Mailing List Manager ha scritto:
----- Forwarded message from Simona Costa <costa.simona(at)gmail.com> -----
From: Simona Costa <costa.simona(at)gmail.com>
To: lex(at)sikurezza.org
Subject: Mancata nomina a responsabile
Buongiorno a tutti,
ho bisogno di un'informazione che non riesco a reperire.
La situazione ? la seguente: la mia azienda sta gestendo un sito su cui sono
depositati dati sensibili e giudiziari per conto di un ministero.
cosa intendi per gestione del sito? se si intende solo fornire lo spazio
fisico su cui transitano i dati è una cosa , se invece si effettuano
anche operazioni sui dati del tipo elaborazioni imputazioni le cose sono
diverse.
fornire gli strumenti non significa effettuare dei trattamenti.
L'accesso ? controllato e limitato alle persone che sono state autorizzate
dal ministero in oggetto; ovviamente anche i miei colleghi hanno accesso ai
medesimi dati anche se con profili diversi (tipicamente di amminstrazione ma
non solo).
che tipo di accesso? per quali finalità?
Il problema ? il seguente: il ministero non ha "preso posizione" in merito
alla privacy.
un classico! :-(
Ossia non ci ha nominati responsabili del trattamento n? ci ha
dato altre indicazioni in merito.
Da quanto ne so, in un rapporto di outsourcing come quello descritto, in
mancanza di una nomina a Responsabile, ci si assume la titolarit? dei dati.
la titolarità dei dati rimane sempre e comunque in capo al ministero , è
lui che effettua la raccolta per finalità pubbliche.
se in ambito privato potrebbero esserci delle scelte in ambito PA non è
possibile altrimenti.
La mancata definizione del nostro ruolo ci impedisce di fare le nomine degli
incaricati, di definire i limiti per la redazione del DPS, stabilire se come
e quando dare le informative e richiedere il consenso.
Non è vostra comptetenza. I trattamenti effettuati in regime di
outsourcing non rientrano nel dps del outsourcer, questi è un
responsabile o incaricato di trattamento ma il titolare rimane sempre e
comunque l'imprenditore.
I miei legali non
sono molto ferrati in materia, pertanto non danno saggi consigli ed inoltre
mettono in dubbio ed intralciano qualsiasi proposta per sbloccare la
situazione.
parac....????????? un altra classica situazione italica
Chiedo quindi il vostro aiuto per:
1. confermare o smentire la mia ipotesi di acquisizione della titolarit? nel
caso su esposto
2. trovare qualche indicazione su dove reperire le pezze giustificative a
quanto sostenuto
la tua struttura non sarà mai titolare di trattamento e questo finché
esiterà un rapporto di outsourcing.
per comprendere meglio il significato di rapporto in outsourcing posso
suggeriti la lettura del testo "i nuovi contratti nella prassi civile e
commerciale IX computer e nuove tecnologie" ed UTET in particolare in
capitolo IV, potrà chiarirti il rapporto civilistico e di conseguenza
come comportarti in ambito 196/03 senza inventare soluzioni fuori senso.
A tua disposizione
ciao
Rino Lo Turco
www.informativa.it
[EMAIL PROTECTED]
.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
