Manca ormai pochissimo al 25 maggio 2018, scadenza ultima per allinearsi alla nuova normativa europea sul trattamento dei dati.
Ecco le risposte alle dieci domande sul GDPR che sicuramente, almeno una volta, ti sarai posto.
#1: no non possono esserci rinvii, proroghe e milleproroghe. Il GDPR è un regolamento europeo e nonostante il fatto che non abbiamo ancora il Governo entrerà comunque in vigore il 25 maggio.
#2: il Codice privacy è più tosto di Rambo. Lo volevano uccidere ma lui è sopravvissuto, cucendosi da solo articoli e commi. Quindi sì (forse) esisterà ancora ma devi comunque aggiornare i riferimenti nell'informativa.
#3: no le misure minime non ci saranno più. Puoi usarle come base, ma devi sederti, parlare con il tuo tecnico e cominciare a ragionare se effettivamente aggiornare l'antivirus ogni sei mesi (previsione di 14 anni fa) sia sufficiente.
#4: sì devi tenere il Registro dei trattamenti. Non mi interessa che hai meno di 250 dipendenti che non tratti dati sanitari, non fai marketing, etc. Se vuoi che ti aiuti partiamo da là. Altrimenti come dimostriamo di aver ragionato su quello che facciamo e, soprattutto, come capisco che trattamenti fai?
#5: si faccio anche il DPO. Però mi devi mettere a disposizione tutti i documenti che ti chiedo, mi devi avvertire se succede qualcosa e dobbiamo verificare insieme che tu sia in regola o perlomeno che tu ci stia lavorando. Non lo faccio ad intermittenza, all'occorrenza e se non riesco a raggiungere facilmente la tua sede (o se mi fanno storie per entrarci dopo la nomina).
#6: devi fare una DPIA? Forse, se già rientravi nei casi di notificazione, ti conviene farla. Magari è cambiato qualcosa da allora (ah ma questa notifica è di sei anni fa e nel frattempo avete piazzato tutto su AWS).
#7: tratti dati di minori? Hanno almeno 16 anni? Perché altrimenti ti devi inventare una procedura per chiedere il consenso ai genitori
#8: stai valutando come gestire il consenso per i cookie? Per i tuoi va bene, ma per quelli di terze parti? Sai che deve essere granulare?
#9: ti sei chiesto cosa devi fare se ti bucano il server e ti fregano tutti i dati? Hai pensato a una procedura, a chi ti deve dire cosa? Il tuo fornitore tecnico si è impegnato a darti tutte le informazione che devi poi comunicare al Garante?
#10: no il 25 maggio non si aprirà il quarto sigillo e non vedrai arrivare il Garante su un cavallo bianco. Quindi stiamo sereni e lavoriamo con intelligenza.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. Stimato da colleghi e clienti per la schiettezza e l’onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Buon giorno
volevo sapere se secondo lei la copia della carta d’identità (scansione o copia cartacea) è da considerarsi dato biometrico (la foto) e quindi dato sensibile, oppure lo è comunque (sensibile) in quanto potrebbe contenere altre informazioni sensibili nei "segni particolari" (quali cicatrici, mancanza di un braccio, ecc.), oppure per altri motivi ancora.
Grazie
MS