Re: Documento programmatico: un dubbio

>Salve
>         parlavo l'altro giorno con un soggetto che sosteneva la
>seguente posizione (premessa: si discuteva dei dati di un'azienda,
>di cui avevamo studiato la natura, per determinare se fossero
>personali, sensibli, su server in rete, ecc): che i dati direttamente
>o indirettamente, vedi definizione di dato personale all'inizio della
>675/96, presenti sulle macchine dell'amministrazione dell'azienda in
>questione fossero` si` dati innegablimente sensibili (immaginate le
>solite cose: informazioni su persone che sono state in malattia,
>maternita`, cose del genere) *ma non obbligassero alla redazione del
>documento programmatico sulla sicurezza*, in quanto dovrebbe esistere
>(riporto le parole testuali del soggetto) ``un documento del Garante a
>riguardo, che indica che se il trattamento e` svolto per fini
>amministrativi (ad esempio per fare le buste paga), allora si e`
>esentati''

La redazione ed aggiornamento del DPS è previsto, come indicato nella
Sezione II del DPR 318/99, per il trattamento dei dati _personali_ effettuato
mediante elaboratori accessibili in rete.
Allo stato delle mie conoscenze, non mi risulta un documento simile emanato
dall'autorità garante, anche perchè un semplice documento non avrebbe
la forza di modificare o integrare un testo di legge.
Soprattutto nel caso di dati sensibili, poi, la faccenda mi sembra ancora più
improbabile.
Se si trattano dei dati per fatturazione, anzi, bisognerebbe far si che gli 
addetti
alla fatturazione avessero accesso solo ai dati necessari per la compilazione
della fattura stessa. Che poi siano o meno malati di AIDS credo che al reparto
contabilità non gliene possa fregare di meno.

>aggiungendo anche ``perche` se no, tutte le ditte avrebbero dati
>sensibili e tutte avrebbero da applicare il DPS''

Mica vero...perchè tutte avrebbero dati sensibili?
Hanno probabilmente tutte dati personali, e allora anche in questo caso,
se il trattamento avviene con gli elaboratori su descritti, devono dotarsi di
DPS.

>orbene, io la sapevo esattamente opposta, ovvero, che quasi tutte le
>aziende, indirettamente o meno si trovano ad avere dati sensibili
>di qualche tipo (magari sono solo le indicazioni delle trattenute
>sindacali, per esempio) e quindi un problema, se cosi` vogliamo dire,
>della legge, era proprio questo suo coprire un numero eccessivo di casi,
>e costringere un numero eccessivamente alto di soggetti ad intraprendere
>misure bizzarre come ``aggiornare ogni sei mesi le librerie di sistema''

E' l'antivirus quello che va aggiornato una volta ogni sei mesi :-)

>io ho fatto delle ricerche e non ho trovato nulla a supporto delle tesi
>di cui sopra
>
>o per meglio dire, sul sito del Garante ho trovato questo:
>
>http://www.garanteprivacy.it/garante/frontdoor/1,1003,,00.html?LANG=1
>
>che potrebbe lasciare intedere, ad una lettura inesperta, che le
>``autorizzazioni generali'' siano anche un'autorizzazione a trattare
>i dati come se non fossero sensibili, ma mi sembra una vaccata [1]

Uhm...a quel link non ho trovato nulla, ma mi sembra molto strano
quello che mi dici.
Posso dirti soltanto che, all'art. 8 del D. L.vo 467/01, è contenuta una
norma per cui, previa autorizzazione dell'Autorità Garante, le associazioni
o gli altri organismi senza scopo di lucro operanti per finalità religiose,
filosofiche, politiche o sindacali possono trattare i dati _personali_
anche senza il consenso degli interessati.
Le suddette associazioni devono comunque offrire delle garanzie adeguate
e la liceità della finalità del trattamento.

>quindi delle due l'una, o il soggetto in questione ha preso una gran
>cantonata (e incidentalmente ha raccontato una balla clamorosa al
>suo precednete cliente, ma sono fatti suoi) oppure c'e` qualche
>altro arcano che mi sfugge
>
>a voi che risulta ? secondo me un'azienda che, nei suoi uffici
>amministrativi ha dati sensibili, se tiene suddetti dati su macchine in
>rete, deve compilare il DPS e non ci sono santi che tengano, siano i
>dati ``tanti'' o ``pochi'' ... confermate ?

IMHO deve compilare il DPS e non ci sono santi.
Nella multiformità del diritto, comunque, sarò ben lieto se qualche altro
giurista iscritto alla lista vorrà argomentare in maniera opposta alla mia :-)
Saluti

Briga 



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List