La domanda che poni è estremamente interessante ed in un certo senso è alla base di alcuni provvedimenti emessi . Eviterò di essere polemico anche se , lasciamelo dire, l'uso di dati reali per eseguire test non è la via migliore, la più comoda forse, ma non certo la più idonea. I dati hanno una proprietà, l'interessato, vengono dati in prestito per delle finalità che sono dichiarate nell'informativa. I trattamenti effettuati devono essere strettamente correlati con le finalità dichiarate, queste ultime devono avere basi legittime.
Per cui se nell'informativa non è indicato l'uso dei dati in ambienti di test ovvero con finalità relative al collaudo di procedure informatiche non possono essere usati. In ogni caso tale finalità non essendo correlata con i motivi per cui uno fornisce i dati ( nello specifico contratto di fornitura di servizi bancari) tale evenienza deve sottostare a specifico consenso. Questo in primis. In secundis sorge il problema dei soggetti incaricati. Escludendo l'eventuale presenza di dati sensibili si tratta sia di dati che possono arrecare grave pregiudizio alle persone sia di dati coperti dal segreto bancario. Questo significa che è necessaria la massima diligenza e attenzione. Di fatto si entra nelle fattispecie di nomina dell'amministratore di sistema , non è quindi sufficiente la nomina orale ma vanno create specifiche procedure di nomina, controllo e sicurezza. In caso contrario i rischi sono notevoli. In conclusione , i dati non possono risiedere sui vs server perchè il titolare del trattamento non è in condizioni di darvi una simile autorizzazione , voi non avete estensione al segreto bancario e quindi non potete vedere le informazioni . Ma oltre ciò è bene sapere che trattare dati comporta pe ril fatto stesso di trattarli una responsabilità molto complessa , in sintesi si è colpevoli per il solo fatto di trattare dati (art.2050 cc). Questo significa che chiunque dei soggetti presenti sulle banche dati può accusarvi di aver arrecato loro dei danni. Non devono dimostrare altro ma solo il fatto che voi potevate avere i suoi dati. Il rischio è quindi elevatissimo , vale la pena correre tale rischio per dei test?. Mio consiglio è usare dati anonimi e anonimizzare una banca dati non è difficoltoso; se certificata , l'anomizzazione riduce di molto il rischio di danno. Attenzione dato anonimo non significa solo che metto un nome finto , a volte non è sufficiente cancellare il riferimento anagrafico. Spero di esserti stato utile. Rino ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
