----- Original Message -----
From: "paolo foletto" <[email protected]>
To: <[email protected]>
Sent: Tuesday, March 24, 2009 8:25 AM
Subject: [lex] Il DPS di un Comune puo' essere un atto riservato?
Mi è successo un caso di un Comune che "come ulteriore misura di
sicurezza"
ha dichiarato come riservato il documento
Chiedo agli avvocati ed esperti di diritto
Buongiorno, non sono avvocato nè esperto di diritto, ma:
1) i cittadini hanno il diritto di sapere come il loro Comune tratta i
loro dati?
si, ed infatti esiste il regolamento per il trattamento dei dati personali
(Consiglio Comunale), dove devono essere specificati i tipi di dati
trattati, le finalità, le fonti normative, ecc., inoltre ha l'obbligo di
rendere l'informativa all'utenza, e nel caso di trattamento di dati
sensibili o giudiziari, nell'informativa deve anche specificare la fonte
normativa che autorizza il trattamento.
2) i cittadini possono chiedere di accedere agli atti?
si, devono però utilizare la corretta procedura stabilita dal regolamento
comunale di accesso agli atti (motivazione, ecc.)
3) che senso ha secondo voi rendere riservato un documento come ulteriore
misura di sicurezza?
ha diversi risvolti secondo me:
- 19.3 analisi dei rischi
se l'analisi dei rischi è fatta bene e non semplicemente un: "rischio di
virus basso/medio/alto", ovvero finta, può evidenziare determinate aree di
esposizione ben specifica
- 19.4 misure da adottare per garantire l'integrità dei dati ecc.
anche in questo caso, se il documento è redatto coscienziosamente, rendere
pubblica questa sezione vuol dire esporre l'organizzazione, dichiarando come
e in che misura si è intervenuto a proteggere il sistema di trattamento
(informatico, logistico, strutturale, ecc.)
- 19.5 descrizione dei criteri e delle modalità per il ripristino dei dati,
ecc.
che facciamo? diciamo a tutti dove sono custodite le copie di backup o i
server di rispetto, quali sono le procedure operative per ripristinare il
tutto ecc.?
solo per evitare di render pubblico che utilizzano PC con w98 per trattare
dati
sensibili?
il DPS non elenca obbligatoriamente gli strumenti utilizzati (e poi scritta
come l'hai scritta mi pareva una nota polemica).
Inoltre, non è detto che l'accesso ai dati possa avvenire su tutta la
documentazione, quanto su di una parte ("per estratto").
La cosa migliore, e più professionale, secondo me, è redarre un documento
che conterrà degli allegati. In questo modo semplifichi la vita anche al
comune, nel caso di revisione di singole parti.
Il Documento principale lo puoi anche far pubblicare (semprechè, come
dicevo, non contenga informazioni che possano portare ad esposizioni) e
mantieni riservati gli allegati.
Infine, verifica l'incarico che hai ricevuto, ti devi occupare anche di
tutti quegli altri atti correlati, scaturiti dalle varie disposizioni
generali del garante, e che sarebbe bene citare all'interno del DPS
(altrimenti raggiungi una conformità normativa solo ed esclusivamente per il
punto 19 dell'allegato tecnico B, e non, di fatto, una conformità normativa
nella gestione dei trattamenti di dati personali dell'ente).
ale
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
