Il 03/03/2013 22.57, Stefano Zanero ha scritto:
La violazione consiste in quanto segue:
La trattazione dei dati in mancanza di una nomina ? in s? una
violazione.
Quale articolo sarebbe violato e quale sanzione ? prevista?
Art. 30. Incaricati del trattamento
Quindi, secondo te, l'azienda A deve nominare tutti i dipendenti di B?
Quindi per ogni dipendente di B, esistono n nomine di A1...An titolari
del trattamento? Mai sentita una cosa del genere. Che cosa fa il
dipendente di B nel caso in cui Ai e Aj dicono cose contrastanti?
In violazione di questo articolo, si tratta di un trattamento illecito,
con tutte le conseguenze del caso.
Non e' cosi', a mio avviso (ricordati che siamo di fronte ad una
legge, non ad un teorema, quindi non essere categorico come sempre. La
verita' non ce l'abbiamo ne' io ne' te).
Innanzi tutto, l'art. 167 parla di trattamento illecito dei dati senza
specificare una categoria (titolare, responsabile, incaricato), quindi
il trattamento illecito non deriva da una mancata nomina. E' punibile
"chiunque", altrimenti sarebbe scritto "Il titolare o il responsabile
che procedono al trattamento di dati personali in violazione di quanto
disposto dagli artt. [...] sono puniti con la reclusione da [..] a
[..]". E tra gli articoli citati non ci sono quelli dal 28 al 30.
Oltre a cio', gli incaricati del trattamento operano "sotto la diretta
autorita' del titolare", quindi i dipendenti di B non possono essere
nominati incaricati da A. Solo B puo' nominare gli incaricati di B
(per quanto se ne puo' dedurre).
Inoltre, nel momento in cui nomini un soggetto esterno "reponsabile
del trattamento", implicitamente dichiari che esso non puo' avere un
"potere decisionale del tutto autonomo sulle finalita' e sulle
modalita' del trattamento, ivi compreso il profilo della sicurezza",
in quanto competono solo al titolare del trattamento. In effetti, un
soggetto esterno B, a meno di precise indicazioni contrattuali e salvo
casi particolari, operera' il trattamento dei dati di A usando proprie
modalita' e per questo non puo' essere definito "responsabile del
trattamento". Il responsabile puo' fornire solo "idonea garanzia del
pieno rispetto delle vigenti disposizioni", ma non ha alcun potere
decisionale sulle modalita'. Nella pratica (e nella realta'), B tratta
i dati di A con proprie modalita', quindi non e' responsabile del
trattamento (ma e' comunque "responsabile" nel senso di civilistico
del termine e pure punibile a norma della 196/03). E' invece
responsabile (del trattamento) la persona preposta all'interno di
un'unita' dell'azienda, ad esempio il capufficio dell'unita' "Risorse
umane". Se noti, in questo caso, la definizione dell'art. 29 calza
molto di piu' a pennello di quanto non lo faccia per un soggetto esterno.
Stiamo attenti che la scelta della parola "reponsabile" da parte del
legislatore, non ci deve trarre in inganno. E' sbagliato ritenere che
la nomina a reponsabile, limitatamente ad un certo trattamento, possa
trasferire la responsabilita' ad un altro soggetto. Il titolare,
nominando un soggetto esterno "responsabile del trattamento", aumenta
la propria responsabilita' in quanto deve dimostrare che il soggetto B
da lui scelto ha operato secondo precise modalita' e ha vigilato
affinche' B operasse nella maniera corretta, cosa, in pratica,
estremamente difficoltosa, in quanto B e' esterno ad A. Sarebbe un
suicidio nominare un responsabile del trattamento che opera con
modalita' proprie.
La legge prevede le condizioni PER POTER trattare i dati. E tali
condizioni sono che un titolare del trattamento incarichi delle persone
fisiche per trattarli, dandogli istruzioni. Opzionale e' solo la nomina
del responsabile.
Come ho detto sopra, non puoi nominare dipendenti di B come incaricati
del trattamento. Certo, puoi nominare responsabile del trattamento B,
ma a questo punto B deve operare secondo le direttive e le modalita'
di A, quindi con modalita' presumibilmente diverse da quelle che
normalmente B utilizza. Potrebbe essere nominato "responsabile esterno
del trattamento" quel soggetto che non opera con mezzi propri, ma con
i mezzi messi a disposizione dal titolare A. Ad esempio, A potrebbe
dire (contrattualmente) a B: "Caro B, i dati di cui sono titolare
devono essere trattati con questo server, con questi PC, tal quali
come sono configurati dal mio amministratore di sistema".
Quando si ha a che fare con una legge, si deve cercare di capire qual e' la
ratio.
Si', ma senza violarne la lettera, possibilmente.
E senza forzare una nomina che e' prevista per altri casi.
Perch? dovrei procedere ad una nomina che non muove di una virgola le
responsabilit? che stanno in capo al titolare e a CHIUNQUE tratti i dati,
indipendentemente dal ruolo di ciascuno?
Perche' la legge italiana non dice cosi'.
La legge italiana - ripeto - non e' un teorema, tant'e' che ci sono
sentenze che, basandosi sulla medesima legge, giungono a conclusioni
contrapposte (addirittura sulla medesima questione giuridica, pensa
alle sentenze di primo e secondo grado). Lavoriamo in un terreno in
cui vige l'interpretazione e non puoi usare argomentazioni
scientifiche ed ingegneristiche sul Diritto.
Direi che abbiamo stufato piu' che abbastanza questa ML. Sono
disponibile a continuare in privato, se lo ritieni opportuno.
Rosario Russo
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
