Ti dico io cosa dice il Garante: tu ti sei iscritto, problema tuo. A meno che qui non si trovi uno Shrems... (spero di averlo scritto giusto).
E comunque ci vogliono anni. > -----Original Message----- > From: Paolo Giardini [mailto:[email protected]] > Sent: 18 February 2017 15:00 > To: [email protected] > Subject: Re: [lex] Cloud, incaricato del trattamento esterno e 196/03 > > Ciao a tutti, > sono in mezzo alla questione perché la scuola di mio figlio (scuola > media) sta di fatto obbligando tutti i genitori a concedere l'autorizzazione > alla > creazione di un account g4edu senza la minima informazione ne informativa > privacy. > > Sto infatti cercando di coinvolgere genitori ed associazioni per creare la > consapevolezza su quanto comporta dal punto di vista privacy, profilazione, > accesso ad internet di minori, ecc. > > Tornando all'argomento di discussione, leggendo il contratto, si legge che > con la > sottoscrizione la scuola nomina google "funzionario scolastico" secondo la > definizione del FERPA (family educational rights and privacy act). > > Non credo che tali norme USA siano applicabili in Italia ne che possa essere > equiparato alla figura del responsabile. > > Qualcuno è interessato a portare avanti l'argomento g4edu, fino ad una > segnalazione o reclamo al garante privacy? > > > > Il 18/02/2017 11:30, Cesare Gallotti ha scritto: > > Ciao, > > > > da non-legale e non-informatico a informatico, ecco quanto so. > > > > > > > > Innanzi tutto, un fornitore si nomina “responsabile”; in inglese > > “processor”. > > > > Gli incaricati sono solo persone fisiche. > > > > Da questo punto di vista, sia il Codice privacy italiano, sia il GDPR sono > > molto > chiari. > > > > > > > > Se usi un servizio cloud, tipo Google, devi guardare cosa dice il loro > > contratto. > Il nostro Codice privacy è un po’ più blando, mentre il GDPR è molto preciso. > In > particolare, il GDPR dice in sostanza una cosa: se il fornitore fa danni, > comunque > paga; il titolare potrebbe non pagare se il contratto è fatto bene. Quindi: > se il > contratto fa schifo o non c’è, il titolare (la scuola) ci rimette comunque. > > > > > > > > E’ vero che il GDPR andrà in vigore da maggio 2018, ma sappiamo bene che se > non metti a posto le cose subito, poi sono problemi. > > > > > > > > Visto che ci ho scritto un post da poco, molto poco elegantemente, te lo > segnalo: > > > > - > > <http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili- > privacy.html> http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei- > responsabili-privacy.html. > > > > > > > > Google non ti dà le giuste garanzie? Eh... se è gratuito un motivo ci sarà. > Sicuramente ci sono in giro delle altre soluzioni, non gratis ma forse neanche > troppo care. > > > > > > > > Ci sarebbe anche un trucco non proprio bellissimo: se i singoli caricano i > > loro > propri dati e poi li mettono a disposizione degli altri, allora sono essi > stessi > titolari dei propri dati e quindi la scuola non c’entra. Però, ho sono tutti > d’accordo senza alcuna pressione, oppure ci sono altri rischi che non voglio > neanche immaginare. > > > > > > > > Ce > > > > > > > > From: Avv. Stefano Aterno [mailto:[email protected]] > > Sent: 18 February 2017 09:29 > > To: [email protected] > > Subject: Re: [lex] Cloud, incaricato del trattamento esterno e 196/03 > > > > > > > > Lacune normative non aiutano. Il Regolamento Ue in vigore dal 2018 aiutera' > in minima parte su alcuni dei punti da te esposti. > > > > Ciao > > > > Stefano > > > > > > > > > > > > Avv. Stefano Aterno > > > > Certificato ISO/IEC 27001 LA > > > > Docente di diritto penale dell'informatica > > > > > > > > VIA F. CESI, 72 / 00193 ROMA > > > > tel.06 32609427 /fax 0656561190 > > > > www.studioaterno.it <http://www.studioaterno.it> > > > > > > > > Le informazioni trasmesse sono da intendersi di esclusiva spettanza > dell'effettivo destinatario. Nel caso in cui le stesse raggiungessero, per > qualunque motivo, soggetti non interessati, questi ultimi vorranno darne > immediata notizia al mittente. Le violazioni saranno perseguibili ai sensi di > legge. > > > > > > > > > > Il giorno 17 feb 2017, alle ore 22:39, Andrea Canesi > <[email protected] <mailto:[email protected]> > ha scritto: > > > > Saluti a tutti, ho un quesito che spero interessante per qualcuno di voi. > > > > Mi sto occupando della formazione di più di un centinaio di docenti liguri > > che > intendono adottare nelle scuole una serie di servizi cloud (nello specifico G > Suite > for Education) e una delle domande ricorrenti è se sia possibile trattare dati > sensibili con tale mezzo (ad esempio dati che riguardano alunni disabili o con > bisogni educativi specifici). Non intendo discutere nello specifico della > suite di > Google e delle sue norme sulla privacy, ma più in generale del fatto che, > quando > si ha a che fare con IaaS, SaaS, PaaS, etc. è praticamente impossibile > nominare > un incaricato del trattamento esterno dei dati che, per quanto ne so, è ancora > un obbligo (Io con Google ci ho provato in più modi, ma al massimo ho ottenuto > qualche risata...). L'unico documento che ho trovato è una guida del Garante > sul > cloud del 2012 > (http://194.242.234.211/documents/10160/2052659/CLOUD+COMPUTING+- > +Vademecum+pagina+doppia+%28anno+2012%29.pdf) che descrive le > attenzioni che occorre avere nell'adozione di tali servizi, dice che il > Titolare > "deve procedere a designare il fornitore dei servizi cloud 'responsabile del > trattamento'" e subito dopo spiega: " Questo significa che il cliente dovrà > sempre prestare molta attenzione a come saranno utilizzati e conservati i dati > personali caricati sulla 'nuvola': in caso di violazioni commesse dal > fornitore, > anche il titolare sarà chiamato a rispondere dell’eventuale illecito."... > Quindi, > devo nominarlo o semplicemente citarlo nei metodi di trattamento dei dati? > > > > La cosa non riguarda solo Google e non solo le scuole, i servizi cloud sono > sempre più utilizzati anche a livello aziendale, e il problema è lo stesso. > Per > quanto ne so legge italiana non ha fatto grandi passi dal 2003 ad oggi, ed > anche > in Europa mi sembra tutto fermo, ma sono un informatico, non un uomo di > legge... Quindi, essendo più materia di un avvocato che si intende di > informatica > piuttosto che di un informatico che si arrangia con le norme, chiedo lumi a > Voi > esperti. > > > > Grazie in anticipo a chi vorrà rispondere. > > > > Andrea Canesi > > > > > > ________________________________________________________ > > http://www.sikurezza.org - Italian Security Mailing List > > > > > > > -- > Paolo Giardini > EUCIP Certified Professional > Consulente per la Sicurezza delle Informazioni Professionista Informatico > disciplinato ai sensi della legge 4/2013 Iscritto a Associazione Informatici > Professionisti al n. 2756 CAT Cracca al Tesoro | AIP/ITCS | CLUSIT | GLUG PG | > ILS http://blog.solution.it|Cel.337.652876|Fax 075.93831174|skype pgiardini ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
