News

in questa pagina trovi le novità normative e segnalazioni su eventi e convegni, 

Il Diario del DPO #4

pubblicato 3 set 2019, 03:50 da Paolo Calvi   [ aggiornato in data 3 set 2019, 03:51 ]

Non solo controlli e consulenza, anche la formazione fra i compiti del DPO

Diario di un DPO, formazione: assessment delle conoscenze e piano formativo

Seconda sessione del Corso di Alta Formazione per DPO del Cefriel

pubblicato 29 ago 2019, 02:36 da Paolo Calvi   [ aggiornato in data 29 ago 2019, 02:37 ]

Dopo il successo della prima, a settembre prende il via la seconda sessione del corso per DPO che ho contribuito ad organizzare e per il quale ho svolto due interventi come docente. Lo raccomando caldamente a chi fosse interessato ad apprendere o approfondire le competenze per affrontare la professione di Data Protection Officer. 

nuovo corso di alta formazione per DPO

Data Breach: cosa fare prima

pubblicato 21 mar 2019, 15:56 da Paolo Calvi

Qualche mia breve riflessione sulle misure preventive da adottare prima che il data breach si verifichi; perchè, prima o poi, si verificherà...

Il diario del DPO #3

pubblicato 21 mar 2019, 15:38 da Paolo Calvi

pianificazione controlli: audit verticali e orizzontali, piano pluriennale, tempistiche.

Chi è il DPO?

pubblicato 1 mar 2019, 16:16 da Paolo Calvi   [ aggiornato in data 1 mar 2019, 16:16 ]

In questa intervista anche il mio illuminato parere

Il diario del DPO #2

pubblicato 20 gen 2019, 12:03 da Paolo Calvi

Ecco a voi la seconda imperdibile puntata del "diario del DPO", la rubrica da me curata con cadenza bimestrale.
Buona lettura.

Diario del DPO #2

Auguri 2019

pubblicato 1 gen 2019, 07:47 da Paolo Calvi


Il diario del DPO #1

pubblicato 6 dic 2018, 09:11 da Paolo Calvi   [ aggiornato in data 6 dic 2018, 10:53 ]

La mia prima uscita su una testata del gruppo Digital360.
Si tratta di una rubrica bimestrale, che vi invito a seguire.

Semplificazioni Registro per le PMI

pubblicato 9 mag 2018, 07:40 da Paolo Calvi   [ aggiornato in data 9 mag 2018, 07:54 ]

Ho sentito oggi al Congresso AssoDPO Luigi Montuori del Garante parlare di WP29. ha citato una recente "position paper" sull'esenzione dai registri (20180419_Art29WP_PositionpaperArt30_publishpdf).


ricordo che art 30(5) recita: "Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10."

il wp29 ribadisce che l'esenzione non vale nei tre casi indicati (rischio per i diritti, trattamento non occasionale o dati sensibili/giudiziari), ma che le PMI sono tenute a mettere nei registri SOLO i trattamenti di quei tre tipi

However, such organisations need only maintain records of processing activities for the types of processing mentioned by Article 30(5).

For example, a small organisation is likely to regularly process data regarding its employees. As a result, such processing cannot be considered “occasional” and must therefore be included in the record of processing activities.1 Other processing activities which are in fact “occasional”, however, do not need to be included in the record of processing activities, provided they are unlikely to result in a risk to the right and freedoms of data subjects and do not involve special categories of data or personal data relating to criminal convictions and offences.

personalmente resto dell'opinione che non si possa fare data protection senza sapere quali dati si trattano, quindi bisogna avere un registro completo. confermato ieri dal col. Marco Menegazzo (resp. nucleo privacy GdF) : "la prima cosa che chiederemo è di parlare con il DPO, la seconda di vedere il registro".

però poi lo so che qualcuno mi accuserà di voler ingiustamente costringere le piccole imprese a sommergersi di burocrazia inutile…


Privacy negli Emendamenti alla Legge di Bilancio

pubblicato 20 dic 2017, 02:07 da Paolo Calvi   [ aggiornato in data 1 mar 2019, 16:17 ]

Avrete sicuramente già visto questa notizia. ve la segnalo nel caso vi fosse sfuggita.

Segnaliamo l’emendamento 88-bis.24 sul trattamento dei dati personali e digitale con il quale si demanda al Garante Privacy di adottare, entro due mesi dalla data di entrata in vigore della legge di bilancio,  un provvedimento al fine di:

- Disciplinare le modalità attraverso cui monitorare e vigilare sull’applicazione del Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali;

- Disciplinare le modalità di verifica della presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati vengono messi a disposizione dei soggetti interessati;

- Predisporre un modello di informativa da compilare a cura dei titolari di dati personali che effettuino un trattamento fondato sull’interesse legittimo che preveda l’uso di nuove tecnologie o di strumenti automatizzati;

- Definire linee guida o buone prassi in tema di trattamento dei dati personali fondato sull’interesse legittimo del titolare.


Come fonte ho trovato il documento allegato, alle pagg 22-23 i temi di nostro interesse.

da una prima lettura noterei quanto segue:

597-ter:

  • comma a) "modalità attraverso cui monitorare e vigilare" direi che non ci sarebbe stato bisogno di alcuna delega, il garante ha esattamente questo compito...
  • comma b) "adeguate infrastrutture per l’interoperabilità dei formati" rimanda a verifiche sul tema della portabilità;
  • commi c) e d) "modello di informativa" e "linee guida o buone prassi" sul legittimo interesse sembrano indicare l'intenzione di fare chiarezza su questo tema altrimenti abbastanza nebuloso; attenzione: si parla di "informativa" ma non dovete pensare a quella rivolta agli interessati; si tratta invece di una specie di notifica da inviare al garante (vedi oltre)
597-quater e quinquies
  • si definisce un meccanismo di comunicazione al garante per ogni trattamento basato sul legittimo interesse "che preveda l’uso di nuove tecnologie o di strumenti automatizzati"  con possibilità per il garante di imporre moratoria, chiedere ulteriori info e (nel caso di lesione dei diritti e delle libertà dell'interessato) inibire il trattamento (NB vale il silenzio assenso).


Ma ???!!!
 così si scardina lo spirito del GDPR, basato sulla responsabilizzazione del titolare, che per trattamenti che rischiano di ledere diritti e libertà effettua una DPIA, e solo nel caso non riesca a mitigare i rischi si rivolge al garante con la consultazione prevista dall'art.36. qui invece sembra si voglia tornare al vecchio meccanismo della notificazione o richiesta di autorizzazione...

1-10 of 53

Comments