Discussione:
webmaster responsabile dati sensibili
(troppo vecchio per rispondere)
luisa
2006-07-26 09:51:01 UTC
Permalink
seguo l'aggiornamento di un sito, è un lavoro semplice da 600 euro l'anno

il problema è che oggi mi scrivono con in allegato la nomina di responsabile
del trattamento dei dati per un servizio in outsourcing

mi dicono che dato che seguo io il sito e quindi l'accesso al db ecc. sono
praticamente obbligati a nominarmi tale e cmq nella nomina è presente una
clausola
"Resta fermo che il trattamento dei dati è fatto anche direttamente dallo
scrivente, TITOLARE, e per lo stesso provvederà all'osservanza di tutti gli
obblighi di legge con esonero dei RESPONSABILI da ogni sorta di
responsabilità"

mi chiedo io però:

1) non potrei essere nominata incaricata?
cito
"h) "incaricati", le persone fisiche autorizzate a compiere operazioni di
trattamento dal titolare o dal responsabile;"

2) dato che la sicurezza assoluta non esiste per 600 euro l'anno devo
rischiare queste sanzioni?
http://www.pianosicurezza.it/?page=privacyinfo/sanzioni

3) può un responsabile non essere responsabile? a me sembra una clausola
nulla

4) dato che i dati servono solo per l'accesso con registraziuone ad una
sezione del sito e alla newsletter eliminando i dati sensibili dai dati
richiesti è obbligatori cmq un responsabile dei dati? le sanzioni sarebbero
sempre quelle?
quali dati potrebbero restare? la nazionalità è considerato un dato
sensibile?


grazie a chi mi risponderà
Claudio Baldan
2006-07-26 10:08:24 UTC
Permalink
Post by luisa
seguo l'aggiornamento di un sito, è un lavoro semplice da 600 euro l'anno
il problema è che oggi mi scrivono con in allegato la nomina di
responsabile del trattamento dei dati per un servizio in outsourcing
mi dicono che dato che seguo io il sito e quindi l'accesso al db ecc.
sono praticamente obbligati a nominarmi tale e cmq nella nomina è
presente una clausola
"Resta fermo che il trattamento dei dati è fatto anche direttamente
dallo scrivente, TITOLARE, e per lo stesso provvederà all'osservanza
di tutti gli obblighi di legge con esonero dei RESPONSABILI da ogni
sorta di responsabilità"
1) non potrei essere nominata incaricata?
consiglio: a quella cifra se lo possono scordare, IMHO, che tu possa
essere responsabile di checche' nei confronti della normativa sulla
privacy
Semmai ti fai nominare incaricata del trattamento, e fai specificare per
QUALE trattamento, e solo per quello, sei incaricata, ti fai inviare le
procedure che hanno individuato e definito come previsto dalla normativa
e se necessario ti fai fare pure della formazione su quelle procedure.
Ma di certo NON responsabile di qualcosa che NON HAI contribuito a
predisporre (cioe' quanto previsto col DPS e col resto dei requisiti)

Spesso a fare di questi casini sono i "consulenti" dei clienti. Ti senti
col tuo cliente e gli spieghi per benino che, nemmeno volendo (proprio
perche' tu segui una parte marginale di tutt l'iter dei dati, puoi
essere nominata quale responsabile di quel trattamento.

