Ciao, da non-legale e non-informatico a informatico, ecco quanto so.
Innanzi tutto, un fornitore si nomina “responsabile”; in inglese “processor”. Gli incaricati sono solo persone fisiche. Da questo punto di vista, sia il Codice privacy italiano, sia il GDPR sono molto chiari. Se usi un servizio cloud, tipo Google, devi guardare cosa dice il loro contratto. Il nostro Codice privacy è un po’ più blando, mentre il GDPR è molto preciso. In particolare, il GDPR dice in sostanza una cosa: se il fornitore fa danni, comunque paga; il titolare potrebbe non pagare se il contratto è fatto bene. Quindi: se il contratto fa schifo o non c’è, il titolare (la scuola) ci rimette comunque. E’ vero che il GDPR andrà in vigore da maggio 2018, ma sappiamo bene che se non metti a posto le cose subito, poi sono problemi. Visto che ci ho scritto un post da poco, molto poco elegantemente, te lo segnalo: - <http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili-privacy.html> http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili-privacy.html. Google non ti dà le giuste garanzie? Eh... se è gratuito un motivo ci sarà. Sicuramente ci sono in giro delle altre soluzioni, non gratis ma forse neanche troppo care. Ci sarebbe anche un trucco non proprio bellissimo: se i singoli caricano i loro propri dati e poi li mettono a disposizione degli altri, allora sono essi stessi titolari dei propri dati e quindi la scuola non c’entra. Però, ho sono tutti d’accordo senza alcuna pressione, oppure ci sono altri rischi che non voglio neanche immaginare. Ce From: Avv. Stefano Aterno [mailto:[email protected]] Sent: 18 February 2017 09:29 To: [email protected] Subject: Re: [lex] Cloud, incaricato del trattamento esterno e 196/03 Lacune normative non aiutano. Il Regolamento Ue in vigore dal 2018 aiutera' in minima parte su alcuni dei punti da te esposti. Ciao Stefano Avv. Stefano Aterno Certificato ISO/IEC 27001 LA Docente di diritto penale dell'informatica VIA F. CESI, 72 / 00193 ROMA tel.06 32609427 /fax 0656561190 www.studioaterno.it <http://www.studioaterno.it> Le informazioni trasmesse sono da intendersi di esclusiva spettanza dell'effettivo destinatario. Nel caso in cui le stesse raggiungessero, per qualunque motivo, soggetti non interessati, questi ultimi vorranno darne immediata notizia al mittente. Le violazioni saranno perseguibili ai sensi di legge. Il giorno 17 feb 2017, alle ore 22:39, Andrea Canesi <[email protected] <mailto:[email protected]> > ha scritto: Saluti a tutti, ho un quesito che spero interessante per qualcuno di voi. Mi sto occupando della formazione di più di un centinaio di docenti liguri che intendono adottare nelle scuole una serie di servizi cloud (nello specifico G Suite for Education) e una delle domande ricorrenti è se sia possibile trattare dati sensibili con tale mezzo (ad esempio dati che riguardano alunni disabili o con bisogni educativi specifici). Non intendo discutere nello specifico della suite di Google e delle sue norme sulla privacy, ma più in generale del fatto che, quando si ha a che fare con IaaS, SaaS, PaaS, etc. è praticamente impossibile nominare un incaricato del trattamento esterno dei dati che, per quanto ne so, è ancora un obbligo (Io con Google ci ho provato in più modi, ma al massimo ho ottenuto qualche risata...). L'unico documento che ho trovato è una guida del Garante sul cloud del 2012 (http://194.242.234.211/documents/10160/2052659/CLOUD+COMPUTING+-+Vademecum+pagina+doppia+%28anno+2012%29.pdf) che descrive le attenzioni che occorre avere nell'adozione di tali servizi, dice che il Titolare "deve procedere a designare il fornitore dei servizi cloud 'responsabile del trattamento'" e subito dopo spiega: " Questo significa che il cliente dovrà sempre prestare molta attenzione a come saranno utilizzati e conservati i dati personali caricati sulla 'nuvola': in caso di violazioni commesse dal fornitore, anche il titolare sarà chiamato a rispondere dell’eventuale illecito."... Quindi, devo nominarlo o semplicemente citarlo nei metodi di trattamento dei dati? La cosa non riguarda solo Google e non solo le scuole, i servizi cloud sono sempre più utilizzati anche a livello aziendale, e il problema è lo stesso. Per quanto ne so legge italiana non ha fatto grandi passi dal 2003 ad oggi, ed anche in Europa mi sembra tutto fermo, ma sono un informatico, non un uomo di legge... Quindi, essendo più materia di un avvocato che si intende di informatica piuttosto che di un informatico che si arrangia con le norme, chiedo lumi a Voi esperti. Grazie in anticipo a chi vorrà rispondere. Andrea Canesi ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
