Re: DPS

"Daniele Minotti" wrote:

> ** Mi permetto di non essere d'accordo. Saro' eccessivamente *paranoico*,
ma
> l'art. 34 d.lgs. 196/2003 impone il DPS per i trattamenti con strumenti
> elettronici, indipendentemente dalla natura dei dati.
> Lo so, tra decreto e allegato B non c'e molta chiarezza, ma questa mi
sembra
> l'interpretazione quanto meno piu' prudente.

mi permetto anch'io di non essere d'accordo, non sono un esperto legale ma
se dobbiamo prendere alla lettera quanto sancito dall'art 34:
"il trattamento di dati personali effettuato con strumenti elettronici è
consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico
contenuto nell'allegato B, le seguenti misure minime......"
quindi per il trattattamento dei dati personali siano essi personali,
giudiziari o altro si adottano le misure minime nei modi (ripeto modi)
previsti dal disciplinare tecnico.
la regola 19 del D.T. recita "Entro il 31 marzo di ogni anno, il titolare di
un trattamento di dati sensibili o di dati giudiziari redige anche
attraverso il responsabile, se designato, un documento programmatico sulla
sicurezza...."

imho la chiave sta nei "modi" quindi le misure previste nel D.T. si
applicano per tutti i dati personali tranne che alla regola 19 e per le
"ulteriori misure di sicurezza" richieste esplicitamente per i soli dati
personali sensibili o giudiziari.

credo che in via cautelativa un organizzazione debba comunque predisporre un
DPS, sia per ovviare alle diverse interpretazioni che possono essere date al
codice sia per prevenire eventuali illeciti legati al trattamento di dati
sensibili o giudiziari (e anche qui non credo ci sia molta chiarezza
nell'interpretazione).

Saluti
burt


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List