Cosa facciamoGDPRSicurezza informatica

CorsoDPO – Il dato e il GDPR – Come elevare la paranoia a virtù!

Con la terza giornata il corso DPO entra nel vivo con la definizione di dato nel GDPR.


La lezione è tenuta dal prof. avv. Giovanni Ziccardi che ha fatto volare il tempo!

L’argomento è molto specifico: la definizione di dato!

La lezione di Ziccardi offre e analizza il dato non solo alla luce del GDPR ma in generale e offre moltissimi spunti di riflessione e approfondimento.

Anche Ziccardi sottolinea che al centro del GDPR ci sia la persona. La persona che lega la sua libertà, nella società tecnologica, all’utilizzo che lei stessa e i terzi fanno dei suoi dati.

 

La definizione di dato è, per il GDPR, la seguente: qualsiasi informazione concernente una persona fisica identificata o identificabile.
Il WP 29 ha dato un’interpretazione estesa del dato personale che comprende anche ad esempio un’immagine filmata (si veda l’opinione 4/2007).
Due cose importanti da rilevare: non c’è necessità di trattamento per i dati anonimi e di persona giuridica.
L’esclusione dei dati per la persona giuridica è in parte criticato perché dati anche non personali (ad esempio dati finanziari aggregati) possono comunque un impatto sulla pesona fisica.

Lo scambio di informazioni digitali implica che il tracciamento del dato e del suo posizionamento siano attività alquanto complesse se non impossibili.
Lo stesso dato puà cambiare localizzazione in base all’ora e ai carichi dei server che lo contengono.

Interssante il punto di vista proposto da Ziccardi sul fatto che uno degli aspetti più importanti del dato sia la sua “possibilità di fuga”.

Le priorità da considerare nell’applicazione del GDPR sono:

  1. trattamento del data breach;
  2. nomina del DPO;
  3. tenuta del registro dei trattamenti.

E’ utile considerare che il data breach comporta che il dato sia “scappato” contro la mia volontà e sia in possesso/pubblicato da qualcun altro.
Con la nuova impostazione questo deve essere comunicato non appena possibile (anche se ciò comporta danni di immagine e possibile perdita di clienti).

Ziccardi sottolinea l’importanza della cifratura come elemento essenziale nella attuale gestione dei dati (la cifratura va estesa non solo ai pc ma anche alle copie di backup).

Molto interessanti anche se veloci le indicazioni di Ziccardi sul diritto all’oblio: cito solo una frase significativa.

è molto più facile morire organicamente che far morire i nostri dati

Appena potrò leggerò: “Il libro digitale dei morti: Memoria, lutto, eternità e oblio nell’era dei social network” dello stesso Ziccardi in cui spero abbia portato il suo stile di comunicazione molto diretto e chiaro.

E l’elenco dei testi non si ferma qui, lo stesso Ziccardi consiglia:

  • “Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali” di Bolognini (da cui sono tratte moltissime definizioni interessanti sul concetto di informazione;
  • “Privacy e il diritto europeo alla protezione dei dati personali. Il Regolamento europeo 2016/679” di Pizzetti;
  • “Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali” di Finocchiaro.

Diciamo che avrò materiale da leggere nei prossimi mesi.

Interessante l’indicazione, ripresa con esempi da Bolognini, che un dato che a noi può parere insignificante magari potrebbe non esserlo per l’interessato.
Qui si è aperta una parte a mio parere fondamentale sulla visione generale di dato personale e informazione.
Un’informazione può essere di fatto rilevante e avere effetti sull’individuo anche se è falsa; anzi a volte soprattutto se lo è!

Ripescando la mia passione per Umberto Eco: l’informazione e il dato non sono oggettivi in  sé dipendono dal contesto, dal momento e dalla persona.

La trattazione di Ziccardi tratta poi in modo esteso dei dati sensibili, sensibili per inferenza e biometrici.

Sottolineo solo un concetto che ritengo fondamentale: la tecnolgia più è sosfisticata più è vulnerabile se i comportamenti sono sbagliati.
E’ quindi fondamentale la formazione e soprattutto: “bisogna elevare la paranoia a virtù”; concetto ripetuto più volte e che per me da il titolo alla lezione.

Ziccardi ha poi descritto i passi per creare una policy ai sensi del GDPR.
Ritengo fondamentali evidenziare due concetti ribaditi da Ziccardi:

  1. una policy non deve intralciare troppo il comportamento lavorativo;
  2. una policy deve suggerire morbidamente il comportamento corretto.

Ecco il decalogo per la creazione di una policy:

  1. comprendere il dato (censire tutti i dati presenti in azienda);
  2. cancellazione del dato;
  3. backup;
  4. antivirus + firewall;
  5. autenticazione;
  6. definire per ogni dato i comportamenti collegati (ancora una volta “elevare la paranoia a virtù”);
  7. non violare la privacy altrui;
  8. persistenza del  dato;
  9. controllare il finto anonimato (è dimostrato da studi scientifici che la tecnologia porta a un effetto disinibitorio);
  10. conoscere l’ambiente dei dati.

Ziccardi ha poi illustrato il caso pratico di costruzione delle policy UniMi: molto istruttivo.

 

Mi rendo conto di essere stato molto conciso ma ho necessità di rielaborare e far sedimentare tutte le informazioni ricevute; potrei creare un altro post a riguardo.