Documento programmatico: un dubbio

Salve
        parlavo l'altro giorno con un soggetto che sosteneva la
seguente posizione (premessa: si discuteva dei dati di un'azienda,
di cui avevamo studiato la natura, per determinare se fossero
personali, sensibli, su server in rete, ecc): che i dati direttamente
o indirettamente, vedi definizione di dato personale all'inizio della
675/96, presenti sulle macchine dell'amministrazione dell'azienda in
questione fossero` si` dati innegablimente sensibili (immaginate le 
solite cose: informazioni su persone che sono state in malattia, 
maternita`, cose del genere) *ma non obbligassero alla redazione del 
documento programmatico sulla sicurezza*, in quanto dovrebbe esistere 
(riporto le parole testuali del soggetto) ``un documento del Garante a 
riguardo, che indica che se il trattamento e` svolto per fini 
amministrativi (ad esempio per fare le buste paga), allora si e` 
esentati''

aggiungendo anche ``perche` se no, tutte le ditte avrebbero dati
sensibili e tutte avrebbero da applicare il DPS''

orbene, io la sapevo esattamente opposta, ovvero, che quasi tutte le
aziende, indirettamente o meno si trovano ad avere dati sensibili
di qualche tipo (magari sono solo le indicazioni delle trattenute
sindacali, per esempio) e quindi un problema, se cosi` vogliamo dire,
della legge, era proprio questo suo coprire un numero eccessivo di casi,
e costringere un numero eccessivamente alto di soggetti ad intraprendere
misure bizzarre come ``aggiornare ogni sei mesi le librerie di sistema''

io ho fatto delle ricerche e non ho trovato nulla a supporto delle tesi
di cui sopra

o per meglio dire, sul sito del Garante ho trovato questo:

http://www.garanteprivacy.it/garante/frontdoor/1,1003,,00.html?LANG=1

che potrebbe lasciare intedere, ad una lettura inesperta, che le
``autorizzazioni generali'' siano anche un'autorizzazione a trattare
i dati come se non fossero sensibili, ma mi sembra una vaccata [1]

quindi delle due l'una, o il soggetto in questione ha preso una gran
cantonata (e incidentalmente ha raccontato una balla clamorosa al
suo precednete cliente, ma sono fatti suoi) oppure c'e` qualche
altro arcano che mi sfugge

a voi che risulta ? secondo me un'azienda che, nei suoi uffici
amministrativi ha dati sensibili, se tiene suddetti dati su macchine in
rete, deve compilare il DPS e non ci sono santi che tengano, siano i
dati ``tanti'' o ``pochi'' ... confermate ?

[1] INSUL (io non sono un legale), per cui magari mi sbaglio e vuol
dire proprio quello, ma mi sembrerebbe strano

-- 
 .*.                            finelli
 /V\
(/ \) --------------------------------------------------------------
(   )       Linux: Friends dont let friends use Piccolosoffice
^^-^^ --------------------------------------------------------------

Star Wars is adolescent nonsense; Close Encounters is obscurantist drivel;
Star Trek can turn your brains to puree of bat guano; and the greatest
science fiction series of all time is Doctor Who!  And I'll take you all
on, one-by-one or all in a bunch to back it up!
		-- Harlan Ellison

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List