Il 22/02/2013 18.35, Stefano Zanero ha scritto:
sia necessaria alcuna nomina. E' sufficiente, a mio avviso, che nel
contratto con il soggetto esterno venga esplicitato che tale soggetto
deve ottemperare alla normativa vigente, che non può diffondere i dati,
ecc..., firmato per presa visione e accettazione.
Questo equivale a riconoscere il soggetto terzo come un titolare di
trattamento dati autonomo, posizione su cui il Garante ha spesso tirato
le orecchie alle aziende come rammentava Gerry.
No, perche' se fosse un titolare autonomo dovrebbe informare
l'interessato ed eventualmente raccogliere il consenso. La nomina a
"responsabile" e' assolutamente inutile e controproducente. Essa
obbliga il titolare ad effettuare verifiche periodiche. Come puo'
farlo, se il soggetto terzo e' esterno alla struttura del titolare? Ma
soprattutto, come puo' il titolare imporre ad un soggetto terzo di
adottare specifiche misure di sicurezza? Al massimo, puo' informarsi
quali misure di sicurezza il terzo soggetto stia gia' adottando e
scegliere quale fornitore meglio corrisponde alle policy del titolare,
ma mai (se non per particolarissimi casi, in cui il titolare
*fornisce* anche le apparecchiature gia' preconfigurate al terzo
soggetto) imporre delle policy ad hoc.
Ripeto la domanda: che cosa darebbe di piu' la nomina a responsabile?
Quale tutela maggiore avrebbe l'interessato, sotto il profilo
giuridico, dato che la norma punisce "chiunque", anche i non "nominati"?
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
