Archivi autore: Cesare Gallotti

Informazioni su Cesare Gallotti

More than 15 years of experience in information security and IT process management. Italian representative in ISO/IEC SC 27 WG1 international meetings for writing ISO/IEC 27000 standard family. Activities in Italy, Europe, Asia and Africa, for companies of various sizes and market sectors. Consultancy, training and audit for: information security, quality, compliance with legal requirements (Personal Data Protection, SOX, etc.), compliance with international standards (ISO 9001, ISO/IEC 27001, ISO/IEC 20000, ISO 22301, etc.), and processes improvement.

Nomina dei resonsabili

Il GDPR riporta agli articoli 28 e 29 le modalità di nomina dei responsabili (processor) del trattamento. In particolare, richiede che la nomina avvenga attraverso contratto o da altro atto giuridico. oggetto delle attività affidate, includendo la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie… Leggi tutto »

La notificazione al Garante dei trattamenti

Sul GDPR (Regolamento europeo sulla privacy) non è prevista la “notificazione al Garante” di alcuni trattamenti, prevista dalla precedente Direttiva 95/46/CE. In effetti,  la notificazione risulta un concetto superato ed è sostituito con la Valutazione d’impatto sulla protezione dei dati o Data protection impact assessment (spesso anche indicata con i termini privacy impact assessment o… Leggi tutto »

Registro delle opposizioni

Oggi la normativa italiana vigente prevede che le chiamate telefoniche per finalità di marketing diretto possano essere fatte ai numeri disponibili su elenchi pubblici (l’elenco del telefono, per intenderci), a meno che l’utente non eserciti il “diritto di opt-out”, iscrivendosi al Registro delle opposizioni (io l’ho fatto, ma ancora troppe volte ricevo telefonate indesiderate). Il… Leggi tutto »

PIA e le proposte di ISO/IEC 29134 e ICO

Il Regolamento Europeo sulla privacy (Reg. UE 679/2016) richiede, all’articolo 35, che i titolari dei trattamenti redigano, preliminarmente, in alcuni casi particolari, una “Valutazione d’impatto sulla protezione dei dati” (Privacy impact assessment o, più brevemente, PIA), ossia un documento di valutazione del rischio relativo ad alcuni trattamenti. Rientrano nei casi soggetti all’obbligo di PIA, le… Leggi tutto »

Le alternative a Safe Harbour

La Commissione europea ha pubblicato una guida per trasferire dati al di fuori dell’EU dopo la sentenza Schrems: http://europa.eu/rapid/press-release_MEMO-15-6014_en.htm. Ora, in attesa del Privacy Shield, sono percorribili due strade: usare clausole contrattuali o usare le cosiddette binding corporate rules (BCR). Questi due metodi sono applicabili a tutti i trasferimenti di dati presso Paesi per i… Leggi tutto »

Fornitori e subfornitori

La Direttiva 95/46/EC ora in vigore non regola i subfornitori. Un titolare (controller) può scegliere un fornitore e nominarlo responsabile, ma un cosiddetto responsabile esterno non può nominare un proprio fornitore come responsabile. Come risultato, in questi anni, molti responsabili esterni hanno designato i propri fornitori come responsabili, anche se ciò non è previsto dalla… Leggi tutto »