Non e' un problema di "sapere come il dato lo tratta A..." E' responsabile di come Lei stessa (quindi B) tratta i dati personali (se ci sono..) di cui A e' titolare (del trattamento). E' necessaria una nomina formale con specifici poteri e indicazione dei doveri. Per tutto cio' che riguarda la sicurezza B deve garantire (oltre alle minime..) quelle idonee e sarebbe bene prevedere il tutto a livello contrattuale per non avere sorprese in futuro (vedi provv del garante). E' un problema giuridico, che investe la particolare figura della responsabilita' per esercizio di attivita' pericolose ex art. 2050 (richiamato dall'art. 15 codice privacy). Segnalo sul punto alcuni importanti provvedimenti del Garante in parte mi pare gia' citati da Gerardo. Con la nomina a responsabile (sia tipica sia atipica) non si scarica mai tutta la responsabilita' sugli altri : la si distribuisce parzialmente ! E rimane sempre in capo al titolare la responsabilita' per culpa in vigilando e quindi un dovere giuridico di controllo e di verifica. Occhio a non nominare titolari di trattamento (correlato) - questo si per scaricare responsabilita' a terzi) colui che il garante e le norme indicano come tipico soggetto da nominare Responsabile del trattamento cd esterno.
Stefano Aterno Avvocato Patrocinante in Cassazione via Tibullo 11 Roma www.studioaterno.it Lead auditor ISO 27001 -----Original Message----- From: Matteo Sgalaberni <[email protected]> Sender: [email protected] Date: Mon, 18 Feb 2013 11:35:19 To: <[email protected]> Reply-To: [email protected] Subject: Re: [lex] nomina incaricato trattamento dl.196 ----- Original Message ----- > > cosa ne pensate? suggerimenti? > > > Nomina della società esterna come responsabile in outsorcing per la > gestione e manutenzione dei sistemi, conseguente nomina da parte > della > società esterna degli AdS e comunicazione dei nominativi al titolare. Ciao Paolo e Gerardo, avete colto nel segno...;) E' "usanza", cioè lo fanno in molti, nominare "responsabile" qualcuno che ficca il naso nei dati di un titolare anche come "esterno", come nel mio esempio citato. Vorrei soffermarmi quindi sulla figura del "responsabile", perchè o non mi è chiara o secondo me è utilizzata in genere in maniera impropria. Discutendo con un collega sulla effettiva correttezza di questa pratica, ne sono emersi dei dubbi. Un "responsabile" come dice la norma deve avere requisiti e "poteri" all'interno del trattamento di questo dato. Deve quindi avere la facoltà di potere decidere se qualcosa nel trattamento non è idoneo e deve essere migliorato. Se la società A incarica B, solo per accedere ad un sistema (intranet aziendale e sviluppo di qualche software che agisce su questi dati), il soggetto B non è responsabile di nulla. Non sa come il dato lo tratta A e quali sono le misure per la sicurezza, e non ha nemmeno il "potere" per potere imporre ad A che è il titolare di fare determinate attività per incrementare la sicurezza o addirittura inibire l'utilizzo dei dati in caso di evidenti carenze. Una nomina di quel tipo sposterebbe le responsabilità civili e penali, sanzioni, etc... sul "responsabile" e solleverebbero da ogni responsabilità il titolare, dico bene? Dal punto di vista di A, nominare B come responsabile è un bello scarico di responsabilità...quindi A è "tranquillo" Dal punto di vista di B, non è il caso farsi nominare come responsabile perchè di fatto B non ha nessuna responsabilità Trovo quindi che la nomina a responsabile in questi casi sia una forzatura per tutelare il titolare... ma in realtà questi soggetti che accedono solo ai dati con finalità legate agli obiettivi impartiti dal titolare non sono responsabili di nulla... sono solo incaricati. cosa ne pensate? M.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
