On 02/18/2013 11:35 AM, Matteo Sgalaberni wrote: > Se la società A incarica B, solo per accedere ad un sistema (intranet > aziendale e sviluppo di qualche software che agisce su questi dati), > il soggetto B non è responsabile di nulla. Non sa come il dato lo > tratta A e quali sono le misure per la sicurezza, e non ha nemmeno il > "potere" per potere imporre ad A che è il titolare di fare > determinate attività per incrementare la sicurezza o addirittura > inibire l'utilizzo dei dati in caso di evidenti carenze. >
Dipende :) Se l'accesso è fatto da postazioni presso il titolare, hai certamente ragione. Se l'accesso avviene da postazioni del fornitore, allora perché gli addetti siano solo incaricati, il titolare dovrebbe poter dare loro indicazioni puntuali (e verificarle materialmente) sull'utilizzo delle postazioni di lavoro, dato che sono utilizzate per accedere ai dati personali: passowrd, antivirus ecc. Tutte cose che, essendo le postazioni del fornitore e non dell'addetto, sono abbastanza improbabili da fare senza coinvolgere il fornitore stesso, il quale ha l'autonomia ad esempio di gestire la sicurezza del dominio al quale gli addetti si autenticano, o di aggiornare gli antivirus più spesso che ogni sei mesi. Quindi di fatto diventa necessaria la nomina a responsabile. Peraltro, come ti è già stato detto, l'uso di dati reali in ambiente di sviluppo è sconsigliato dalle buone pratiche e quindi potrebbe facilmente essere considerato un trattamento improprio: fai vedere i dati personali a persone, gli sviluppatori, che non hanno realmente necessità di vederli. > Una nomina di quel tipo sposterebbe le responsabilità civili e > penali, sanzioni, etc... sul "responsabile" e solleverebbero da ogni > responsabilità il titolare, dico bene? Come ti è già stato detto, non è cosi. Al contrario, la normativa è stata fin dall'inizio pensata proprio per evitare questo tipo di scarico di responsabilità. ciao - Claudio -- Claudio Telmon [email protected] http://www.telmon.org ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
