Skip to main content

La tirannia del titolare del trattamento



Con il Regolamento UE 2016/679 (“GDPR”) è stata introdotta una normativa che, in realtà, semplifica molti aspetti nel settore, ma che una parte consistente – e non necessariamente autorevole – di coloro che hanno esposizione sui media e sui social, ha voluto battezzare come pietra miliare della privacy, presentandola, peraltro, come contorta e pericolosa in termini sanzionatori.
Molti dei tratti caratteristici del GDPR riguardano il metodo; quando, nel corso di una delle mie lezioni,  illustro il Regolamento, sono solito disegnare una linea, sulla quale, ad un dato punto, traccio una tacca: ciò, per spiegare che il GDPR, rispetto alla direttiva e alle relative norme attuative, sposta in avanti il momento del controllo (la tacca, appunto), comunicando a chi lo deve applicare: “implementa la sicurezza dei dati come ritieni opportuno, poi l’Autorità o l’interessato condurranno i propri controlli o eserciteranno i propri diritti”.
Ai fini del GDPR non è rilevante se la tua password sia di otto caratteri o di dodici, l’importante è che il tuo sistema non venga violato o, per lo meno, che il sistema sia pensato per abbattere i rischi che incombono sui trattamenti dei dati personali e, quindi, sui diritti fondamentali degli interessati.
Nel caso del rapporto tra un titolare e i terzi che trattano i dati, operando per lui, con lui, al suo posto, ho osservato un fenomeno che desta qualche preoccupazione: è come se si creasse una sorta di cortocircuito, tale per cui, nel rapporto con i terzi, viene individuata la maggior vulnerabilità/fonte di criticità dell’intero sistema.
Il titolare, perfetto e preciso nel proprio sistema di trattamento dei dati, vuole evitare che un terzo, pasticcione, rappresenti un “buco” – e possa quindi costituire un pericolo – nella propria muraglia di sicurezza.
D’altro canto, il Titolare cerca di semplificare (ma in modo grossolano), standardizzando, senza prima analizzare adeguatamente i trattamenti al fine di distinguere tra quelli condotti in prima persona e quelli condotti attraverso terzi.
Sovente, quando mi trovo a supportare enti che sono nella posizione di “Responsabili del trattamento”, mi capita che mi venga sottoposta la corrispondenza proveniente dai diversi Titolari, o presunti tali, contenente proposte di “accordo”, ove il titolare chiede al Responsabile di rendergli noto quali dati tratta e quali trattamenti conduce, oppure impone l’adozione della cifratura del dato, pur in presenza di trattamenti a basso rischio per i diritti e le libertà fondamentali degli interessati.
Altro errore ricorrente – che sembra dettato dalla paura, dall’arroganza o, forse, dall’ignoranza – è quello per cui - continua a leggere su ictsecuritymagazine.com -

Comments

Popular posts from this blog

Le FAQ del Garante sul provvedimento sugli Amministratori di Sistema (AdS)

Stamattina è stato pubblicato sul sito del Garante un documento ( http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499#FAQ ) contenente la risposta ad alcune tra le domande ricorrenti che i titolari di trattamenti interessati dal Provvedimento del 27  novembre 2008, si sono posti, scorrendo gli adempimenti introdotti. Alcune risposte sono utili a chiarire le idee, molte lasciano almeno i dubbi di partenza. Un elemento emerge da queste FAQ, e non è consolante: viene continuamente richiamato il concetto di idoneità che, se da un lato rimette molti adempimenti al buonsenso dei titolari, dall'altro, ricordando che la valutazione di idoneità in caso di controversie non sarà fatta dal titolare, getta nell'incertezza, per l'ennesima volta, coloro che vorrebbero applicare il Provvedimento in modo corretto ma senza strafare. 

Open data e trasparenza: consultazione on line sulle nuove linee guida del patrimonio pubblico in Italia scadenza 9 ottobre

Le nuove linee guida 2016 per la valorizzazione del patrimonio informativo delle pubbliche amministrazioni: al via la consultazione pubblica C’è tempo fino al 9 ottobre per partecipare alla consultazione pubblica sulle nuove “Linee guida per la valorizzazione del patrimonio informativo delle pubbliche amministrazioni” che aggiornano le linee guida pubblicate nel 2014. Rispetto al precedente documento, le linee guida 2016 vogliono essere uno strumento di lavoro di ancora più facile lettura con risposte, suggerimenti organizzativi e azioni pratiche da fare per ottimizzare gli sforzi fatti finora. Secondo le nuove linee guida, sarà più facile per le pubbliche amministrazioni: strutturare una architettura dei dati pubblici, pubblicare dati di qualità, secondo gli standard ISO/IEC 25012 e 25024, avere indicazioni utili per le licenze open di riferimento, nonché un modello organizzativo per avere una gestione dei dati ageduata agli obiettivi dell’agenda digitale italiana ed europea. ...

Trattamento dati personali in un'epidemia, indicazioni per i datori di lavoro

Quello che segue è un estratto della dichiarazione del CEPD del 19 marzo 2020. Comitato europeo per la protezione dei dati - EDPB Estratto della “Dichiarazione sul trattamento dei dati personali nel contesto dell’epidemia di COVID-19” Adottata il 19 marzo 2020 [...] 1.2 Nel contesto lavorativo , il trattamento dei dati personali può essere necessario per adempiere un obbligo legale al quale è soggetto il datore di lavoro, per esempio in materia di salute e sicurezza sul luogo di lavoro o per il perseguimento di un interesse pubblico come il controllo delle malattie e altre minacce di natura sanitaria. Il RGPD prevede anche deroghe al divieto di trattamento di talune categorie particolari di dati personali, come i dati sanitari, se ciò è necessario per motivi di interesse pubblico rilevante nel settore della sanità pubblica (articolo 9.2, lettera i), sulla base del diritto dell'Unione o nazionale, o laddove vi sia la necessità di proteggere gli interessi vitali del...