Gli spieghi poi come hai fatto qui in cosa tu puoi essere in qualche
modo coinvolta e basta.
Non prenderti responsabilita' che non puoi assumerti!
Claudio Baldan
2006-07-26 10:13:30 UTC
Permalink
Post by Claudio Baldan
Gli spieghi poi come hai fatto qui in cosa tu puoi essere in qualche
modo coinvolta e basta.
Non prenderti responsabilita' che non puoi assumerti!
esperienza diretta con un paio di clienti: il loro consulente, convocato
due ore prima che scedessero i termini per mettersi in regola, ha
cominciato a nominare responsabili a destra e a manca...
Uno dei due, il cliente piu' importante che abbiamo, una volta chiarito
quale era il ns coinvolgimento non ha avuto alcuna difficolta' ad
annullare quella richiesta di nomina. Semplicemente aveva lasciato carta
bianca al consulente pensando di potersene infischiare di seguire tutto
l'ambaradan.
Sokar
2006-07-26 11:24:02 UTC
Permalink
Post by Claudio Baldan
Post by luisa
seguo l'aggiornamento di un sito, è un lavoro semplice da 600 euro l'anno
il problema è che oggi mi scrivono con in allegato la nomina di
responsabile del trattamento dei dati per un servizio in outsourcing
mi dicono che dato che seguo io il sito e quindi l'accesso al db ecc.
sono praticamente obbligati a nominarmi tale e cmq nella nomina è
presente una clausola
"Resta fermo che il trattamento dei dati è fatto anche direttamente
dallo scrivente, TITOLARE, e per lo stesso provvederà all'osservanza
di tutti gli obblighi di legge con esonero dei RESPONSABILI da ogni
sorta di responsabilità"
1) non potrei essere nominata incaricata?
consiglio: a quella cifra se lo possono scordare, IMHO, che tu possa
essere responsabile di checche' nei confronti della normativa sulla
privacy
Semmai ti fai nominare incaricata del trattamento, e fai specificare per
QUALE trattamento, e solo per quello, sei incaricata, ti fai inviare le
procedure che hanno individuato e definito come previsto dalla normativa
e se necessario ti fai fare pure della formazione su quelle procedure.
Ma di certo NON responsabile di qualcosa che NON HAI contribuito a
predisporre (cioe' quanto previsto col DPS e col resto dei requisiti)
CUT

Concordo.
Non c'è alcun motivo per nominarti responsabile del trattamento dei dati,
al limite incaricata.

MA SOPRATTUTTO!!!!

Nel caso accettasi un qualche ruolo HAI TUTTO IL DIRITTO di PRETENDERE un
consistente ritocco di quella cifra (non scendere sotto i 2500-3000 euro).

Prova a chiedere su it.diritto.internet

PS.
Non ti prendere responsabilità, piuttosto rinuncia... o hai una solida
assicurazione alle spalle, altrimenti rischi per loro comportamenti
scorretti e truffaldini di essere rovinata tu.

