistep SA ha iniziato ad acquisire, nell'ambito delle reti p2p, gli indirizzi IP degli user coinvolti nell'attività di file sharing . In seguito alla raccolta di queste informazioni venivano avviati procedimenti penali finalizzati alla conoscenza degli estremi identificativi degli user stessi (in virtù del diritto alla consultazione degli atti) e alla conseguente richiesta di risarcimento in ambito civilistico. Conseguendone l'elusione del segreto delle comunicazioni, applicabile senza eccezioni nel diritto privato, e che può essere sciolto soltanto nell'ambito di un procedimento penale. L'IFPDT (l'Autorità per la protezione dei dati nella Confederazione Elvetica) giudicando questa pratica abusiva, in particolare perché l'utente interessato non è a conoscenza del trattamento di dati personali, come invece esige la legge sulla protezione dei dati, chiede in una raccomandazi...

Fascicolo sanitario elettronico ... aka EHR

Il 22 maggio u.s. il Garante per la protezione dei dati personali ha pubblicato il Parere sul decreto del Presidente del Consiglio dei ministri in materia di fascicolo sanitario elettronico (di seguito, anche, DPCM sul FSE). Dopo un lunghissimo lavoro di confronto tra le parti coinvolte, in relazione alle esigenze reali ma anche ai principi a tutela dei dati personali, dopo molte riunioni che hanno visto i soggetti citati nel provvedimento confrontarsi costruttivamente (presumiamo), il tanto agognato DPCM sul Fascicolo sanitario elettronico ottiene il "parere favorevole" da parte dell'Autorità Garante, ormai, nessun altro elemento (se non quelli formali necessari all'adozione del DPCM) lo dovrebbe separare da una tempestiva pubblicazione. Di certo non sono mancate la scaramucce ai piani alti, al punto da vedere "soppressa" in fase di conversione del decreto 179, e questa al Garante non è proprio andata giù, la frase che, in origine, escludeva dal ...

Telemarketing, call center e regole disattese

Oggi mi sono imbattuto in questa notizia . I Call center potranno, se passa questo emendamento, contare su un'ulteriore proroga (si veda il comma 6) del famigerato decreto (poi convertito in legge) che a febbraio 2009 concesse l'uso dei dati personali per attività di teleselling fino al dicembre 2009 introducendo questo articolo: "1-bis. I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1º agosto 2005, sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1º agosto 2005". Eppure nel marzo del 2009 il Garante, proprio per far fronte a quella cha aveva definito come una “selvaggia aggressione”, aveva promulgato un ulteriore provvedimento sfruttando i poteri riconosciuti alle autorità amministrative...