Rosario Russo ha scritto:
Mailing List Manager ha scritto:
From: Simona Costa <costa.simona(at)gmail.com>
To: lex(at)sikurezza.org
Subject: Mancata nomina a responsabile
La situazione ? la seguente: la mia azienda sta gestendo un sito su
cui sono
depositati dati sensibili e giudiziari per conto di un ministero.
Il sito e' visitabile pubblicamente oppure e' un sito gestito ad uso e
consumo del ministero? Non che la cosa cambi sotto il profilo 196/03,
ma e' interessante capire chi ha accesso ai dati sensibili e
giudiziari (solo voi per manutenzione insieme con il ministero in
quanto titolare dei dati, oppure anche il comune cittadino che,
fornendo una serie di credenziali, ha accesso alle informazioni che lo
riguardano?). Dal momento che, in mancanza di qualunque indicazione,
voi sareste ritenuti responsabili in caso di violazione dei vostri
sistemi informatici (se stiamo parlando di accesso pubblico), e' bene
chiarire per iscritto di chi sarebbe la responsabilita' in questa
(purtroppo verosimile) evenienza, al di la' di come formalmente
andrete ad indicare i ruoli nel DPS.
in questo caso si parla di responsabilità (vocabolario italiano) ovvero
chi paga per eventuali danni ovvero inadempienze contrattuali! Nulla a
che fare con la 196/03.
Non sempre è necessario scrivere in contratto chi paga sui danni
derivanti da una inadempienza contrattuale proprio per il fatto che è
una inadempienza. Il prodotto rilasciato deve funzionare secondo le
normali regole civilistiche.
Il problema ? il seguente: il ministero non ha "preso posizione" in
merito
alla privacy. Ossia non ci ha nominati responsabili del trattamento
n? ci ha
dato altre indicazioni in merito.
Da quanto ne so, in un rapporto di outsourcing come quello descritto, in
mancanza di una nomina a Responsabile, ci si assume la titolarit? dei
dati.
La titolarita' (o con-titolarita') e' corretta soltanto se voi ed il
ministero avete gli stessi poteri decisionali sui dati (incluse le
decisioni in merito alla "sicurezza").
Impossibile ! La PA , e il ministero è PA , ovvero ente pubblico, può
trattare i dati solo per compiti istituzionali, e nessun altro può
subentrare in cio'.
La PA non puo condividere la titolarità di un trattamento con nessuno,
può però incaricare altri ad operare ma sempre sotto la propria diretta
responsabilità che si traduce in divieto a contitolarità e nomina di un
responsabile nel caso si usi l'outsourcing.
Questo per i trattamenti effettuati in ambito di istituto, per gli altri
, quelli necessari alla propria gestione 8acq. vendite, personale
contabilità) puo' operare, invece, come gli atri soggetti privati.
.........Seguendo l'ipotesi che la decisione in merito ai dati e'
unicamente del Ministero, se foste designati "responsabili del
trattamento", sareste obbligati a seguire le indicazioni di sicurezza
che il ministero stesso vi imporra'. Per "indicazioni" non intendo la
semplice nomina di tre o quattro persone per l'accesso ai dati e le
modalita' di accesso, ma *tutti* gli aspetti, anche quelli tecnologici
riguardanti la sicurezza.
su questo non ci piove, si devono seguire le regole emanate in sede di
convenzione, appalto, etc .
Siccome dubito che il ministero vi abbia detto di usare un firewall di
una marca particolare con una certa configurazione o di utilizzare il
sistema operativo X piuttosto che Y, di blindarlo in una certa maniera
piuttosto che un'altra, la figura di "responsabile" non vi calza
nemmeno (il responsabile deve muoversi seguendo le disposizioni di
sicurezza del titolare del trattamento: non puo' avere spazi di
iniziativa personale!)
veramente il ministero può evitare di emettere tali regole dovendo egli
stesso sottostare a quanto previsto dal cnipa, per cui nel caso in cui
il ministero non abbia detto nulla (non credo) il riferimento minimo è
il cnipa ex aipa.
E comunque attenzione che esistono circolari e normative in merito per
cui non è detto , appunto, che per ogni incarico si indichi ciò che già
si deve sapere. Il fornitore dell'ente pubblico deve sapere, deve
conoscere certe regole , questa è una delle differenze tra servire il
pubblico e il privato.
A questo punto, ritengo che il Ministero non abbia sbagliato nel non
indicare alcunche'. Nel suo DPS (se mai ne ha fatto uno, e sarei
curioso di leggerlo!), il Ministero dovra' indicarvi come "soggetti ai
quali sono stati comunicati dei dati", ma cio', piu' di tanto, non vi
riguarda.
E' importante invece che siano descritti nel dettaglio le
responsabilita' vostre in caso di violazione della sicurezza dei
sistemi in cui sono custoditi i dati del Ministero.
non è necessario!
D'altra parte, se il Ministero volesse custodire i dati di cui e'
titolare adottando una tecnologia piuttosto che un'altra (e siccome e'
il titolare, ne ha la facolta'), ve lo avrebbe gia' fatto sapere: in
questo caso, ma solo in questo (a mio modesto avviso) sareste
"responsabili del trattamento". Non puo' certo accusarvi, un domani,
di non avere protetto i suoi dati, visto che, avendone avuta la
facolta', avrebbe potuto scegliere una soluzione diversa (e
"migliore", dal suo punto di vista) da quella vostra! In conclusione,
visto che probabilmente si "fida" delle vostre scelte tecniche
(altrimenti vi avrebbe imposto lui le sue), dovra' accettare i rischi
che cio' comporta (certo, voi sareste sempre responsabili se a quei
dati vi accede Tizio, quando invece doveva essere Caio, ma tale
responsabilita' e' stabilita gia' dal Codice Civile e Penale, prima
che dal Codice sulla "privacy").
Come detto esistono delle norme tecniche emanate dal cinipa e dal
ministero delle tecnologie che danno precise indicazioni, per il
fornitore non conoscerle è un grande e grave problema.
Per tranquillita' vostra, quindi, farei firmare al Ministero una sorta
di "accettazione" di rischio.
impossibile , non esiste la possibilità civilistica di accettare un
rischio e nono solo per il pubblico ma anche per il privato, in questo
ultimo caso poi sarebbe necessaria una perizia per definire realmente il
rischio , a meno che non ci sia un interno che sappia e possa scegliere.
Se non accetta cio', in qualita' di titolare del trattamento, dovra'
indicarvi lui quali scelte operare per proteggere i suoi dati
(altrimenti vi rimablzerete le responsabilita' all'infinito qualora
dovesse capitare l'evento nefasto ;-) ).
Ripeto: la soluzione corretta, comunque, e' da determinare in base al
vostro ruolo e al ruolo del Ministero, cosa che non si evince
chiaramente dal tuo post.
Grazie mille
Simona
A disposizione.
RR
rino
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