ciao
S.
Icestorm
2006-07-26 13:17:39 UTC
Permalink
Post by Sokar
Nel caso accettasi un qualche ruolo HAI TUTTO IL DIRITTO di PRETENDERE un
consistente ritocco di quella cifra (non scendere sotto i 2500-3000 euro).
Occhio, allo stesso modo la ditta, in caso di rifiute ad accettare
l'incarico, ha tutto il diritto di chiudere i ponti (se non accetti
l'incarico non puoi accedere ai dati e diventi quindi inutile).
Ovviamente sto parlando di un incarico semplice al trattamento dati, non
della nomina a responsabile.
Claudio Baldan
2006-07-26 13:28:41 UTC
Permalink
Post by Icestorm
Post by Sokar
Nel caso accettasi un qualche ruolo HAI TUTTO IL DIRITTO di
PRETENDERE un
consistente ritocco di quella cifra (non scendere sotto i 2500-3000 euro).
Occhio, allo stesso modo la ditta, in caso di rifiute ad accettare
l'incarico, ha tutto il diritto di chiudere i ponti (se non accetti
l'incarico non puoi accedere ai dati e diventi quindi inutile).
Ovviamente sto parlando di un incarico semplice al trattamento dati,
non della nomina a responsabile.
si vabbe'... se uno e' stronzo pero', avendo in mano i documenti che ha
a disposizione la ns amica, puo' benissimo fare un monte di danni a quel
cliente (potendone dimostrare l'assoluta inadeguatezza ai requisiti
della norma in essere)
Icestorm
2006-07-26 15:00:04 UTC
Permalink
Post by Claudio Baldan
Post by Icestorm
Post by Sokar
Nel caso accettasi un qualche ruolo HAI TUTTO IL DIRITTO di
PRETENDERE un
consistente ritocco di quella cifra (non scendere sotto i 2500-3000 euro).
Occhio, allo stesso modo la ditta, in caso di rifiute ad accettare
l'incarico, ha tutto il diritto di chiudere i ponti (se non accetti
l'incarico non puoi accedere ai dati e diventi quindi inutile).
Ovviamente sto parlando di un incarico semplice al trattamento dati,
non della nomina a responsabile.
si vabbe'... se uno e' stronzo pero',
Beh, mica tanto.
Guardala dal punto di vista dell'azienda. Tu hai un dipendente o
collaboratore che ha accesso ai dati. Devi nominarlo quindi incaricato e
questo rifiuta la nomina a questo punto non hai molta scelta, visto che il
suo rifiuto implica per forza che lui non possa più addere al database o gli
fai fare un altro lavoro (pulire le stanze?!?) o non hai che l'alternativa
di dirgli arrivederci e grazie.
Post by Claudio Baldan
avendo in mano i documenti che ha
a disposizione la ns amica, puo' benissimo fare un monte di danni a quel
cliente (potendone dimostrare l'assoluta inadeguatezza ai requisiti
della norma in essere)
Non per fare il dubbioso ma non ho visto nulla che indichi ciò (non mi pare
si sia parlato della mancanza di minure minime o idonee). Anzi, loro hanno
proposto subito la nomina come richiesto dalla legge, poi lei ha la facoltà
di rifiutare la nomina. Quello di cui si discuteva è sul fatto che debba
essere una nomina a responsabile o per incarico semplice.
Claudio Baldan
2006-07-26 15:11:01 UTC
Permalink
Post by Icestorm
Non per fare il dubbioso ma non ho visto nulla che indichi ciò (non mi
pare si sia parlato della mancanza di minure minime o idonee). Anzi,
loro hanno proposto subito la nomina come richiesto dalla legge, poi
lei ha la facoltà di rifiutare la nomina. Quello di cui si discuteva è
sul fatto che debba essere una nomina a responsabile o per incarico
semplice.
mi riferisco alla "stranezza" di nominare uno quale Responsabile quando
non si e' dimostrata la competenza tecnica e soprattutto non si capisce
secondo quale studio... intendevo questo (oggi sono piuttosto sullo
sbadato e sto anche litigando con le lenti a contatto quindi mi affido
ai tuoi riflessi e sagacia :-D)
Sokar
2006-07-26 23:53:21 UTC
Permalink
Post by Claudio Baldan
Post by Icestorm
Non per fare il dubbioso ma non ho visto nulla che indichi ciò (non mi
pare si sia parlato della mancanza di minure minime o idonee). Anzi,
loro hanno proposto subito la nomina come richiesto dalla legge, poi
lei ha la facoltà di rifiutare la nomina. Quello di cui si discuteva è
sul fatto che debba essere una nomina a responsabile o per incarico
semplice.
mi riferisco alla "stranezza" di nominare uno quale Responsabile quando
non si e' dimostrata la competenza tecnica e soprattutto non si capisce
secondo quale studio... intendevo questo (oggi sono piuttosto sullo
sbadato e sto anche litigando con le lenti a contatto quindi mi affido
ai tuoi riflessi e sagacia :-D)
Infatti, sono d'accordo con Claudio.
Non sta nè in cielo nè in terra che le si proponga la nomina a responsabile
del trattamento dei dati.
O ha capito male lei, o fanno i furbi loro.

