Re: [ml] legge privacy 196/2003

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2004 ml@sikurezza.org
Soggetto: Re: [ml] legge privacy 196/2003
Mittente: Paolo Giardini
Data: Mon, 31 May 2004 23:52:10 +0200 (CEST)

Saro' telegrafico, e comunque vorrei sentire anche il parere di altri colleghi.

1) si ma deve comunque essere data l'informativa 2) -a- bella domanda, facendo riferimento al punto 12 dell'allegato b risponderei che non serve.. 2) -b- non esistono "certificazioni", semmai "autocertificazioni" :-) 2) -c- le misure minime sono una cosa indispensabile ma devi tenere presente gli "idonei strumenti" dell'allegato b 3) sono trattamenti in outsourcing

1) Fatta la presunzione che il CAPO III si possa riferire a persone giuridiche.

Nell'ambito di un'attività commerciale si può far ricadere il trattamento dei dati personali della clientela necessari per effettuare la fatturazione e per un rapporto commerciale continuativo nella fattispecie prevista dal articolo 24 comma "b" (dati necessari per eseguire obblighi contrattuali) e "c" (dati provenienti da pubblici registri, elenchi...ad esempio le pagine gialle)? Questa opzione eviterebbe alle aziende di dover richiedere il consenso alla totalità della clientela per il trattamento dei dati nell'ambito prescritto.
2)Misure minime di sicurezza:
a) Si prenda in considerazione il caso di azienda commerciale di piccole dimensioni in cui la divisione dei ruoli non è ben definita nel senso che la totalità dei dati viene comunque consultata da ogni dipendente in quanto direttamente interessato per le sue funzioni. In una realtà di questo tipo, fatto salvo il principio di autenticazione di ogni incaricato, sarà possibile evitare di implementare un sistema di autorizzazioni previsto dall'art 34 comma c in quanto privo di significato ? O si è obbligati per ottemperare alle misure minime ad inserire un ulteriore sistema di password che non verrà praticamente inutilizzato?

b) E' necessario che ci sia un ente esterno esterno che certifichi che il sistema informatico ottempera alle prescrizioni della legge in termini di misure minime di sicurezza o è sufficiente la descrizione fatta dal responsabile in data certa delle procedere atte ottemperare le prescrizioni dell'allegato tecnico? Sarà necessaria la certificazione nel caso si vogliano implementare misure idonee?

c) Le misure di sicurezza "minime" non sono da considerarsi più che idonee nel caso che i dati siano del tipo specificato nella mia prima domanda?

3) Se in azienda vi sono collaboratori esterni come rappresentanti plurimandatari o dipendenti a progetto che utilizzano un computer di loro proprietà con dati relativi alla clientela aziendale. Chi ha la responsabilità sui sistemi di sicurezza dei loro sistemi informatici? Loro in quanto professionisti che trattano i dati direttamente o l'azienda per cui agiscono?


--
Paolo Giardini
Studio Giardini Consulenza Informatica
cell. 337-652876 e-mail: pgiar@xxxxxxxxxxx
http://www.solution.it
Associato a:
Clusit - Associazione Italiana per la Sicurezza Informatica
A.I.P. - Associazione Informatici Professionisti
ITCS - Italian Computer Society

In risposta a:
- [ml] legge privacy 196/2003, Nicola Segato

Data:
- precedente: Re: [ml] DPsS: sede centrale e filiali!, Paolo Giardini
- indice

Argomento:
- precedente: Re: [ml] legge privacy 196/2003, Stefano Zanero
- successivo: [ml] spamc spamd e spamassassin, gcortese
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005