Pubblicato il

8 in condotta

Mi sono occupato, per una rivista specializzata, di esaminare la spinosa questione del rapporto tra titolare del trattamento e responsabile del trattamento (art. 28 del GDPR) quando quest’ultimo è un fornitore di servizi cloud; è il caso, sempre più frequente, del titolare che non dispone di proprie infrastrutture tecnologiche ma utilizza quelle di un altro soggetto (appunto il Cloud Service Provider, abbreviato in CSP).

La questione è spinosa perché il GDPR prevede che il titolare debba controllare l’operato del suo responsabile del trattamento. Ma come si fa? La piccola azienda di laterizi come può controllare Amazon sul rispetto del GDPR? Ha le competenze per farlo? Ha le risorse economiche per andare a visitare i data center di Amazon?

Per risolvere questo problema, alcuni CSP hanno pensato di adottare un codice di condotta che definisce comportamenti uniformi per garantire ai propri clienti la massima aderenza al GDPR. Questo percorso nasce qualche anno fa e, in questi giorni, è stata pubblicata la versione 2.1 del CSP Code of Conduct (EU CSP CoC).

Le novità più rilevanti riguardano i seguenti aspetti:

  • vengono dettagliate meglio le possibilità per il cliente/titolare di eseguire, se lo desidera, i controlli presso il fornitore/CSP (art. 28, comma 3, lettera h); in particolare, il codice prevede che il CSP fornisca preventivamente e sistematicamente al cliente i risultati dei controlli che autonomamente effettua sulle proprie infrastrutture; questo consente al cliente, se lo vuole, di direzionare meglio i propri controlli sul CSP;

  • vengono stabilite con maggiore precisione le fasi conclusive del contratto tra titolare e CSP; questo per dare concretezza a quello che è previsto dall’art. 28, comma 3, lettera g che disciplina la restituzione e la cancellazione dei dati personali da parte del responsabile del trattamento.

Quindi, per il momento, 8 in condotta ai CSP aderenti al CoC: ma si può sempre migliorare.

Condividi
Pubblicato il

Stadi di delirio

Sembra che con la manovra, in corso di esame in Parlamento, sia tornata di moda, attraverso uno specifico emendamento, una proposta di legge del 2017 che intendeva combattere il bagarinaggio via web.

Il fenomeno è noto: esistono appositi automi (detti bot) che, appena comincia la vendita online dei biglietti per uno specifico spettacolo (meglio se con protagonisti famosi), acquistano il maggior numero di tagliandi possibile dalle biglietterie online. Successivamente, rivendono i biglietti a prezzi maggiorati. Tecnicamente il fenomeno è detto secondary ticketing e, per la verità, è vecchio come il mondo: i bagarini esistevano ed esistono ancora, soprattutto prima delle partite di calcio.

Il nuovo emendamento vuole fare in modo che i biglietti siano intestati nominativamente (con indicazione del numero del documento di riconoscimento) quando lo spettacolo prevede un numero di spettatori superiore a 1.000. Già, il nome: esiste già per il calcio ma la norma viene abbondantemente aggirata tutte le domeniche. Perché dovrebbe funzionare per gli altri spettacoli?  Ci sono tutte le garanzie di protezione dei dati personali? E questa rigidità è compatibile con possibili impedimenti dell’ultima ora?

A quest’ultimo proposito, gli stessi geniali proponenti l’emendamento, ritengono che la biglietteria online debba offrire la possibilità agli acquirenti, tramite apposite funzionalità del sito, di cedere il biglietto ad altri: quindi, bagarinaggio autorizzato ma identificato.

Non più stadi in deliro per lo spettacolo ma stadi di delirio davanti al PC…

Condividi