In discussing metadata and email retention, clarity is needed regarding the Italian Data Protection Authority’s guidance, which appears inconsistent. While the articles referenced suggest contradictory practices on log retention, the crux is the justification of metadata retention for security under GDPR Article 32. The takeaway is to responsibly maintain data for system security and provide justified reasoning for doing so.
The writer criticizes the Italian Data Protection Authority’s (GPDP) recommendation of a 7-day metadata retention limit for email systems as overly simplistic and detached from the technical and managerial realities of email systems. They argue the limit impedes troubleshooting, legal investigations, and security analysis. While acknowledging privacy concerns, they suggest that extended retention times should be allowable with appropriate safeguards to meet operational and security needs.
Caso non comune ma sto ampliando un mio precedente articolo che, nei fatti, costituisce il corpo centrale di questo post. Stimolato dai feedback sul mio ultimo post sul DPO e stimolato dalla lettura di un post ed i commenti sagaci di Andrea Monti mi sono rimesso a pensare a certi ruoi aziendali. Prima di proseguire nella lettura però dovete leggervi di Andrea Monti: La chiusura finale in particolare è interessante dove Andrea nota: “…o il DPO fa finta di non vedere (e diventa concorrente in un illecito. Formale, ma pur sempre illecito) oppure mette il veto sull’iniziativa e, se l’azienda…
Probably everyone now has, at least, heard about the EJC sentence called Shrems III that basically rules out the possibility to use Privacy Shield infamous agreement to allow data transfer between EU and USA based on the fact that the USA does not provide enough guarantees EU data will be protected. If you don’t know (but you should) here my previous article: https://thepuchiherald.com/2020/07/17/ops-privacy-shield-bye-bye/ After the sentence one of the question was: what now? Will a Grace period be offered to survive this? (lot of companies were transferring data using privacy shield to USA) And most of all does SCC will…
ora capisco che siccome te ne sei fregato fino adesso e solo adesso ti sei reso conto che il 25 maggio è dietro l’angolo ti manca il fiato, ma voglio rassicurarti…. Il GDPR non te lo toglie nessuno, e dal 25 di Maggio cidevi far i conti, sanzioni comprese. Gli unici rinvii che puoi sperare di ottenere sono quelli a giudizio perchè non hai fatto bene le cose. detto questo forse un poco di chiarezza va fatta: Se credi che il GDPR verrà rinviato: chiunque parli di rinvii del GDPR evidentemente o non ha capito nulla o si è fatto…
Di solito si leggono dotti e meno dotti (come i miei) articoli sul GDPR tutti orientati al mondo del business, aziende PA e quant’altro. sebbene importanti di solito questi articoli non enunciano lo scopo base del GDPR, a cosa il GDPR serve. Uno dei miei problemi quando si parla di GDPR è infatti la percezione che questa direttiva sia semplicemente l’enneimo balzello europeo senza senso e senza scopo su business, imprese ed organizzazioni. La cosa non potrebbe essere piu distante dalla realtà. Il GDPR serve per proteggere i diritti fondamentali alla privacy dei cittadini europei, in altre parole è una direttiva che serve…
Ho appena finito di parlarvi amabilmente degli articoli 1 e 2 del primo capitolo di quell’avvincente romanzo che è il GDPR che già siamo arrivati all’articolo 3, e sembrava solo ieri che stavamo leggendo il titolo…. Beh torniamo quindi a noi. Articolo 3 L’articolo 3 introduce, in un legalese da paura, l’ambito territoriale di pertinenza del GDPR che, tradotto in italiano, significa dove deve risiedere un soggetto per finire invischiato in tutto questo. La lettura puntuale dell’articolo è un esercizio semantico interessante e non banale. Come a dire che è scritto in maniera abbastanza incomprensibile. Cerchiamo di tirare un sospiro…
Ma se ti dico “rischio” tu che mi rispondi? Er… no non intendo la sequela di insulti o le minacce più o meno velate a cu stai quasi sicuramente pensando, stavo cercando di parlare di GDPR… No, no, GDPR non è una parolaccia, calmiamoci. Insomma volevo solo chiedere che cosa associate alla idea di rischio indicata dal GDPR. Ne parlo qui perché ultimamente ho avuto modo di vedere come molti non hanno bene chiaro cosa sia questo fantomatico rischio di cui si parla. Allora cerchiamo di fare un poco di chiarezza ad un livello che persino io possa capire di…
Manca un anno al GDPR Doom’s Day e ovviamente siamo ancora impreparati ad affrontare la cosa. Non lo dico io, ovvio, ma lo dicono le statistiche. E se i nostri amici al di la delle alpi sono messi non benissimo leggendo queste statistiche, vi lascio immaginare come siamo messi noi. Siccome è un po che mi occupo della faccenda devo dire che mi sembra evidente che la comprensione di cosa sia il GDPR latita tra i responsabili aziendali, e le idee su come implementarlo sono spesso poche ma ben confuse. Ho parlato in articoli precedenti diffusamente sul GDPR in tono…
Caro consiglio di amministrazione e caro CISO Penso che dovremmo sempre considerare il nostro lavoro come una parte del business. Abbiamo finalmente iniziato a prendere in considerazione la sicurezza informatica e la protezione dei dati come un problema serio, ma ora la domanda è come valutare un rischio nei nostri piani di analisi e di business… Usualmente la documentazione e le relazioni per l’analisi di rischio, presentati nelle aziende (se e quando vengono presentati ovvio) si limitano, per la maggior parte, all’uso di valori generici (rischio alto, medio, basso), ma non sembra che si usi specificare qualsiasi metrica. Senza metrica è difficile…
You must be logged in to post a comment.