{"id":3910,"date":"2018-02-04T17:20:29","date_gmt":"2018-02-04T16:20:29","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=3910"},"modified":"2018-04-06T10:19:57","modified_gmt":"2018-04-06T08:19:57","slug":"ulysses-the-sirens-and-knowledge","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2018\/02\/04\/ulysses-the-sirens-and-knowledge\/","title":{"rendered":"ULISSE, LE SIRENE E LA CONOSCENZA"},"content":{"rendered":"<p><em>A me solo ordinava d\u2019udire quel canto; ma voi con legami<br \/>\nstrettissimi dovete legarmi, perch\u00e9 io resti fermo,<br \/>\nin piedi sulla scarpa dell\u2019albero: a questo le corde m\u2019attacchino.<\/em><\/p>\n<p><em> Omero<\/em><\/p>\n<p><em>\u00a0<\/em><\/p>\n<p><em>Considerate la vostra semenza: fatti non foste a viver come bruti ma per seguir virtute e canoscenza.<\/em><\/p>\n<p><em>Dante<\/em><\/p>\n<p><em>\u00a0<\/em><\/p>\n<p>Il GDPR costituisce per molte societ\u00e0 di consulenza, produttori di software e di appliance il business del momento. Un business al quale nessuno vuole rinunciare vista la scarsit\u00e0 di risorse che costringe aziende ed enti pubblici a investimenti sempre pi\u00f9 oculati.<\/p>\n<p>Ecco allora che in tale clima i venditori pi\u00f9 abili, anche blasonati, si propongono quali novelle sirene, con soluzioni miracolose.<\/p>\n<p>Il tono del messaggio \u00e8 pi\u00f9 o meno questo: \u201cse utilizzi la nostra soluzione sei conforme al GDPR\u201d.<\/p>\n<p>Nella grandissima maggioranza dei casi l\u2019affermazione \u00e8 assolutamente vera, ma \u00e8 altrettanto vero che tale informazione \u00e8 assolutamente carente ed incompleta.<\/p>\n<p>Facciamo un esempio chiarificatore riferendoci all\u2019attuale normativa privacy ed alle misure minime di sicurezza. Se un produttore di un antivirus dichiara \u201cse utilizzi la nostra soluzione sei conforme al Codice privacy\u201d fa un\u2019affermazione assolutamente corretta. L\u2019utilizzo di antivirus \u00e8 infatti un obbligo richiesto dall\u2019Allegato B del Codice (misure minime di sicurezza).<\/p>\n<p>Quello che non si evince dal messaggio \u00e8 che restano altre 26 misure minime di sicurezza (presidiate penalmente) da implementare e qualche altra decina, o centinaia (in funzione della dimensione, articolazione, tipologia di trattamenti del Titolare) di adempimenti da mettere in atto per essere pienamente conformi al D.Lgs 196\/03.<\/p>\n<p>La colpa in fondo non \u00e8 dei venditori di soluzioni, che fanno il loro dovere e spingono il loro prodotto.<\/p>\n<p>Certo sarebbe pi\u00f9 corretto ed onesto da parte loro dire che con l\u2019uso del loro prodotto o della loro soluzione si \u00e8 conformi al GDPR limitatamente alla parte da questi coperta e che per una PIENA CONFORMITA\u2019 al GDPR \u00e8 necessario ben altro.<\/p>\n<p>Il problema di fondo \u00e8 che, salvo rare eccezioni, la totalit\u00e0 dei Titolari a pochi mesi della piena efficacia del GDPR non hanno la minima consapevolezza della reale portata degli adempimenti da mettere in atto e probabilmente solo dopo le notizie delle prime sanzioni con molti zeri si renderanno conto del gap che li separa da una reale conformit\u00e0.<\/p>\n<p>Per contro, approfittando di questa situazione di colpevole ignoranza (si veda in proposito il mio post <a href=\"https:\/\/blog.europrivacy.org\/it\/2018\/01\/11\/privacy-laws\/\">LE NORMATIVE PRIVACY<\/a>) i soliti produttori di soluzioni inventano obblighi non previsti dalla normativa ripetuti ormai come un mantra in ogni occasione. Termini come pseudonimizzazione, anonimizzazione, cifratura\u2026 sono all\u2019ordine del giorno, ma nessuno si \u00e8 preso il disturbo di verificare effettivamente cosa dice la normativa.<\/p>\n<p>Orbene prendiamo come esempio la cifratura: a differenza del Codice privacy o dei provvedimenti dell\u2019Autorit\u00e0 Garante che rendono obbligatorio l\u2019uso della cifratura in molti casi (si veda ad esempio la misura minima 24), mai nel GDPR viene formulato un obbligo in tal senso.