NOTA del 2018: questo articolo era di inizio 2016 e contiene errori
evidenti. Ha trovato risposte con la pubblicazione del GDPR.
Seguito del post http://blog.cesaregallotti.it/2011/04/privacy-dei-titolari-e-dei-responsabili_04.html
Fabrizio Bottacin mi ha inviato alcuni riferimenti a sentenze del Garante.
Io riassumo (e commento) come segue:
- il 2 giugno 1999 [doc. web n. 39857] il Garante ha stabilito che un fornitore dell'INPS dovesse essere nominato Responsabile esterno (commento di Cesare: non dice però che "ogni fornitore deve essere nominato Responsabile esterno")
- il 29 luglio 1998 [doc. web n. 31023] il Garante stabilisce che una struttura esterna ad un soggetto pubblico può essere nominata Responsabile o detenere la qualità di Titolare (commento di Cesare: si osservi che vigeva la Legge 675/1996)
- il 8 giugno 1999 [doc. web n. 42260] il Garante ha stabilito che le società fornitrici non possono essere nominate "incaricate esterne", ma "Responsabili" (commento Cesare: faccio notare che nulla viene detto sulla possibilità o impossibilità di autonoma titolarità)
Altre sentenze di interesse:
- Garante 7 luglio 1998: doc. web n. 40377
- Garante 24 gennaio 2003: doc. web n. 1067875
- Garante 23 marzo 1998: doc. web n. 40999
- Garante 10 giugno 2003: doc. web n. 1132569
Simone Tomirotti, avendomi segnalato il "Provvedimento banche" (doc. web n. 1813953), segnala la frase: "la posizione di Titolare del trattamento, pur astrattamente riconoscibile anche in capo all'outsourcer, risulta, tuttavia, ascrivibile solo alla banca nei casi in cui la stessa abbia il potere di:
1. assumere decisioni relative alle finalità del trattamento;
2. impartire istruzioni e direttive vincolanti nei confronti delle società di gestione dei sistemi informativi, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;
3. svolgere funzioni di controllo rispetto all'operato delle medesime e degli incaricati delle stesse."
Ho avuto modo di leggere una noticina (quindi da non considerare come definitiva) di AbiLab che traduce così "E' stata confermata la possibilità di qualificare l'outsourcer, sia esso interno od esterno al gruppo bancario, quale autonomo titolare del trattamento qualora i poteri riconosciuti dal Codice della Privacy al titolare del trattamento risultino *in concreto* in capo all'outsourcer e non alla banca."
Ringrazio Fabrizio e Simone per il contributo.
PS: le riflessioni continuano nella "Parte 4":
http://blog.cesaregallotti.it/2011/07/privacy-dei-titolari-e-dei-responsabili.html
Nessun commento:
Posta un commento