2009/2/24 Paolo Giardini <[email protected]>: > Dovranno essere allegati tali elenchi alla documentazione in possesso > del Titolare del trattamento. Quindi DPS se dovuto o altro documento in > caso contrario. > > E' specificato nel provvedimento, sia nel punto 4.3 che alla lettera d.
quindi se non leggo/interpreto male quanto scritto nel provvedimento al momento della revisione del DPS (che mi pare si possa fare annualmente, giusto?) il titolare dovra' gia' essere in possesso dei nominativi (e degli altri dati identificativi) delle persone fisiche incaricate dall'outsourcer di effettuare le eventuali attivita' di sysadmin. La mia domanda era leggermente diversa, ovvero (dal punto di vista dell'outsourcer): quando devo comunicare tale elenco? Al momento della conclusione del contratto con il titolare (i.e. quando il titolare formalmente mi affida il compito di gestire i sistemi) oppure quando affido un incarico al mio dipendente di fare attivita' su quel sistema, oppure ancora nel momento in cui il titolare me lo richiede (perche' sta preparando la revisione del DPS)? Ovviamente non credo che ci siano problemi nel caso in cui l'outsourcer e' un professionista, ma mi pare piu' complessa la situazione nel caso in cui l'outsourcer sia una societa' (e.g. i dipendenti possono cambiare, i ruoli possono essere "fluidi", ...), a maggior ragione se tale societa' non e' Italiana... grazie per l'interessante discussione! Luca Mearelli ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