<\/p>\n<p>Le misure di sicurezza li elencate sono sempre dei suggerimenti, come ben si evince dall\u2019articolo 32 <strong>Sicurezza del trattamento<\/strong><\/p>\n<p style=\"padding-left: 30px\"><em>1.Tenendo conto dello stato dell&#8217;arte e dei costi di attuazione, nonch\u00e9 della natura, dell&#8217;oggetto, del contesto e delle finalit\u00e0 del trattamento, come anche del rischio di varia probabilit\u00e0 e gravit\u00e0 per i diritti e le libert\u00e0 delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, CHE COMPRENDONO, TRA LE ALTRE, SE DEL CASO: <\/em><\/p>\n<p style=\"padding-left: 30px\"><em>a) la pseudonimizzazione e la cifratura dei dati personali;<\/em><\/p>\n<p>Nessun dubbio che <strong>TRA LE ALTRE<\/strong> indica che quanto riportato nel testo della normativa \u00e8 solo esemplificativo, e che <strong>SE DEL CASO<\/strong>, rimanda ad una valutazione che ogni singolo Titolare deve mettere in atto, sotto la propria ed esclusiva responsabilit\u00e0.<\/p>\n<p>\u00c8 evidente che la presenza di tali misure costituisce un elemento di tutela del Titolare, lo esenta da taluni adempimenti e aumenta notevolmente la sua capacit\u00e0 di dimostrarsi conforme al GDPR.<\/p>\n<p>Ma da questo al dire che la cifratura \u00e8 un obbligo previsto dal GDPR ce ne corre. Lo stesso dicasi per altre misure di sicurezza.<\/p>\n<p>Un Titolare di trattamento il 25 maggio 2018 deve essere pienamente conforme al GDPR. Il come nessuno lo ha stabilito. Pu\u00f2 adottare se \u00e8 in grado misure di natura tecnica, ma se queste sono troppo costose o complesse da implementare pu\u00f2 adottare in alternativa misure organizzative (accompagnate da adeguati meccanismi di verifica nel continuo e periodiche), rimandando implementazioni tecniche a tempi migliori.<\/p>\n<p>Sicuramente non \u00e8 sufficiente il 25 maggio disporre di un semplice piano di implementazione se nel frattempo non si sono adottate adeguate misure di sicurezza o tutti gli altri adempimenti previsti dal GDPR.<\/p>\n<p>Il colpevole ritardo con cui si stanno muovendo i Titolari non \u00e8 una scusante per non essere preparati a 6 anni dalla prima bozza del GDPR e a 2 anni dalla sua entrata in vigore.<\/p>\n<p>Personalmente, in carenza di risorse, investirei la dove maggiore \u00e8 il rischio che una violazione di dati personali obblighi il Titolare a notificare al Garante l\u2019accaduto, con una esposizione anche in termini di immagine che difficilmente potrebbe essere recuperata.<\/p>\n<p>In conclusione quindi un invito ai fornitori di soluzioni affinch\u00e9 siano pi\u00f9 precisi nel formulare le proprie offerte ed una sollecitazione ai Titolari di trattamento affinch\u00e9, come novelli Ulisse, non solo resistano alle sirene, ma si informino sugli effettivi adempimenti previsti dal GDPR con una lettura diretta della normativa.<\/p>","protected":false},"excerpt":{"rendered":"<p>A me solo ordinava d\u2019udire quel canto; ma voi con legami strettissimi dovete legarmi, perch\u00e9 io resti fermo, in piedi sulla scarpa dell\u2019albero: a questo le corde m\u2019attacchino. Omero \u00a0 Considerate la vostra semenza: fatti non foste a viver come bruti ma per seguir virtute e canoscenza. Dante \u00a0 Il GDPR costituisce per molte societ\u00e0\u2026 <span class=\"read-more\"><a href=\"https:\/\/blog.europrivacy.info\/it\/2018\/02\/04\/ulysses-the-sirens-and-knowledge\/\">Leggi tutto &raquo;<\/a><\/span><\/p>\n","protected":false},"author":42,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-3910","post","type-post","status-publish","format-standard","hentry","category-legal-framework"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3910","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=3910"}],"version-history":[{"count":10,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3910\/revisions"}],"predecessor-version":[{"id":3997,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/3910\/revisions\/3997"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=3910"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=3910"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=3910"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}