Gelpi Andrea ha scritto: in data 18/10/2011 08:20: > Il 17/10/11 10:33, rino lo turco ha scritto: >> La domanda che poni è estremamente interessante ed in un certo senso è >> alla base di alcuni provvedimenti emessi . >> Eviterò di essere polemico anche se , lasciamelo dire, l'uso di dati >> reali per eseguire test non è la via migliore, la più comoda forse, ma >> non certo la più idonea. > > Concordo, meglio sarebbe usare veri dati di test, non dati veri. > >> >> I dati hanno una proprietà, l'interessato, vengono dati in prestito per >> delle finalità che sono dichiarate nell'informativa. >> I trattamenti effettuati devono essere strettamente correlati con le >> finalità dichiarate, queste ultime devono avere basi legittime. >> >> Per cui se nell'informativa non è indicato l'uso dei dati in ambienti di >> test ovvero con finalità relative al collaudo di procedure >> informatiche non possono essere usati. >> In ogni caso tale finalità non essendo correlata con i motivi per cui >> uno fornisce i dati ( nello specifico contratto di fornitura di servizi >> bancari) tale evenienza deve sottostare a specifico consenso. >> Questo in primis. > > Anche qui concordo, ma, c'è un ma spiegato più oltre. > >> In secundis sorge il problema dei soggetti incaricati. >> Escludendo l'eventuale presenza di dati sensibili si tratta sia di dati >> che possono arrecare grave pregiudizio alle persone sia di dati coperti >> dal segreto bancario. >> Questo significa che è necessaria la massima diligenza e attenzione. >> Di fatto si entra nelle fattispecie di nomina dell'amministratore di >> sistema , non è quindi sufficiente la nomina orale ma vanno create >> specifiche procedure di nomina, controllo e sicurezza. >> In caso contrario i rischi sono notevoli. > > Anche qui mi sento di concordare, ma con lo stesso ma di prima. > >> >> In conclusione , i dati non possono risiedere sui vs server perchè il >> titolare del trattamento non è in condizioni di darvi una simile >> autorizzazione , voi non avete estensione al segreto bancario e quindi >> non potete vedere le informazioni . > > Se come ipotizzato non ci sono informazioni nell'informativa e non è > stato richiesto il consenso, e ecc... è vero. > > Tuttavia il titolare ha la facoltà di nominare chi fa sviluppo come > incaricato, anche se appartenente ad altra azienda, non mi risulta che > la legge ponga vincoli in questo senso, e può assoggettare questi > individui al segreto bancario, per cui l'unico adempimento rimane > l'informativa. Nell'informativa deve esserci la finalità di sviluppo > del software, che per inciso quasi tutti danno per scontato. > Così facendo è possibile sviluppare utilizzando dati di produzione, > cioè copie di dati veri. Il problema non è se il titolare ha o meno facoltà a nominare incaricati di trattamento , il problema è nel trattamento stesso e nelle finalità perseguite. Il contratto di rapporto tra banca e cliente non prevede , e mai lo potrebbe , una finalità legata solo ed esclusivamente al titolare del trattamento. Lo sviluppo di prodotti ai fini produttivi sono un fatto che non riguarda il cliente. Modificare l'informativa non è sufficiente perché l'informativa non è un atto giustificativo ma dichiarativo. In sintesi l'attività di sviluppo è un fatto privato del titolare che non coinvolge il cliente , se i dati servono per queste finalità allora è necessario un consenso esplicito scritto e libero. > >> Ma oltre ciò è bene sapere che trattare dati comporta pe ril fatto >> stesso di trattarli una responsabilità molto complessa , in sintesi si è >> colpevoli per il solo fatto di trattare dati (art.2050 cc). > > Non condivido. L'art. 2050cc ha effetto solo se chi tratta dati causa > danni all'interessato, per cui trattare dati non rende nessuno colpevoli. > e' una estremizzazione come accade per chi tratta ad esempio armi. Appena ne prendi una sai che qualunque cosa accada se sarai chiamato a rispondere , e che sarai visto inizialmente come colpevole , come responsabile dei fatti , stara a te poi dimostrare che non c'entri nulla. Dire quindi che si è colpevoli per il fatto di esistere è una chiara semplificazione che fa capire meglio il livello di rischio. Come dire vai in auto e ci puoi morire , cosi userai metodiche di tutela, cintura, prudenza etc. >> Questo significa che chiunque dei soggetti presenti sulle banche dati >> può accusarvi di aver arrecato loro dei danni. Non devono dimostrare >> altro ma solo il fatto che voi potevate avere i suoi dati. >> Il rischio è quindi elevatissimo , vale la pena correre tale rischio per >> dei test?. > > Questa proprio non l'ho mai sentita. > Tu Rino tratti i miei dati, ne sono sicuro, ne ho le prove, quindi ti > posso portare in tribunale e chiedere un risarcimento dati ex art. > 2050cc? Ma non scherziamo. e chi scherza lo puoi fare , poi non è detto che ti riesca di vincere. La grande differenza del 2050 e nella responsabilità introdotta con l'art 15 del codice che credo sia chiara . Questo sulla carta , e comunque vale quanto detto , attenzione, tanta attenzione. IL caso prospettato è un classico caso in cui i dati vanno a finire chissà dove e magari fra qualche anno troveremo in un cassetto i movimenti bancari di tizio e caio , magari dentro ad una pennetta . é realtà è già accaduto , purtroppo. La 196 vuole anche evitare simili cose e io sono d'accordo. > >> >> Mio consiglio è usare dati anonimi e anonimizzare una banca dati non è >> difficoltoso; se certificata , l'anomizzazione riduce di molto il >> rischio di danno. >> Attenzione dato anonimo non significa solo che metto un nome finto , a >> volte non è sufficiente cancellare il riferimento anagrafico. > > Verissimo. > > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
