Re: [ml] legge privacy 196/2003

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2004 ml@sikurezza.org
Soggetto: Re: [ml] legge privacy 196/2003
Mittente: Stefano Zanero
Data: Mon, 31 May 2004 22:02:35 +0200 (CEST)

Nicola Segato wrote:

Nell'ambito di un'attività commerciale si può far ricadere il
trattamento dei dati personali della clientela necessari per
effettuare la fatturazione


Questi si'

e per  un  rapporto commerciale continuativo nella fattispecie
prevista dal


Questi non e' mica detto.

articolo 24 comma "b" (dati necessari per eseguire obblighi
contrattuali) e


Questo ok...

"c" (dati provenienti da pubblici registri, elenchi...ad esempio le
pagine gialle)?


Solo per cio' per cui essi sono previsti. I.E. i dati delle pagine
gialle per cercare un'azienda, ma non per fare mailing.

Questa opzione eviterebbe alle aziende di dover richiedere il
consenso alla totalità della clientela per il trattamento dei dati
nell'ambito prescritto.


Per un certo insieme di trattamenti, si'. Per altri no.

In una realtà di questo tipo, fatto salvo il principio di autenticazione di ogni incaricato, sarà possibile evitare di implementare un sistema di autorizzazioni previsto dall'art 34 comma c in quanto privo di significato ?


Ce lo metti lo stesso il sistema di autorizzazione, che ha un singolo
profilo con accesso a tutto. Sempre che questa sia VERAMENTE la
valutazione corretta, ti invito a ripensarla perche' in genere non lo e'...

O si è obbligati per ottemperare alle misure minime ad inserire un
ulteriore sistema di password che non verrà praticamente
inutilizzato?


Il sistema di autorizzazione e', appunto, un sistema di autorizzazione.
Un ulteriore sistema di password sarebbe un sistema di autenticazione,
che non e' richiesto da nessuno.

b) E' necessario che ci sia un ente esterno esterno che certifichi
che il sistema


No. L'installatore provvede a certificare il suo lavoro.

misure minime di sicurezza o è sufficiente la descrizione fatta dal responsabile in data certa


Non serve alcuna data certa.

prescrizioni dell'allegato tecnico? Sarà necessaria la certificazione
 nel caso si vogliano implementare misure idonee?

Le misure idonee si DEVONO implementare. La legge lo IMPONE. Le misure MINIME hanno rilevanza penale, ma l'obbligo e' ad adottare misure IDONEE.

c) Le misure di sicurezza "minime" non sono da considerarsi più che idonee

Non saprei, bisogna vedere il caso specifico, ma in generale no, non lo sono.

3) Se in azienda vi sono collaboratori esterni come rappresentanti
plurimandatari o dipendenti a progetto che utilizzano un computer di
loro proprietà con dati relativi alla clientela aziendale. Chi ha la
responsabilità sui sistemi di sicurezza dei loro sistemi informatici?
Loro in quanto professionisti che trattano i dati direttamente o
l'azienda per cui agiscono?

Dipende. Chi decide cosa fanno dei dati, come gestiscono i sistemi e qual e' la politica di sicurezza ?

--
Cordiali saluti,
Ing. Stefano Zanero
---------------------------
Secure Network S.r.l.
www.securenetwork.it

In risposta a:
- [ml] legge privacy 196/2003, Nicola Segato

Data:
- precedente: RE: [ml] Informazioni su certificazione Cisco, marco misitano
- successivo: Re: [ml] Informazioni su certificazione Cisco, Paolo Giardini
- indice

Argomento:
- precedente: [ml] legge privacy 196/2003, Nicola Segato
- successivo: Re: [ml] legge privacy 196/2003, Paolo Giardini
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005