Da Matteo Sgalaberni >Inviato: venerdì 15 febbraio 2013 19:34
>Ipotizziamo che una società (il titolare dei dati) (A) da in sviluppo e >manutenzione un software ad un'altra società (B) e da l'accesso al database >dove ci sono dei dati personali. ***Ciao Matteo, ipotizzando che lo sviluppo non si faccia con dati di produzione, bensì con dati anonimizzati, il tema riguarda nel caso di specie la manutenzione/gestione/operation. In questo caso, se ho compreso bene l'esempio, si parla di outsourcing o di un fornitore che accede ai ns sistemi per "gestire" software + dati. >Non è corretto che la società B sia nominata responsabile al trattamento in >quanto non è responsabile di questi dati realmente, ma viene a contatto con >questi dati solo incidentalmente per lo sviluppo del >software o per eventuali >verifiche applicative. ***in effetti, qui non comprendo perché B non possa essere nominata come responsabile esterno. In effetti, se tutto è come indicato nell'esempio, gli incaricati sono in tutto o in parte addirittura amministratori di sistema, quindi si ricade nell'omonimo provvedimento del garante privacy, alla luce del "buco" normativo creato dalla abrogazione della norma del 1999 rispetto al nuovo testo unico privacy. Quindi, a mio avviso, si può fare la nomina come responsabile esterno + aderire al provvedimento sugli amministratori di sistema (Questo non vuol dire che non debba esistere la lista degli incaricati, ovviamente... ma la cosa è "mediata" dal responsabile.) Un caro saluto -- Gerardo Costabile www.costabile.net http://it.linkedin.com/in/costabile
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
