The Backup for www.thepuchiherald.com official blog.

antonio ierano Editoriali in Italiano, Editorials

Guida al GDPR per chi non ne vuole sapere: Non ci saranno rinvii se non a giudizio….


HomeEditoriali in Italiano | Editorials › Guida al GDPR per chi non ne vuole sapere: Non ci saranno rinvii se non a giudizio….
     04/19/2018    Editoriali in Italiano, Editorials
European Union
European Union (Photo credit: Wikipedia)

ora capisco che siccome te ne sei fregato fino adesso e solo adesso ti sei reso conto che il 25 maggio è dietro l’angolo ti manca il fiato, ma voglio rassicurarti….

Il GDPR non te lo toglie nessuno, e dal 25 di Maggio cidevi far i conti, sanzioni comprese. Gli unici rinvii che puoi sperare di ottenere sono quelli a giudizio perchè non hai fatto bene le cose.

detto questo forse un poco di chiarezza va fatta:

  • Se credi che il GDPR verrà rinviato:

chiunque parli di rinvii del GDPR evidentemente o non ha capito nulla o si è fatto di prosecco, gli auguro sia per il secondo motivo. Il problema è che l’unico organismo che puo rinviare il GDPR è quello che lo ha messo in piedi, Gli stati nazionali non possono fare nulla, salvo incorrere in una infrazione piuttosto grave nei confronti della UE.

Essendo il GDPR un regolamento e non una direttiva il suo valore è immediato e entra cosi come è nel corpo giuridico di tutti gli stati EU volenti o nolenti.  e nel caso e giurisdizioni locali siano non conformi al regolamento, vale quest’ultimo. In altre parole anche se volesssimo mettere una deroga solo italiana non avrebbe valore giuridico perchè quello che vale è il GDPR (meno male aggiungo io). leggetevvi anche:

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8469593

 

  • Se credi che le sanzioni possono essere sospese o rinviate:

se il GDPR non viene rinviato non sono rinviate neanche le sanzioni che sono connaturate al GDPR in quanto espressamente citate nel testo del regolamento. Insoma il regolamento entra in funzione in quanto tale, e non se ne puo abolire una sua parte. Se il GDPR avesse detto si rimanda agli stati nazionali la costruzione dell’impianto sazionatorio, magari qualcosa si poteva fare, ma cosi non è quini le sanzioni ci sono e dal 25 Maggio fischia se possono essere irrogate…

  • dal 25 Maggio allora ci becchiamo tutti multe da incubo , l’Italia distruggera la sua economia, gli alieni ci invaderanno …

Non posso entrare nel merito ne della invasione aliena (magari persino auspicabile, chi lo sa magari gli alieni hanno una PA etica e una gestione rispettosa dei cittadini) ne sul fatto che si distruggerà la economia (cosa a cui mi sembra stiamo lavorando alacremente da parecchio tempo e senza bisogno del GDPR) ma qualcosa sulle sanzioni GDPR forse lo ho capito.

Non essere compliant al GDPR non provoca automaticamente una sanzione del 4% sul fatturato globale o di 20 milioni di euro (andatevi a rivedere quando si applica l’uno o l’altro 🙂 ) di fatto sta alla autorità di controllo nazionale decidere come declinare l’impianto sanzionatorio. Non necessariamente non essere 100% conforme significa quindi una multa da sogno … ci sono valutazioni che dipendono, caso per caso, dalla entità della non conformità, le ragioni, il tipo di non conformità..non sono da escludere anche richiami ed avvisi…insomma non è detto che dal 25 le multe saranno la colonna sonora del GDPR. ma questo non significa che puoi tirare un sospiro di sollievo … non ho detto che sicuramente non ce ne saranno…. anzi se ti si becca che colpevolente te ne sei fregato fino all’ultimo e magari cerchi di nascondere le cose forse forse un calcetto nel di dietro ti arriva …

  • non c’è stato il tempo per adeguarsi, non è giusto…

Altra cazz..volata. Ne ho sentite di tutte, da avvocati che per essere laureati in giurisprudenza con poca prudenza e poco giudizio dicono che siccome non c’è ancora una legge italiana allora non devi fare nulla (sic), ad altri guru che aspettano indicazioni di dettaglio non si sa bene da chi per vedere cosa si deve fare, a luminari de GDPR che con il magico tocco della loro bacchetta magica ti dicono in 3 giorni facciamo tutto, a certificati (sic.) millantati DPO che siccome hai il DPO allora sei a posto …

Cerchiamo di capirci, il GDPR è stato approvato nel 2016, e sono stati dati due anni DUE per adeguarsi. Essendo questo regolamento complesso per sua natura, ed avendo a che fare con cose sensibili quali LE NOSTRE LIBERTA’ (nel caso ti fosse sfuggito il senso del regolamento) il legislatore europeo aveva ingenuamente pensato che dare un tempo di adeguamento di due anni fosse stato coerente e corretto… e certo ma tu avevi capito due anni a partire dopo la proroga del 25 maggio 2018 …NON CI SONO PROROGHEEEEEEEEEEEEEEEEEEEEEEE

NON CI SONO PROROGHEEEEEEEEEEEEEEEEEEEEEEE

Ora che tu abbia iniziato a lavorarci l’altro ieri non si puo proprio imputare alla Unione Europea… magari (ma dico magari) allora un minimo di ritardo forse è anche colpa tua.

E se poi te ne freghi del GDPR e ti scandalizzi per lo scandalo Facebook-Cambridge Analytica sei da oscar del millantato credito, nobel della faccia di tolla e anche qualcosa di piu….

insomma chi ha orecchie per intendere in tenda, gli altri in roulotte!

