Il 04/03/2013 12.20, Pierluigi Perri ha scritto:
[email protected] ha scritto:
L'interessato deve sapere sempre e comunque chi possa aver trattato i suoi dati, al fine di comprendere dove vi possa essere stata violazione.
Infatti, l'informativa deve contemplare correttamente tutti i trattamenti e le finalita'. Su questo non ci piove.
Un trattamento che venga effettuato da soggetti non correttamente nominati, infatti, non consentirebbe neanche di stilare una corretta informativa e di rispondere alle richieste dell'interessato.
Perche' non riuscirei? Io so che ho affidato esternamente i miei dati a B,C e D (che li trattano con modalita' garantite da loro stessi), ma non li ho nominati "responsabili del trattamento". Nel caso in cui C, ad es, diffondesse o trattasse illecitamente i dati, e' passibile di sanzione ex. art. 167. Essendo comunque sanzionato, continuo a non capire perche' sia obbligatoria una nomina che di per se' e' facoltativa. Infatti, non mi risulta che la nomina (opzionale per legge) diventi automaticamente obbligatoria nel caso in cui il trattamento sia effettuato all'esterno...
Ciò detto, la nomina a responsabile esterno è pratica comune e nota anche presso il Garante.
In effetti, ci sono dei casi in cui la nomina del responsabile esterno deve essere fatta, e cioe' quando il responsabile e' "costretto" contrattualmente ad usare modalita' non proprie. Infatti, a stretto rigore, e' solo il titolare del trattamento che ha questa facolta'. Il responsabile NON puo' agire come gli pare. Dalla lettura dell'art. 29 non mi pare emerga questa eventualita', cosa invece ben prevista e chiara per il titolare.
Che poi questa sia una pratica comune presso il Garante, non mi e' sufficiente a dire che sia anche corretta.
> Diverse aziende
che erogano servizi informatici, infatti, adottano standard diversi di sicurezza a seconda del cliente (con il caveat di Claudio che più sei piccolo più ti prendi quello che passa il convento senza discutere, più sei grande e più puoi chiedere quello che ti pare).
In questo caso, la nomina a responsabile del trattamento e' giusta (ma _solo_ se e' il cliente titolare dei dati a spiegare *come* li vuole trattati). La vedo superflua, invece, nel caso in cui il presunto responsabile esterno continui ad usare modalita' proprie. E' di questa eventualita' che sto discutendo, ma forse stiamo parlando di complessita' diverse.
Ciao, Rosario ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
