Mi hanno segnalato la pubblicazione della versione 2.0 delle "Guidelines
4/2019 on Article 25: Data Protection by Design and by Default":
-
https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and_en.
La lettura è molto interessante e in qualche modo riassume efficacemente
molti concetti del GDPR. Però attenzione che non si tratta di una guida alle misure di sicurezza. Queste sono trattate in modo molto sommario e con
un solo esempio al punto 3.8 quando parla di integrità e riservatezza.
Un'altra cosa mi ha dato da pensare ed è il suggerimento di determinare KPI
per valutare l'efficacia delle misure privacy. Qui l'EDPB, purtroppo, dà
ascolto ai cattedradici e promuove KPI quantitativi e qualitativi, senza
però proporne di veramente significativi. Gli esempi per i quantitativi
sono: percentuali di falsi positivi e falsi negativi (senza però dire di
cosa), riduzione dei reclami, riduzione dei tempi di risposta agli
interessati quando esercitano i propri diritti (notare che questi KPI sono
dichiarati male, visto che le "riduzioni" sono obiettivi che, inoltre, oltre
un certo limite, dovrebbero diventare "mantenimento"). Gli esempi per i
qualitativi sono talmente generici che non aiutano molto. Però poi arriva la
vera raccomandazione appropriata e applicabile: dimostrare le ragioni per
cui le misure scelte si ritengono efficaci (ossia, traduco io, presentare una valutazione
del rischio).
Infine: mi fa specie vedere che anche l'EDPB fa un uso inutile e scorretto
di iniziali maiuscole, soprattutto quando il GDPR, da questo punto di vista,
è corretto.
Comunque sia: raccomando la lettura di queste linee guida per la loro ottima
sintesi (38 pagine, inclusive di copertina e indice), il rigore, la
completezza e la pragmatica. Al di là delle mie insignificanti critiche, questo è un documento esemplare.
Nessun commento:
Posta un commento