NOTA del 2018: questo articolo era di inizio 2016 e contiene errori
evidenti. Ha trovato risposte con la pubblicazione del GDPR.
Su LinkedIn, nel gruppo del Clusit, è stata sollevata la questione di un'azienda che fa monitoraggio della rete e configurazione degli apparati ed è stata nominata Responsabile Esterno da un cliente. Inoltre, il cliente ha deciso di "nominare" gli amministratori di sistema del fornitore.
Ho rabbrividito e ho risposto così:
1- Nella "nuova" Legge Privacy (Dlgs 196) il Titolare è stato definito in modo sottilmente diverso dalla "vecchia" 675/96. In particolare, nella nuova definizione, al Titolare "competono, anche unitamente ad altro titolare, le decisioni...". E' stato aggiunto "anche unitamente ad altro titolare". Articolo 1 lettera d della Legge 675/1996 e Articolo 4 lettera f del Dlgs 196/2003.
Io interpreto così: clienti e fornitori possono essere Titolari autonomi, una volta che si sono definite le finalità di ciascuno (nel caso in questione, "monitoraggio e configurazione della rete IT") e il profilo di sicurezza (dal semplice "rispetto della normativa privacy" ad una serie di procedure concordate tra le parti).
Purtroppo sembra che in pochi abbiano capito questo aspetto e si trascinano
dietro le interpretazioni pre-2003 e continuano a nominare Responsabili esterni i fornitori, che dovranno anche "subire" verifiche periodiche dal Titolare (Art. 29 comma 5), eccetera.
Qualche domanda sui Responsabili Esterni: io dovrei nominare Responsabile
esterno la mia banca? E il mio ISP (Wind)? E il mio gestore del telefono (Telecom)? E le Poste Italiane? Dovrei chiedere loro i nominativi degli AdS? Dovrò fare loro delle verifiche? A sua volta, il Responsabile esterno come può interfacciarsi con i propri fornitori?
Ancora: lo studio legale che ha dato quelle belle interpretazioni è stato nominato Responsabile Esterno? Permetterebbe al Titolare di fare "verifiche periodiche"? Gli ha dato il nominativo dei propri AdS (alla fine anche lo studio legale avrà un server o dei pc)?
E' ovvio che è un modello che non sta in piedi. Rimane solo una possibiltà
perché il tutto regga: il fornitore è un Titolare autonomo, che tratterà i dati solo per eseguire il contratto (finalità) e con misure di sicurezza concordate con il cliente (dal "solo" rispetto della normativa a cose più complesse).
Infine: nel Dlgs 196/2003 (ultima versione da consultarsi su www.normattiva.it), non si nomina MAI il "Responsabile esterno".
2- Anche se il fornitore fosse stato nominato Responsabile, il Titolare non deve avere a disposizione i nominativi degli AdS. Questo lo diceva il Provvedimento del 28 novembre del 2008. Poi modificato opportunamente il 25 giugno del 2009. Ora dice "il titolare o il responsabile del trattamento devono conservare i nominativi". E' stato incluso il responsabile (con una bella "o" tra lui e il Titolare), che lo dovrà mantere disponibile in caso di accertamenti.
Ma ancora una volta, sembra che non sia prassi tenersi aggiornati.
Nessun commento:
Posta un commento