Il 18/02/2013 11.35, Matteo Sgalaberni ha scritto:
----- Original Message -----
cosa ne pensate? suggerimenti?
Nomina della società esterna come responsabile in outsorcing per la
gestione e manutenzione dei sistemi, conseguente nomina da parte
della
società esterna degli AdS e comunicazione dei nominativi al titolare.
Ciao Paolo e Gerardo,
avete colto nel segno...;) E' "usanza", cioè lo fanno in molti, nominare "responsabile"
qualcuno che ficca il naso nei dati di un titolare anche come "esterno", come nel mio esempio
citato.
Io sposo la tua linea di pensiero. A parte il fatto che "responsabile
esterno" non esiste, dico di piu': nominare responsabile del
trattamento un soggetto esterno non diluisce la responsabilita' su di
lui, ma la si aumenta su se' stessi. Infatti, nominando un soggetto
esterno come responsabile del trattamento, aumentano gli obblighi per
il titolare, in quanto dovra' vigilare sulla corretta attivita' del
responsabile, addirittura sobbarcandosi le responsabilita' di culpa in
eligendo e in vigilando. Credendo quindi di delegare, ha in realta'
aumentato la propria responsabilita'...
E' sottinteso che un soggetto, legato a noi con un qualsivoglia
contratto, che svolge per noi un'attività (fornitore di servizi), ma
con mezzi propri, e' comunque responsabile (non ex D.Lgs 196/03, ma ex
Codice Civile) dell'attivita' che svolge (e l'attivita' sui dati e'
equiparata all'esercizio di attivita' pericolose), senza peraltro che
sia necessaria alcuna nomina. E' sufficiente, a mio avviso, che nel
contratto con il soggetto esterno venga esplicitato che tale soggetto
deve ottemperare alla normativa vigente, che non può diffondere i
dati, ecc..., firmato per presa visione e accettazione.
Questo e' il "classicissimo" caso del commercialista che elabora le
buste paga dei dipendenti di varie aziende. Sarebbe ridicolo nominare
il commercialista "responsabile (esterno)": primo, perche' usa dei
mezzi suoi e con policy proprie; secondo, perche' nessun titolare
potrebbe mai vigilare sull'osservanza delle misure adottate dal
commercialista; terzo (motivazione meno giuridica), perche' potrebbe
avere due nomine contrastanti (un'azienda gli dice di fare cosi',
l'altra di fare il contrario). A meno che, un'azienda non dica: per
elaborare i dati dei miei dipendenti devi usare questi mezzi
configurati in questo modo e devono essere adoperati solo da questi
tuoi dipendenti. In questo caso, si', lo si nomina "responsabile del
trattamento", ma credo che sia una situazione irreale.
La nomina a responsabile implica che questo soggetto deve operare
secondo le direttive del titolare che lo nomina (ma un soggetto
esterno deve operare secondo le direttive proprie, non di un altro
soggetto!, a meno che non ci sia un accordo particolare), tranne casi
particolarissimi.
Ultima considerazione: concordo con chi dice che e' assurdo far usare
allo sviluppatore i dati "reali". Tutto questo sarebbe risolvibile
banalmente se lo sviluppatore lavorasse su dati "fake"...
Rosario
Vorrei soffermarmi quindi sulla figura del "responsabile", perchè o non mi è
chiara o secondo me è utilizzata in genere in maniera impropria.
Discutendo con un collega sulla effettiva correttezza di questa pratica, ne sono emersi dei dubbi.
Un "responsabile" come dice la norma deve avere requisiti e "poteri"
all'interno del trattamento di questo dato. Deve quindi avere la facoltà di potere decidere se
qualcosa nel trattamento non è idoneo e deve essere migliorato.
Se la società A incarica B, solo per accedere ad un sistema (intranet aziendale e
sviluppo di qualche software che agisce su questi dati), il soggetto B non è responsabile
di nulla. Non sa come il dato lo tratta A e quali sono le misure per la sicurezza, e non
ha nemmeno il "potere" per potere imporre ad A che è il titolare di fare
determinate attività per incrementare la sicurezza o addirittura inibire l'utilizzo dei
dati in caso di evidenti carenze.
Una nomina di quel tipo sposterebbe le responsabilità civili e penali, sanzioni, etc...
sul "responsabile" e solleverebbero da ogni responsabilità il titolare, dico
bene?
Dal punto di vista di A, nominare B come responsabile è un bello scarico di
responsabilità...quindi A è "tranquillo"
Dal punto di vista di B, non è il caso farsi nominare come responsabile perchè
di fatto B non ha nessuna responsabilità
Trovo quindi che la nomina a responsabile in questi casi sia una forzatura per
tutelare il titolare... ma in realtà questi soggetti che accedono solo ai dati
con finalità legate agli obiettivi impartiti dal titolare non sono responsabili
di nulla... sono solo incaricati.
cosa ne pensate?
M.
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