S.
luisa
2006-07-26 14:04:16 UTC
Permalink
Post by Sokar
PS.
Non ti prendere responsabilità, piuttosto rinuncia... o hai una solida
assicurazione alle spalle, altrimenti rischi per loro comportamenti
scorretti e truffaldini di essere rovinata tu.
direi che posso essere sicura che non avranno comportamenti scorretti e
truffaldini sia per la serietà della persona, sia perchè credo che non
saprebbero nemmeno accederci ai dati, sia perchè non ne avrebbero nessun
motivo (non è una ditta ma un'associazione interculturale finanziata da un
comune)
il problema che mi faccio io non è le loro intenzioni ma un virus, trojan o
comportamento di qualche utente teso a trasfugare dati

oltretutto non mi sento memmeno responsabile della sicurezza in quanto sono
subentrata dopo e la parte di database è stata realizzata da un altra
persona

la soluzione che vedo migliore è eliminare cosamai l'accesso ristrettoa gli
utenti e lasciarlo libero a tutti e per la newsletter tenere solo l'email
che mi sembra di avere capito che non necessita di notifica al garante ecc.
(per le sanzioni così come si risolverebbe?)

al di là che poi so che sono controlli che non faranno mai perchè i primi a
non essere conformi alle regole sono i siti istituzionali ma con la fortuna
che ho mai dire mai
Icestorm
2006-07-26 15:14:02 UTC
Permalink
Post by luisa
direi che posso essere sicura che non avranno comportamenti scorretti e
truffaldini sia per la serietà della persona, sia perchè credo che non
saprebbero nemmeno accederci ai dati, sia perchè non ne avrebbero nessun
motivo (non è una ditta ma un'associazione interculturale finanziata da un
comune)
il problema che mi faccio io non è le loro intenzioni ma un virus, trojan o
comportamento di qualche utente teso a trasfugare dati
Questo è compito "congiunto" fra chi amministra il server e chi programma
gli applicativi che ci girano sopra.
Post by luisa
oltretutto non mi sento memmeno responsabile della sicurezza in quanto sono
subentrata dopo e la parte di database è stata realizzata da un altra
persona
Si ok, ma ora chi gestisce il database? Chi si occupa del server (inteso
come sysadmin)?
Post by luisa
la soluzione che vedo migliore è eliminare cosamai l'accesso ristrettoa gli
utenti e lasciarlo libero a tutti e per la newsletter tenere solo l'email
che mi sembra di avere capito che non necessita di notifica al garante ecc.
Tranquilla non serve alcuna notifica al garante a meno proprio che non
abbiate dati particolari (ad esempio genetici).
Post by luisa
al di là che poi so che sono controlli che non faranno mai
Veramente sono già partiti e sono già arrivate le prime sanzioni (caso
lampante di un'officina meccanica che si segnava i dati dei tagliandi di
tutti quelli che passavano per interventi per poi mandare in giro
informazioni commerciali non richieste per cercare di convincerli a fare il
tagliando da loro).
Post by luisa
perchè i primi a non essere conformi alle regole sono i siti istituzionali
ma con la fortuna
che ho mai dire mai
Effettivamente se ti occupi di un sito istituzionale stai pure tranquilla.
Sokar
2006-07-27 00:01:08 UTC
Permalink
Post by luisa
Post by Sokar
PS.
Non ti prendere responsabilità, piuttosto rinuncia... o hai una solida
assicurazione alle spalle, altrimenti rischi per loro comportamenti
scorretti e truffaldini di essere rovinata tu.
direi che posso essere sicura che non avranno comportamenti scorretti e
truffaldini sia per la serietà della persona, sia perchè credo che non
saprebbero nemmeno accederci ai dati, sia perchè non ne avrebbero nessun
motivo (non è una ditta ma un'associazione interculturale finanziata da un
comune)
il problema che mi faccio io non è le loro intenzioni ma un virus, trojan o
comportamento di qualche utente teso a trasfugare dati
come incaricata sei tenuta a rispettare con diligenza tutti i punti del
DPS. E la cosa finisce lì.
Post by luisa
oltretutto non mi sento memmeno responsabile della sicurezza in quanto sono
subentrata dopo e la parte di database è stata realizzata da un altra
persona
loro non possono autoesonerarsi dalla responsabilità, e il fatto che ti
abbiano proposto di firmare una cosa del genere, non esiste proprio. E
questa, per quanto tu possa avere una buona opinione di loro, è per me una
cosa strana, che mi metterebbe sul chivalà.
Post by luisa
la soluzione che vedo migliore è eliminare cosamai l'accesso ristrettoa gli
utenti e lasciarlo libero a tutti e per la newsletter tenere solo l'email
che mi sembra di avere capito che non necessita di notifica al garante ecc.
(per le sanzioni così come si risolverebbe?)
La notifica è obbligatoria esclusivamente per il trattamento di dati
sensibili, nel tuo caso direi di no (mi sembra che si trattino dati
personali e non sensibili)
Post by luisa
al di là che poi so che sono controlli che non faranno mai perchè i primi a
non essere conformi alle regole sono i siti istituzionali ma con la fortuna
che ho mai dire mai
su questo hai ragione.
Sarebbe sufficiente il discorso delle password da aggiornare ogni sei
mesi... già è molto se l'hanno messa la password per accedere al sistema
operativo.
Per non parlare di tutte le regole teoricamente da rispettare.
Siamo in Italia.

