Amministratore di sistema in era Gdpr:esperienze sul campo di un Dpo

Nel complesso reticolo di figure ed autorizzazioni che un buon assetto di protezione dati prevede, un posto importante va sicuramente riservato alla figura dell’Amministratore di Sistema. Tale figura, già ben inquadrata da un Provvedimento dell’Autorità Garante del lontano 27 novembre 2008, necessità indubbiamente di rinnovata interpretazione visto l’enorme aumento di importanza della funzione IT all’interno delle aziende, ma anche alla luce della necessaria integrazione con il sopraggiunto Gdpr.

Titolari d'impresa, conoscete il patrimonio costituito dalle vostre informazioni?

Quando ci troviamo di fronte ad un titolare d’impresa che deve adeguarsi alla normativa Gdpr, nell’80% dei casi sentiamo ripetere la stessa frase: “…Ma chissà quali dati avrò io da proteggere! Noi non sappiamo le cose dei privati…”.  In questi casi, riusciamo a far capire che è importante proteggere le informazioni portando l’interlocutore a livellare il valore del patrimonio aziendale (Know-How) - tipicamente di maggior interesse per l’imprenditore - con il valore del dato personale, protetto così bene dalla normativa.

Le bugie hanno le gambe corte: il caso Luxottica

Avevano detto che non era successo nulla. Qualche giornalista rasserenante aveva addirittura titolato “Attacco ransomware blocca Luxottica, ma la reazione è da manuale: ecco perché”. Impietosamente avevo preferito il mio “Luxottica pensi alla sicurezza dei suoi sistemi informatici invece che agli smart glasses”. 

Gestione del responsabile esterno, le garanzie richieste dal Gdpr

Senza una nomina, non c’è responsabile esterno? L’articolo 20 del Gdpr ci dice: “Guarda, carissimo titolare del trattamento, che tra te e il responsabile esterno è obbligatorio che ci sia o un contratto con delle clausole o una nomina. Se manca una di queste due cose, non puoi avvalerti di quel responsabile esterno.” Il responsabile esterno quindi deve essere nominato con un atto di nomina o deve essere indicato all’interno del contratto di fornitura, attraverso un atto che vincola il responsabile del trattamento al titolare. Cosa vuol dire che vincola?

Dati personali, sì alla valorizzazione no alla monetizzazione

Entro il 2023 gli utenti di internet saranno 5,3 miliardi, vale a dire il 66% della popolazione mondiale, e ogni persona avrà 3,6 device connessi. I dati del Cisco Annual Internet Report (2018 – 2023) rispecchiano una tendenza inevitabile e prevista da tempo, pertanto non sorprendono. Il risultato però cambia se a questi numeri si associano le statistiche relative alle attività quotidianamente svolte online. La fotografia fornita dalla società Domo rileva che nel 2020 ogni 60 secondi sono caricate su Facebook 147mila foto, condivisi su WhatsApp oltre 41 milioni di messaggi, postate quasi 350mila storie su Instagram, caricate 500 ore di video su YouTube.

La vicenda H&M fotografa un radicale disprezzo per i princìpi fondamentali della privacy dei lavoratori

Il Garante privacy di Amburgo ha condannato H&M, la nota multinazionale dell’abbigliamento, per una grave violazione della privacy dei dipendenti verificatasi presso la sede di Norimberga, in Germania (il comunicato stampa in lingua inglese è disponibile nel sito dell’Autorità. Il provvedimento integrale non risulta, allo stato, disponibile, ma da quello che emerge dal comunicato stampa si comprende che il management del centro servizi di Norimberga, dal 2014 al 2019, ha monitorato diverse centinaia di dipendenti, violando – come dichiarato dalla multinazionale nel proprio sito internet – le istruzioni e le line guida aziendali.