----- Original Message ----- > > cosa ne pensate? suggerimenti? > > > Nomina della società esterna come responsabile in outsorcing per la > gestione e manutenzione dei sistemi, conseguente nomina da parte > della > società esterna degli AdS e comunicazione dei nominativi al titolare. Ciao Paolo e Gerardo,
avete colto nel segno...;) E' "usanza", cioè lo fanno in molti, nominare "responsabile" qualcuno che ficca il naso nei dati di un titolare anche come "esterno", come nel mio esempio citato. Vorrei soffermarmi quindi sulla figura del "responsabile", perchè o non mi è chiara o secondo me è utilizzata in genere in maniera impropria. Discutendo con un collega sulla effettiva correttezza di questa pratica, ne sono emersi dei dubbi. Un "responsabile" come dice la norma deve avere requisiti e "poteri" all'interno del trattamento di questo dato. Deve quindi avere la facoltà di potere decidere se qualcosa nel trattamento non è idoneo e deve essere migliorato. Se la società A incarica B, solo per accedere ad un sistema (intranet aziendale e sviluppo di qualche software che agisce su questi dati), il soggetto B non è responsabile di nulla. Non sa come il dato lo tratta A e quali sono le misure per la sicurezza, e non ha nemmeno il "potere" per potere imporre ad A che è il titolare di fare determinate attività per incrementare la sicurezza o addirittura inibire l'utilizzo dei dati in caso di evidenti carenze. Una nomina di quel tipo sposterebbe le responsabilità civili e penali, sanzioni, etc... sul "responsabile" e solleverebbero da ogni responsabilità il titolare, dico bene? Dal punto di vista di A, nominare B come responsabile è un bello scarico di responsabilità...quindi A è "tranquillo" Dal punto di vista di B, non è il caso farsi nominare come responsabile perchè di fatto B non ha nessuna responsabilità Trovo quindi che la nomina a responsabile in questi casi sia una forzatura per tutelare il titolare... ma in realtà questi soggetti che accedono solo ai dati con finalità legate agli obiettivi impartiti dal titolare non sono responsabili di nulla... sono solo incaricati. cosa ne pensate? M.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
