DPO Giovanni Bigazzi Firenze

Tra le policy più importanti da mettere a punto riguardo alla gestione della data protection in ambito privacy vi è sicuramente quella che riguarda il riscontro che il titolare del trattamento, o il suo rappresentante se nominato, deve dare all'interessato. Questa policy rientra tra quelle obbligatorie e si dovrà basare sugli artt. da 15 a 22 del regolamento europeo UE 2016/679 e in particolare: Articolo 15 - Diritto di accesso dell'interessato Articolo 16 - Diritto di rettifica Articolo 17 - Diritto di cancellazione (diritto all'oblio) Articolo 18 - Diritto di limitazione di trattamento Articolo 19 - Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento Articolo 20 - Diritto alla portabilità dei dati Articolo 21 - Diritto di opposizione Articolo 22 - Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione Inoltre occorre tenere conto anche dei considerando 59, 64 e 73: ...

Come scrive  Toscana24  sono 500 gli enti pubblici della Toscana , le società partecipate e le concessionarie di servizi pubblici che dovranno nominare entro il 25 maggio 2018 un Data Protection Officer ( DPO ). Per le aziende del settore privato tale nomina è obbligatoria solo quando si verificano alcune condizioni in base alle dimensioni dell'azienda e alla tipologia dei dati trattati. Il DPO  che può essere un professionista esterno è una figura di garanzia il più possibile indipendente nelle sue scelte, tra i suoi compiti ricade quello della sensibilizzazione e formazione del personale sulla protezione dei dati personali, quello di fungere da punto di contatto tra il titolare del trattamento e l'autorità di controllo nazionale, quello di informare il titolare ed il responsabile del trattamento sugli obblighi derivanti dall'applicazione del nuovo regolamento europeo sui dati personali (GDPR) UE 2016/679 , quello di fornire, se richiesto, un parere in merit...

La scadenza del 25 maggio 2018 si sta avvicinando a grandi passi e presto la compliance al GDPR sarà in cima alle priorità di molte aziende private ed enti pubblici. La domanda che molti si porranno allora sarà da che parte bisogna cominciare. Al primo posto della check-list c'è la scelta del DPO, il Data Protection Officer o se volete il responsabile della protezione dei dati nella traduzione italiana del testo di legge è la figura chiave per assicurare la compliance al nuovo regolamento europeo sui dati personali. Non è però sempre chiaro come questa figura debba essere scelta e quali debbano essere le sue mansioni. Recentemente il Garante dei Dati Personali, con newsletter del 15 settembre 2017, n. 432, si è espresso sui requisiti del Data Protection Officer, ribadendo che una certificazione anche se utile non è assolutamente obbligatoria, né dovrà essere costituito un apposito albo professionale. Allora vediamo quali dovranno essere i suoi compiti ed i criteri in base ai qu...

La valutazione dei rischi privacy o Privacy Impact Assessment (PIA) è uno dei punti più importanti introdotti dal nuovo regolamento europeo sui dati personali agli articoli 35 e 36, l'onere è in capo al titolare del trattamento e l'inadempienza della norma comporta sanzioni pecuniarie fino a 10.000.000 di Euro o fino al 2% del fatturato annuo globale dell'anno precedente la violazione, quindi questa volta sanzioni molto importanti e badate bene: il regolamento europeo è una legge e non una direttiva quindi non ci saranno rinvii come molti auspicano. Inoltre essendo una legge che coinvolge tutti e 28 i paesi europei - sì per adesso anche la Gran Bretagna - nel caso di una violazione avvenuta in Italia dei diritti di un cittadino che risiede in un altro paese dell'UE, sarà proprio il garante di quel paese, magari proprio il garante britannico, che verrà qui col coltello tra i denti a fare un sacco di domande scomode all'azienda responsabile della violazione. Prim...

Ormai manca poco più di un anno ed il nuovo regolamento europeo sulla privacy meglio conosciuto come GDPR sarà operativo a tutti gli effetti comprese le pesanti sanzioni per le aziende che non si adegueranno alla normativa. Ma come si può fare per verificare che la nostra attività sia effettivamente a posto col regolamento? Ecco una sintetica roadmap in 10 punti ognuno dei quali andrebbe sicuramente approfondito ma si tratta comunque di una buona base di partenza. Condurre un data audit interno. Predisporre un'analisi di tutti i trattamenti e le tipologie di banche dati che trattano dati personali presenti in azienda. Verificare se esistono particolari tipi di trattamenti che richiedono particolari accorgimenti. Portare alla luce tutte le vulnerabilità che potrebbero portare l'azienda a non essere in linea con il GDPR. Creare e manutenere un inventario di tutto l'ambiente digitale aziendale, comprensivo di tutte le piattaforme dove sono contenute le banche dati che ...

L'azienda SAS leader in digital analytics mi ha mandato una brochure che riguarda l'Internet of Things (acronimo IoT) di cui molto si parla in questo momento come il nuovo orizzonte digitale che nel prossimo futuro investirà ogni aspetto della nostra vita: oggetti interconnessi in rete che ci forniscono in tempo reale informazioni sulle utenze domestiche, sul traffico, sul nostro stato di salute, sulla nostra attività fisica e molto altro ancora. Potete scaricare la brochure a questo indirizzo compilando la form. Nei primi anni novanta quando lavoravo alla Olivetti (rete indiretta) ci mandarono ad una convention nella quale veniva lanciato il progetto di Olivetti sulla domotica e ci raccontarono con il solito entusiasmo visionario che contraddistingueva queste riunioni che di li a qualche anno ogni casa avrebbe avuto il suo computer che avrebbe gestito tutti i dispositivi dalle tapparelle, alla lavapiatti, al microonde. Ancora il termine Internet of Things, in italiano ...

Il nuovo regolamento europeo sulla protezione dei dati personali UE 2016/679 è stato approvato nel maggio del 2016 e prenderà il posto del precedente Codice della Privacy (D.Lgs. n. 196/2003) e verrà adottato da tutti i paesi membri nel maggio del 2018. Nel nuovo regolamento europeo si passa dal concetto di territorialità del dato personale al concetto di nazionalità del dato personale, ne consegue che tutti i dati dei cittadini che fanno parte di un paese membro dell'Unione Europea sono soggetti a questa direttiva anche quando questi sono effettivamente inclusi in applicazioni che risiedono fuori dai confini europei. In questi casi si parla di paesi terzi per i quali il trasferimento è consentito in presenza della decisione di adeguatezza della commissione, è un passaggio importante se si pensa che la maggior parte dei giganti del web: Google, Microsoft, Facebook, Amazon offrono servizi e applicazioni informatiche cloud la cui titolarità risiede negli Stati Uniti d'Americ...