About Giancarlo Butti
Deals with ICT, organization and legislation since the early 80s covering different roles: security manager, project manager, auditor at banking groups, consultant in security and privacy to companies of different sectors and sizes.
Performs regular activity of dissemination through articles (over 700), books (21 between books and white papers also used as university texts, 11 collective works within the ABI LAB, Oracle Community for Security and CLUSIT), technical manuals, courses, seminars, conferences… participates in working groups to ABI LAB on Business Continuity, Risk and GDPR, ISACA-AIEA on GDPR and 263, Oracle Community for Security, UNINFO, ASSOGESTIONI and the Committee of experts for the innovation of OMAT360.
He is a member of the faculty of ABI Training. He is a partner and proboviro of ISACA-AIEA Member of CLUSIT and BCI. He is certified (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM, DPO, CBCI, AMBCI.
sono assolutamente d’accordo sotto il profili sostanziale.
però — da avvocato – la differenza formale la vedo nel collegamento con il principio dell’accountability
in linea di massima:
l’architettura giuridica del Codice Privacy è prescrittiva: ti indico un elenco di cose che devi fare; se non le fai ti sanziono
l’architettura del Regolamento è per obiettivi: devi rispettare i principi per il corretto trattamento e la sicurezza dei dati; ti indico una serie di prescrizioni che reputo fondamentali, per il resto sei tu titolare che mi devi “provare” (nel senso di “prova processuale” o comunque di “prova giuridica”) cosa hai fatto, perchè l’hai fatto, quale è l’analisi del rischio della gestione del dato e come hai deciso di gestire questo rischio ecc..
in questo senso secondo me i principi della privacy by design e by default sono innovativi: non tanto di per sè ma in collegamento logico e strumentale con il principio dell’accountability
oltre alla differenza “formale” evidenziata dall’avv. stefanelli (che condivido) secondo me però c’è anche una differenza “sostanziale”. va bene che il concetto non è nuovo (ontario ecc.) e che anche con il codice vigente i sistemi DOVREBBERO essere progettati per favorire la compliance, ma il punto è: le aziende LO HANNO FATTO VERAMENTE?
se la risposta purtroppo spesso è NO, ecco che la novità cessa di essere puramente formale. in altre parole, è giunto il momento di fare sul serio quello che sino ad ora si sarebbe dovuto già fare, ma non si è fatto.