Mailing List Manager wrote:
La situazione ? la seguente: la mia azienda sta gestendo un sito su cui sono depositati dati sensibili e giudiziari per conto di un ministero.
Il contratto cosa prevede? Anche se non in maniera esplicita, nessuna indicazione è riportata?
Il problema ? il seguente: il ministero non ha "preso posizione" in merito alla privacy. Ossia non ci ha nominati responsabili del trattamento n? ci ha dato altre indicazioni in merito. Da quanto ne so, in un rapporto di outsourcing come quello descritto, in mancanza di una nomina a Responsabile, ci si assume la titolarit? dei dati.
In realtà non è così semplice. Vado un po' ad occhio dato che non conosco il tipo di attività che svolgete ne che tipo di accesso ai dati avete.
Dato che il titolare del trattamento è il ministero, e che l'esternalizzazione della gestione del sito non deriva da un obbligo di legge ne da un contratto con l'interessato (inteso come entità fisica o giuridica della quale il ministero tratta i dati), il dare in gestione questi dati ad un terzo (voi) configura per l'appunto "comunicazione di dati personali" che richiederebbe il consenso dell'interessato di cui sopra.
In questo caso, nel caso quindi si possa legalmente configurare il gestore del sito come titolare autonomo del trattamento, esso dovrà comunque provvedere a rendere l'informativa e richiedere il consenso degli interessati di cui tratta i dati, dato che esso non ha titolo per "averli in mano".
Molto meglio farsi nominare "responsabile".Altro aspetto: scrivi che il ministero ha autorizzato l'accesso ai dati a determinate persone. Considera che è del tutto plausibile che il titolare nomini "incaricato" persone fisiche non appartenenti alla propria organizzazione ma che effettuino trattamenti per suo conto (e sotto la sua responsabilità e controllo).
Per riferimenti, anche sul provvedimento del Garante "Guida pratica e misure di semplificazione per le piccole e medie imprese" si fa riferimento alla pratica di nominare responsabile l'outsourcer.
-- Paolo Giardini Privacy Officer AIP http://www.solution.it - http://www.ccos.regione.umbria.it http://opsi.aipnet.it - http://www.perugiagnulug.org
smime.p7s
Description: S/MIME Cryptographic Signature
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