S.

Icestorm
2006-07-26 10:19:41 UTC
Permalink
Post by luisa
mi dicono che dato che seguo io il sito e quindi l'accesso al db ecc. sono
praticamente obbligati a nominarmi tale
Quasi vero.
Non è che siano proprio obbligati a nominarti responsabile, ma comunque
almeno come incaricata al trattamento dati si.
Post by luisa
e cmq nella nomina è presente una clausola
"Resta fermo che il trattamento dei dati è fatto anche direttamente dallo
scrivente, TITOLARE, e per lo stesso provvederà all'osservanza di tutti gli
obblighi di legge con esonero dei RESPONSABILI da ogni sorta di
responsabilità"
1) non potrei essere nominata incaricata?
cito
"h) "incaricati", le persone fisiche autorizzate a compiere operazioni di
trattamento dal titolare o dal responsabile;"
Infatti considerata la clausola di prima è meglio una lettera di incarico
normale.
Post by luisa
2) dato che la sicurezza assoluta non esiste per 600 euro l'anno devo
rischiare queste sanzioni?
http://www.pianosicurezza.it/?page=privacyinfo/sanzioni
Tu non rischi nulla, è sempre il titolare ad essere responsabile dei dati.
Il "responsabile" è colui che riceve l'incarico ad attivarsi per mettere in
piedi le necessarie misure di sicurezza, ma la vera "responsabilità" dei
dati rimane al titolare (a meno che il responsabile non dichiari di aver
fatto una cosa non vera).
Post by luisa
3) può un responsabile non essere responsabile? a me sembra una clausola
nulla
Infatti.
Post by luisa
4) dato che i dati servono solo per l'accesso con registraziuone ad una
sezione del sito e alla newsletter eliminando i dati sensibili dai dati
richiesti è obbligatori cmq un responsabile dei dati?
No, spesso in piccole situazioni il titolare e il responsabile sono la
stessa persona.
Post by luisa
le sanzioni sarebbero
sempre quelle?
quali dati potrebbero restare? la nazionalità è considerato un dato
sensibile?
Assolutamente no.
I dati sensibili sono quelli che riguardano dati sanitari (malattie,
allergie, esami clinici, problemi di salute vari, vaccinazioni, ecc...),
religiosi o giudiziari.
Tutto il resto sono dati "personali" (es: nazione, indirizzo, cell, tel,
fax, dati finanziari o quant'altro).
Continua a leggere su narkive:
Loading...