Lacune normative non aiutano. Il Regolamento Ue in vigore dal 2018 aiutera' in minima parte su alcuni dei punti da te esposti. Ciao Stefano
Avv. Stefano Aterno Certificato ISO/IEC 27001 LA Docente di diritto penale dell'informatica VIA F. CESI, 72 / 00193 ROMA tel.06 32609427 /fax 0656561190 www.studioaterno.it Le informazioni trasmesse sono da intendersi di esclusiva spettanza dell'effettivo destinatario. Nel caso in cui le stesse raggiungessero, per qualunque motivo, soggetti non interessati, questi ultimi vorranno darne immediata notizia al mittente. Le violazioni saranno perseguibili ai sensi di legge. Il giorno 17 feb 2017, alle ore 22:39, Andrea Canesi <[email protected]> ha scritto: > Saluti a tutti, ho un quesito che spero interessante per qualcuno di voi. > > Mi sto occupando della formazione di più di un centinaio di docenti liguri > che intendono adottare nelle scuole una serie di servizi cloud (nello > specifico G Suite for Education) e una delle domande ricorrenti è se sia > possibile trattare dati sensibili con tale mezzo (ad esempio dati che > riguardano alunni disabili o con bisogni educativi specifici). Non intendo > discutere nello specifico della suite di Google e delle sue norme sulla > privacy, ma più in generale del fatto che, quando si ha a che fare con IaaS, > SaaS, PaaS, etc. è praticamente impossibile nominare un incaricato del > trattamento esterno dei dati che, per quanto ne so, è ancora un obbligo (Io > con Google ci ho provato in più modi, ma al massimo ho ottenuto qualche > risata...). L'unico documento che ho trovato è una guida del Garante sul > cloud del 2012 > (http://194.242.234.211/documents/10160/2052659/CLOUD+COMPUTING+-+Vademecum+pagina+doppia+%28anno+2012%29.pdf) > che descrive le attenzioni che occorre avere nell'adozione di tali servizi, > dice che il Titolare "deve procedere a designare il fornitore dei servizi > cloud 'responsabile del trattamento'" e subito dopo spiega: " Questo > significa che il cliente dovrà sempre prestare molta attenzione a come > saranno utilizzati e conservati i dati personali caricati sulla 'nuvola': in > caso di violazioni commesse dal fornitore, anche il titolare sarà chiamato a > rispondere dell’eventuale illecito."... Quindi, devo nominarlo o > semplicemente citarlo nei metodi di trattamento dei dati? > > La cosa non riguarda solo Google e non solo le scuole, i servizi cloud sono > sempre più utilizzati anche a livello aziendale, e il problema è lo stesso. > Per quanto ne so legge italiana non ha fatto grandi passi dal 2003 ad oggi, > ed anche in Europa mi sembra tutto fermo, ma sono un informatico, non un uomo > di legge... Quindi, essendo più materia di un avvocato che si intende di > informatica piuttosto che di un informatico che si arrangia con le norme, > chiedo lumi a Voi esperti. > > Grazie in anticipo a chi vorrà rispondere. > > Andrea Canesi > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List >
