Il 17/10/11 10:33, rino lo turco ha scritto:
La domanda che poni è estremamente interessante ed in un certo senso è
alla base di alcuni provvedimenti emessi .
Eviterò di essere polemico anche se , lasciamelo dire, l'uso di dati
reali per eseguire test non è la via migliore, la più comoda forse, ma
non certo la più idonea.
Concordo, meglio sarebbe usare veri dati di test, non dati veri.
I dati hanno una proprietà, l'interessato, vengono dati in prestito per
delle finalità che sono dichiarate nell'informativa.
I trattamenti effettuati devono essere strettamente correlati con le
finalità dichiarate, queste ultime devono avere basi legittime.
Per cui se nell'informativa non è indicato l'uso dei dati in ambienti di
test ovvero con finalità relative al collaudo di procedure
informatiche non possono essere usati.
In ogni caso tale finalità non essendo correlata con i motivi per cui
uno fornisce i dati ( nello specifico contratto di fornitura di servizi
bancari) tale evenienza deve sottostare a specifico consenso.
Questo in primis.
Anche qui concordo, ma, c'è un ma spiegato più oltre.
In secundis sorge il problema dei soggetti incaricati.
Escludendo l'eventuale presenza di dati sensibili si tratta sia di dati
che possono arrecare grave pregiudizio alle persone sia di dati coperti
dal segreto bancario.
Questo significa che è necessaria la massima diligenza e attenzione.
Di fatto si entra nelle fattispecie di nomina dell'amministratore di
sistema , non è quindi sufficiente la nomina orale ma vanno create
specifiche procedure di nomina, controllo e sicurezza.
In caso contrario i rischi sono notevoli.
Anche qui mi sento di concordare, ma con lo stesso ma di prima.
In conclusione , i dati non possono risiedere sui vs server perchè il
titolare del trattamento non è in condizioni di darvi una simile
autorizzazione , voi non avete estensione al segreto bancario e quindi
non potete vedere le informazioni .
Se come ipotizzato non ci sono informazioni nell'informativa e non è
stato richiesto il consenso, e ecc... è vero.
Tuttavia il titolare ha la facoltà di nominare chi fa sviluppo come
incaricato, anche se appartenente ad altra azienda, non mi risulta che
la legge ponga vincoli in questo senso, e può assoggettare questi
individui al segreto bancario, per cui l'unico adempimento rimane
l'informativa. Nell'informativa deve esserci la finalità di sviluppo del
software, che per inciso quasi tutti danno per scontato.
Così facendo è possibile sviluppare utilizzando dati di produzione, cioè
copie di dati veri.
Ma oltre ciò è bene sapere che trattare dati comporta pe ril fatto
stesso di trattarli una responsabilità molto complessa , in sintesi si è
colpevoli per il solo fatto di trattare dati (art.2050 cc).
Non condivido. L'art. 2050cc ha effetto solo se chi tratta dati causa
danni all'interessato, per cui trattare dati non rende nessuno colpevoli.
Questo significa che chiunque dei soggetti presenti sulle banche dati
può accusarvi di aver arrecato loro dei danni. Non devono dimostrare
altro ma solo il fatto che voi potevate avere i suoi dati.
Il rischio è quindi elevatissimo , vale la pena correre tale rischio per
dei test?.
Questa proprio non l'ho mai sentita.
Tu Rino tratti i miei dati, ne sono sicuro, ne ho le prove, quindi ti
posso portare in tribunale e chiedere un risarcimento dati ex art.
2050cc? Ma non scherziamo.
Mio consiglio è usare dati anonimi e anonimizzare una banca dati non è
difficoltoso; se certificata , l'anomizzazione riduce di molto il
rischio di danno.
Attenzione dato anonimo non significa solo che metto un nome finto , a
volte non è sufficiente cancellare il riferimento anagrafico.
Verissimo.
--
ing. Andrea Gelpi
***************************************************
La Terra non la abbiamo ereditata dai nostri avi,
ma la abbiamo presa in prestito dai nostri bambini.
***************************************************
We do not inherit the Earth from our parents,
but borrow it from our children.
***************************************************
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