Related articles
antonio ierano Editoriali in Italiano, Editorials

Guida al GDPR per chi non ne vuol sapere: DPO il responsabile irresponsabile


HomeEditoriali in Italiano | Editorials › Guida al GDPR per chi non ne vuol sapere: DPO il responsabile irresponsabile
   03/28/2018    Editoriali in Italiano, Editorials

Lo capisco, leggere il GDPR in inglese è una palla pazzesca…allora affidiamoci alla traduzione italiana …

la idea di tradurre in italiano un testo che deve diventare legge non sarebbe peregrina, ma siccome noi di solito traduciamo le cose con approssimazione assoluta ecco il capovalovoro italiano, DPO (Data Protection Officer) diventa Responsabile Protezione Dati… in barba al significato voluto da chi ha scrittoil GDPR non abbiamo potuto resistere alla ennesima dimostrazione di come con sottile abilità si possa creare confusione anche in ambiti chiarissimi.

Orbene la traduzione italica di DPO deriva da una consuetudine legata all’armonizzazione delle diciture presenti nelle varie leggti precedenti al GDPR con le nuove, la cosa non sarebbe grave se non fosse che il DPO NON è responsabile ne della protezione ne del trattamento dei dati. Secondo il GDPR la responsabilità cade interamente sul Data Controller e sul Data Processor, e al secondo in misura correlata a vincoli di gestione del dato indicati dal Data Controller.

Facciamo quindi uno sforzo di astrazione e esimiamoci dal significato delle parole in italiano.

l’ RPD è il DPO che per ruolo non è responsabilefdella protezione del dato

Lo so è imbarazzante dover negare il significato di un termine italiano (responsabile) ponendolo come termine distintivo di un ruolo che essenziamente non ha responsabilità in merito a quanto descritto dal rimanente acronimo.

Ci troviamo quindi nel curioso stato in cui secondo la legge italiana sulla privacy allineata al GDPR un responsabile della protezione dei dati non è responabile di tle protezione, e se non ci credete oltre me, il testo originale del GDPR fate un salto sul sito del garante http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793 .

1. Chi è il responsabile della protezione dei dati personali (RPD) e quali sono i suoi compiti?

Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese data protection officer – DPO) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante; v. faq 6) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

Fantastico l’RDP viene designato dal responsabile da cui ne consegue che il responabile è altro dall’RDP. il sillogismo funziona.

altro discorso poi è a chi serve un DPO, ci sono casi in cui la assegnazione del RDPDPO è obbligatoria, ed altri in cui non lo è. ma considerando la complessità dell’ambito cui il DPORDP lavora sarebbe consigliabile averlo, il GDPR chiede che tale figura sia indipendente ma non che sia un dipendente, ne che sia dedicato solo ad un cliente. è quindi possibile utilizzare servizi di DPORDP esterni che eplichino le funzioni richieste come da indicazione del garante.

Va da se che una figura che deve poter offrire funzioni di supporto e controllo, consultive, formative e informative a questo livello non può essere un junior e quindi il mercato attuale con cifre attorno ai 30k annui identifica come, tanto per cambiare, il mercato italiano non abbia ancora capito cosa sia il GDPR, il DPORDP e non solo.

Una nota finale, visto che in questo giorni ho visto e sentito di tutto, dal fatto che si deve ottenere la “certificazione GDPR”, vi ricordo che al momento in italia non esiste una certificazione per il DPORDP ne esiste in assoluto una certificazione GDPR.

 

sempre dal sito del garante prendo

Sul tema della certificazione inoltre si richiama l’attenzione sul comunicato congiunto, pubblicato sul sito dell’Autorità il 18 luglio 2017 (doc. web n. 6621723), con il quale il Garante e ACCREDIA (l’Ente unico nazionale di accreditamento designato dal Governo italiano) hanno ritenuto necessario sottolineare – al fine di indirizzare correttamente le attività svolte dai soggetti a vario titolo interessati in questo ambito – che «al momento le certificazioni di persone, nonché quelle emesse in materia di privacy o data protection eventualmente rilasciate in Italia, sebbene possano costituire una garanzia e atto di diligenza verso le parti interessate dell’adozione volontaria di un sistema di analisi e controllo dei principi e delle norme di riferimento, a legislazione vigente non possono definirsi “conformi agli artt. 42 e 43 del regolamento 2016/679”, poiché devono ancora essere determinati i “requisiti aggiuntivi” ai fini dell’accreditamento degli organismi di certificazione e i criteri specifici di certificazione».

Si potrebbe obbiettare che sia tardi, ma siccome siamo in ritardo su tutto siamo allineati alla timeline italiana.

 

ciao

Tomer Rozenberg

Become A Better You

InOltre

ovvero l'arte di mettere i puntini sulle i

The Puchi Herald Magazine

The official Antonio Ieranò Blog - The opinions expressed here are those of the authors and do not reflect any company position

Andrea Monti

On ICT law, politics and other digital stuff

Patrick W. Marsh

Monsters, monsters, everywhere.

Sableyes Fox Box

La Vita Attraverso Cinema e Arte

La vita attraverso il cinema

Technology... in PLAIN ENGLISH!

TechMania 411: Finding the reasons for the mania

Jayna Elizabeth

Attila Ovari

danniecardenas

A topnotch WordPress.com site

clarencesyf

A great WordPress.com site

leonardoztf

This WordPress.com site is the bee's knees

kathymichaelis

A great WordPress.com site

suzettejeanner

Smile! You’re at the best WordPress.com site ever

elliottelizond

A topnotch WordPress.com site

sonyasaavedra

Smile! You’re at the best WordPress.com site ever

martinaricks

This WordPress.com site is the cat’s pajamas

eugenechampion

A great WordPress.com site

skylar9722

A fine WordPress.com site