sabato 19 maggio 2018

GDPR: qualche orrore

A pochi giorni dall'entrata in vigore del GDPR, ovviamente le organizzazioni si stanno attrezzando (tantissime hanno aspettato l'ultimo mese!).

Gli orrori quindi si cominciano a vedere e si diffondono, dimostrando così quanto l'eccesso di entusiasmo o di isteria degli ultimi mesi o anni non abbiano fatto sempre bene. Molti esempi vengono anche da grandissime multinazionali, che evidentemente si sono affidate a consulenti dell'ultimo minuto e che hanno venduto loro soluzioni standard, per quanto sciocche esse siano.

Qui elenco qualche caso.

E alla fine fate come volete... ma non ditemi che la privacy è solo burocrazia inutile. Perché la burocrazia inutile se la sono voluta loro, non l'ha imposta il GDPR!

Rapporti con i dipendenti
Sono venuto a conoscenza di una nuova formula di "nomina ad incaricato". Visto che il GDPR non prevede "nomine" o "designazioni", qualcuno non ha voluto rinunciare (anche se poteva farlo sin dal Dlgs 196) al foglio di carta firmato singolarmente dal dipendente e gli ha messo il titolo di "designazione a persona autorizzata al trattamento dei dati personali".

La firma è anche richiesta quando sono inviate al personale le regole da seguire per assicurare la protezione dei dati personali. Io sono un promotore di tale regolamento, ma perché richiedere la firma per accettazione, quando per tutte le altre regole e procedure aziendali non è richiesta alcuna firma? Perché introdurre un processo "diverso"?

Ovviamente, è sempre in voga la richiesta di firma sull'informativa, anche se non richiesta. Alcuni, ahinoi, continuano anche a richiedere il consenso.

Credo che i dipendenti, in tutta la loro vita lavorativa, con l'eccezione del contratto di assunzione, firmino solo i documenti di "autorizzazione al trattamento dei dati personali", "regolamento per la protezione dei dati personali" e "informativa relativa al trattamento dei dati personali". Firma autografa, visto che siamo nel 2018...

Gestione dei fornitori
Si stanno diffondendo i questionari ai fornitori. Ma il GDPR non li richiede. Il GDPR richiede di stipulare contratti che impongano ai fornitori (responsabili del trattamento) l'attuazione di misure di sicurezza che il titolare ritiene adeguate.

Qualcuno mi dice che questi questionari servono a valutare il rischio del fornitore. Purtroppo è un'interpretazione sbagliata: il titolare deve valutare il rischio dei trattamenti, stabilire le misure "adeguate" e poi richiederne l'attuazione ai fornitori. Processo più logico di quello di inviare il  questionario, poi valutare il rischio, poi stabilire se il fornitore è adeguato, poi... poi cosa?

Se il fornitore non può accettare le clausole contrattuali, avvierà una negoziazione con il cliente, proponendo misure compensative, segnalando quelle non applicabili al trattamento affidato, eccetera. Forse questo è un processo troppo logico...

3 commenti:

  1. Miriam Carmassi20 maggio 2018 13:08

    Cesare, tra gli orrori...dare data certa al registro dei trattamenti e al resto della documentazione predisposta mediante autoinvio per posta ordinaria... gli orrori del passato ritornano questa volta in nome del principio dell'accountability

    RispondiElimina
  2. Grazie. Verissimo!
    Il termine accountability poi appare solo una volta e ne stanno facendo un caso enorme (le responsabilità c'erano prima e ci sono adesso, con o senza la frase di moda "accountability che permea il GDPR").

    RispondiElimina
  3. Grazie condivido pienamente. Spero a fine Luglio di avere del tempo per scrivere un articolo su tutto quello che sto trovando da 2 mesi a questa parte, un disastro.

    RispondiElimina