Dopo il mio post con stesso titolo di qualche giorno fa (http://blog.cesaregallotti.it/2011/04/privacy-dei-titolari-e-dei-responsabili.html), Mauro Cicognini
(sempre sul forum Clusit di LinkedIn) concorda con me e mi conferma che non
sono solo a vederla così. Aggiunge che "l'unica complicazione è che
naturalmente tutti i Titolari devono essere riportati nell'informativa".
Io ho continuato nella riflessione come segue.
Nell'ipotesi che si abbiano responsabili e non titolari, anche questi devono
essere riportati sull'informativa. Ma tutti inseriscono solo "le categorie
di soggetti" a cui comunicano i dati, come previsto dal Codice.
Perché il modello regga, bisogna leggere le due parti della disgiuntiva del
punto d del comma 1 dell'articolo 13 come completamente separati. Tradotto:
nell'informativa devo includere "1- i soggetti o le categorie di soggetti ai
quali i dati personali possono essere comunicati; 2- i soggetti o le
categorie di soggetti che possono venirne a conoscenza in qualità di
responsabili o incaricati".
E' una forzatura? Certo. Ma anche nominare degli esterni come "Responsabili"
che poi a loro volta nomineranno dei "Responsabili" è una forzatura. Oppure
nominare degli esterni come "Responsabili" e non fargli mai le verifiche
periodiche è una forzatura (alla banca, per esempio). Oppure scrivere nome e
cognome di alcuni responsabili o co-titolari nell'informativa e non inviarla
ad ogni aggiornamento è una forzatura.
Forzare per forzare, scelgo di forzare utilizzando un modello coerente, in
linea con ogni prassi gestionale di processi e di sicurezza, in linea con
quanto previsto nel resto dell'Europa (dove la Direttiva 95/46/CE è
ovviamente applicata). E scelgo di non aggrapparmi ad un modello fuori da
ogni logica e comunque passibile di contestazione rispetto a quanto si legge
nel Codice.
Ci sarebbe da riflettere mestamente su tanti (troppi) professionisti che
seguono come buoi il primo che dice una fesseria: la custodia delle password
in busta chiusa per migliaia di persone da moltiplicare per decine di
sistemi, il DPS come cosa complessissima che ha richiesto anni di proroghe,
richieste di consenso inutili ancora in circolazione, eccetera.
La smetto qui. Ma se ci sono controdeduzioni da proporre, sarò contento di
pubblicarle (e di rispondere e di pubblicare le risposte e così via; fino a
che nel botta-risposta ci saranno cose intelligenti).
PS: La puntata successiva è su: http://blog.cesaregallotti.it/2011/06/privacy-dei-titolari-e-dei-responsabili.html
Nessun commento:
Posta un commento