Non era difficile fare la profezia: una volta passata la data del 25 maggio, era facile osservare che molti aspetti del GDPR erano già stati affrontati negli articoli che ho di volta in volta segnalato: le differenze rispetto al Codice, il ruolo dei responsabili, le basi legali e in particolare il legittimo interesse, i trasferimenti extra-UE, eccetera.
Questo mese mi sono stati segnalati alcuni articoli, tra cui uno di Pizzetti sul consenso (che riprende una cosa già segnalata a maggio: http://blog.cesaregallotti.it/2018/05/linee-guida-wp-art-29-su-consenso-e.html):
- https://www.agendadigitale.eu/sicurezza/gdpr-tutti-gli-equivoci-del-consenso-nei-contratti-ecco-una-guida/.
Un ulteriore articolo di Biasotti sulla "morte"
dell'incaricato (roba nota e stranota e che tra l'altro non condivido, visto
che continua a suggerire l'obsoleta, anche per il Codice privacy per chi lo
avesse letto con un minimo di attenzione, "lettera di nomina"):
- https://www.puntosicuro.it/security-C-124/privacy-C-89/sapevate-che-l-incaricato-del-trattamento-morto-AR-18239/.
Per chi si sentisse ancora insicuro su cosa dice il GDPR, raccomando prima di tutto di leggerlo e poi di seguire le molte testate che nel tempo ho segnalato (in italiano ci sono ICT Security Magazine, Agenda Digitale, Punto Sicuro). Raccomando però prudenza quando il testo richiede di "nominare" i responsabili, fornire lettere alle persone autorizzate al trattamento (senza pensare al *vero* processo di autorizzazione, che non necessita di lettere), registrare il consenso per "maggiore tutela" o quando la base giuridica è altra, formulare una DPIA per ogni trattamento, nominare un DPO "a prescindere".
Raccomando inoltre di non impiegare troppo tempo nel leggere interpretazioni sempre più sofisticate o nel ricercare sempre "l'ultima notizia" (qui per esempio non segnalo il discorso annuale del Garante perché, alla fin fine, non dice niente di nuovo). Raccomando invece di studiare meglio i processi aziendali: quanto si è visto in questi mesi rileva la necessità di capire come funzionano i processi di acquisto e vendita e di contrattualizzazione (per soddisfare l'articolo 28), le "normali" comunicazioni aziendali (che non richiedono firme per ricevuta), la gestione delle autorizzazioni informatiche e non informatiche (che non dovrebbero prevedere letterine insulse da firmare).
Qui segnalerò solo gli interventi particolarmente interessanti e innovativi.
Nessun commento:
Posta un commento