Mailing List Manager ha scritto:
From: Simona Costa <costa.simona(at)gmail.com> To: lex(at)sikurezza.org Subject: Mancata nomina a responsabile
La situazione ? la seguente: la mia azienda sta gestendo un sito su cui sono depositati dati sensibili e giudiziari per conto di un ministero.
Il sito e' visitabile pubblicamente oppure e' un sito gestito ad uso e consumo del ministero? Non che la cosa cambi sotto il profilo 196/03, ma e' interessante capire chi ha accesso ai dati sensibili e giudiziari (solo voi per manutenzione insieme con il ministero in quanto titolare dei dati, oppure anche il comune cittadino che, fornendo una serie di credenziali, ha accesso alle informazioni che lo riguardano?). Dal momento che, in mancanza di qualunque indicazione, voi sareste ritenuti responsabili in caso di violazione dei vostri sistemi informatici (se stiamo parlando di accesso pubblico), e' bene chiarire per iscritto di chi sarebbe la responsabilita' in questa (purtroppo verosimile) evenienza, al di la' di come formalmente andrete ad indicare i ruoli nel DPS.
Il problema ? il seguente: il ministero non ha "preso posizione" in merito alla privacy. Ossia non ci ha nominati responsabili del trattamento n? ci ha dato altre indicazioni in merito. Da quanto ne so, in un rapporto di outsourcing come quello descritto, in mancanza di una nomina a Responsabile, ci si assume la titolarit? dei dati.
La titolarita' (o con-titolarita') e' corretta soltanto se voi ed il ministero avete gli stessi poteri decisionali sui dati (incluse le decisioni in merito alla "sicurezza"). Da quanto capisco (ma avrei bisogno di piu' elementi), e' il ministero ad avere potere decisionali sui dati, non voi. In questo caso, la titolarita' e' solo del ministero. Una volta stabilito chi "decide", dobbiamo capire qual e' il vostro ruolo. Seguendo l'ipotesi che la decisione in merito ai dati e' unicamente del Ministero, se foste designati "responsabili del trattamento", sareste obbligati a seguire le indicazioni di sicurezza che il ministero stesso vi imporra'. Per "indicazioni" non intendo la semplice nomina di tre o quattro persone per l'accesso ai dati e le modalita' di accesso, ma *tutti* gli aspetti, anche quelli tecnologici riguardanti la sicurezza.
Siccome dubito che il ministero vi abbia detto di usare un firewall di una marca particolare con una certa configurazione o di utilizzare il sistema operativo X piuttosto che Y, di blindarlo in una certa maniera piuttosto che un'altra, la figura di "responsabile" non vi calza nemmeno (il responsabile deve muoversi seguendo le disposizioni di sicurezza del titolare del trattamento: non puo' avere spazi di iniziativa personale!)
A questo punto, ritengo che il Ministero non abbia sbagliato nel non indicare alcunche'. Nel suo DPS (se mai ne ha fatto uno, e sarei curioso di leggerlo!), il Ministero dovra' indicarvi come "soggetti ai quali sono stati comunicati dei dati", ma cio', piu' di tanto, non vi riguarda.
E' importante invece che siano descritti nel dettaglio le responsabilita' vostre in caso di violazione della sicurezza dei sistemi in cui sono custoditi i dati del Ministero. D'altra parte, se il Ministero volesse custodire i dati di cui e' titolare adottando una tecnologia piuttosto che un'altra (e siccome e' il titolare, ne ha la facolta'), ve lo avrebbe gia' fatto sapere: in questo caso, ma solo in questo (a mio modesto avviso) sareste "responsabili del trattamento". Non puo' certo accusarvi, un domani, di non avere protetto i suoi dati, visto che, avendone avuta la facolta', avrebbe potuto scegliere una soluzione diversa (e "migliore", dal suo punto di vista) da quella vostra! In conclusione, visto che probabilmente si "fida" delle vostre scelte tecniche (altrimenti vi avrebbe imposto lui le sue), dovra' accettare i rischi che cio' comporta (certo, voi sareste sempre responsabili se a quei dati vi accede Tizio, quando invece doveva essere Caio, ma tale responsabilita' e' stabilita gia' dal Codice Civile e Penale, prima che dal Codice sulla "privacy"). Per tranquillita' vostra, quindi, farei firmare al Ministero una sorta di "accettazione" di rischio. Se non accetta cio', in qualita' di titolare del trattamento, dovra' indicarvi lui quali scelte operare per proteggere i suoi dati (altrimenti vi rimablzerete le responsabilita' all'infinito qualora dovesse capitare l'evento nefasto ;-) ).
Ripeto: la soluzione corretta, comunque, e' da determinare in base al vostro ruolo e al ruolo del Ministero, cosa che non si evince chiaramente dal tuo post.
Grazie mille Simona
A disposizione. RR
smime.p7s
Description: S/MIME Cryptographic Signature
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
