kill-9 ha scritto: in data 19/06/2010 16:46:
buongiorno a tutti,
la domanda pu? sembrare pure banale,
non è una domanda banale tra i vari obblighi imposti dala 196 e spesso ,
troppo direi, disattesi , è la durata del trattamento , e la semplice
detenzione del dato è un trattamento, che deve avere in ogni caso un
termine, salvo diverso accordo con l'interessato ( ma anche questo è un
termine).
ma quando in una azienda viene dismesso
un servizi, ecommerce, portale internet etc, quali sono gli obblighi di
legge a cui un'azienda deve sottostare?
molti dipendono dal "contratto" iniziale instaurato con il cliente
(interessato), contratto che è reso tramite l'informativa. Quindi il
termine è li indicato.
Suppongo che anche qui ci sia una forte e gravissima distrazione per cui
non troverai nulla di utile nel documento .
E allora devi ragionare sull'utilizzo del dato per cui il tempo di
conservazione è basato sulla reale e concreta utilità.
in caso di vendita quando i dati sono inutili per uno scopo concreto,
quale è ad esempio l'assistenza in garanzia? due anni max tre dalla data
di vendita, quindi decorso tale termine la conservazione per la finalità
di assistenza in garanzia è post vendita decade di fatto.
I dati contabili , che ben difficilmente forniscono informazioni di
dettaglio sulla vendita, perdono di interesse con ma dichiarazione del
quinto anno , quindi al sesto anno vanno cancellati, nessuno può più
chiederli.
Parli di log , ma quali? se non fornisci accessi di connessione non ha
alcun obbligo, quindi cancellazione.
Log del ADS ? non serve conservarli intento perchè la mancata
conservazione non è punita, poi perchè interessano solo le attività
effettuate verso il sistema, ovvero le attività fatte verso il tuo dba e
quindi avrebbero significato solo in caso di contestazione al fine di
produrre prove a carico o discarico, per qui anche qui il termine varia
in base al momento in cui l'interessato perde il potere di
contestazione, ritengo un termine di 3 anni ( pari alla garanzia ) piu
che sufficiente , anche s eio li cancellerei un anno dopo in termine
delle attività perchè decorso tale termine non vedo grandi motivi di
contestazione che possano richiedere i log.
Non farti ingannare dall'esigenza di permettere indagini su reati
informatici quali pedofilia , accessi non consentiti a sistemi di terzi
e simili. Tu non hai alcun obbligo a conservare informazioni idonee a
permettere indagini , al massimo puoi conservare informazioni idonee a
fornirti argomenti di difesa per cui eventuali log di "navigazione"
vanno conservati con un limite derivato dalle norme sui reati
informatici ma attenzione che se la loro raccolta non è stata
effettuata con i criteri imposti dalla 196 la loro conservazione è
estremamente pericolosa.
I programmi , sono affari tuoi , non sono dati personali e quindi sei
liberissimo di farci ciò che vuoi,salvo eventuali accordi di licenza.
Comunque ricordati che non è tuo obbligo favorire indagini per cui non
devi ragionare nel definire i tempi in funzione di possibili domande da
parte di eventuali inquirenti, devi meditare verso la tua difesa e
spesso non avere dati è la migliore, sopra tutto visto il tenore
culturale e scientifico di molti pseudo periti.
certo la tua domanda mi sconvolge perchè dimostra che il sistema 196 non
è mai stato attivato perchè se lo fosse stato i tempi sarebbero gia
stati definiti visto che stai parlando di fine attività. Se invece si in
fase di inizio attività allora complimenti , finalmente uno che si pone
nei confronti della 196 in modo corretto.
Rino
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
