Il 18/02/2017 20:49, Cesare Gallotti ha scritto: > Ti dico io cosa dice il Garante: tu ti sei iscritto, problema tuo. Negativo. Non ho dato l'autorizzazione :-) La cosa non è a livello personale. Il problema è di tutte le scuole che hanno adottato questo sistema. Io potrei limitarmi a non dare l'autorizzazione e poi vediamo. Migliaia di studenti profilati, dati esportati all'estero, nessuna garanzia di privacy. Ce n'è di roba da discutere, autorizzazione o meno.
> > A meno che qui non si trovi uno Shrems... (spero di averlo scritto giusto). > > E comunque ci vogliono anni. > > >> -----Original Message----- >> From: Paolo Giardini [mailto:[email protected]] >> Sent: 18 February 2017 15:00 >> To: [email protected] >> Subject: Re: [lex] Cloud, incaricato del trattamento esterno e 196/03 >> >> Ciao a tutti, >> sono in mezzo alla questione perché la scuola di mio figlio (scuola >> media) sta di fatto obbligando tutti i genitori a concedere l'autorizzazione >> alla >> creazione di un account g4edu senza la minima informazione ne informativa >> privacy. >> >> Sto infatti cercando di coinvolgere genitori ed associazioni per creare la >> consapevolezza su quanto comporta dal punto di vista privacy, profilazione, >> accesso ad internet di minori, ecc. >> >> Tornando all'argomento di discussione, leggendo il contratto, si legge che >> con la >> sottoscrizione la scuola nomina google "funzionario scolastico" secondo la >> definizione del FERPA (family educational rights and privacy act). >> >> Non credo che tali norme USA siano applicabili in Italia ne che possa essere >> equiparato alla figura del responsabile. >> >> Qualcuno è interessato a portare avanti l'argomento g4edu, fino ad una >> segnalazione o reclamo al garante privacy? >> >> >> >> Il 18/02/2017 11:30, Cesare Gallotti ha scritto: >>> Ciao, >>> >>> da non-legale e non-informatico a informatico, ecco quanto so. >>> >>> >>> >>> Innanzi tutto, un fornitore si nomina “responsabile”; in inglese >>> “processor”. >>> >>> Gli incaricati sono solo persone fisiche. >>> >>> Da questo punto di vista, sia il Codice privacy italiano, sia il GDPR sono >>> molto >> chiari. >>> >>> >>> >>> Se usi un servizio cloud, tipo Google, devi guardare cosa dice il loro >>> contratto. >> Il nostro Codice privacy è un po’ più blando, mentre il GDPR è molto >> preciso. In >> particolare, il GDPR dice in sostanza una cosa: se il fornitore fa danni, >> comunque >> paga; il titolare potrebbe non pagare se il contratto è fatto bene. Quindi: >> se il >> contratto fa schifo o non c’è, il titolare (la scuola) ci rimette comunque. >>> >>> >>> >>> E’ vero che il GDPR andrà in vigore da maggio 2018, ma sappiamo bene che se >> non metti a posto le cose subito, poi sono problemi. >>> >>> >>> >>> Visto che ci ho scritto un post da poco, molto poco elegantemente, te lo >> segnalo: >>> >>> - >>> <http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili- >> privacy.html> http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei- >> responsabili-privacy.html. >>> >>> >>> >>> Google non ti dà le giuste garanzie? Eh... se è gratuito un motivo ci sarà. >> Sicuramente ci sono in giro delle altre soluzioni, non gratis ma forse >> neanche >> troppo care. >>> >>> >>> >>> Ci sarebbe anche un trucco non proprio bellissimo: se i singoli caricano i >>> loro >> propri dati e poi li mettono a disposizione degli altri, allora sono essi >> stessi >> titolari dei propri dati e quindi la scuola non c’entra. Però, ho sono tutti >> d’accordo senza alcuna pressione, oppure ci sono altri rischi che non voglio >> neanche immaginare. >>> >>> >>> >>> Ce >>> >>> >>> >>> From: Avv. Stefano Aterno [mailto:[email protected]] >>> Sent: 18 February 2017 09:29 >>> To: [email protected] >>> Subject: Re: [lex] Cloud, incaricato del trattamento esterno e 196/03 >>> >>> >>> >>> Lacune normative non aiutano. Il Regolamento Ue in vigore dal 2018 aiutera' >> in minima parte su alcuni dei punti da te esposti. >>> >>> Ciao >>> >>> Stefano >>> >>> >>> >>> >>> >>> Avv. Stefano Aterno >>> >>> Certificato ISO/IEC 27001 LA >>> >>> Docente di diritto penale dell'informatica >>> >>> >>> >>> VIA F. CESI, 72 / 00193 ROMA >>> >>> tel.06 32609427 /fax 0656561190 >>> >>> www.studioaterno.it <http://www.studioaterno.it> >>> >>> >>> >>> Le informazioni trasmesse sono da intendersi di esclusiva spettanza >> dell'effettivo destinatario. Nel caso in cui le stesse raggiungessero, per >> qualunque motivo, soggetti non interessati, questi ultimi vorranno darne >> immediata notizia al mittente. Le violazioni saranno perseguibili ai sensi >> di >> legge. >>> >>> >>> >>> >>> Il giorno 17 feb 2017, alle ore 22:39, Andrea Canesi >> <[email protected] <mailto:[email protected]> > ha scritto: >>> >>> Saluti a tutti, ho un quesito che spero interessante per qualcuno di voi. >>> >>> Mi sto occupando della formazione di più di un centinaio di docenti liguri >>> che >> intendono adottare nelle scuole una serie di servizi cloud (nello specifico >> G Suite >> for Education) e una delle domande ricorrenti è se sia possibile trattare >> dati >> sensibili con tale mezzo (ad esempio dati che riguardano alunni disabili o >> con >> bisogni educativi specifici). Non intendo discutere nello specifico della >> suite di >> Google e delle sue norme sulla privacy, ma più in generale del fatto che, >> quando >> si ha a che fare con IaaS, SaaS, PaaS, etc. è praticamente impossibile >> nominare >> un incaricato del trattamento esterno dei dati che, per quanto ne so, è >> ancora >> un obbligo (Io con Google ci ho provato in più modi, ma al massimo ho >> ottenuto >> qualche risata...). L'unico documento che ho trovato è una guida del Garante >> sul >> cloud del 2012 >> (http://194.242.234.211/documents/10160/2052659/CLOUD+COMPUTING+- >> +Vademecum+pagina+doppia+%28anno+2012%29.pdf) che descrive le >> attenzioni che occorre avere nell'adozione di tali servizi, dice che il >> Titolare >> "deve procedere a designare il fornitore dei servizi cloud 'responsabile del >> trattamento'" e subito dopo spiega: " Questo significa che il cliente dovrà >> sempre prestare molta attenzione a come saranno utilizzati e conservati i >> dati >> personali caricati sulla 'nuvola': in caso di violazioni commesse dal >> fornitore, >> anche il titolare sarà chiamato a rispondere dell’eventuale illecito."... >> Quindi, >> devo nominarlo o semplicemente citarlo nei metodi di trattamento dei dati? >>> >>> La cosa non riguarda solo Google e non solo le scuole, i servizi cloud sono >> sempre più utilizzati anche a livello aziendale, e il problema è lo stesso. >> Per >> quanto ne so legge italiana non ha fatto grandi passi dal 2003 ad oggi, ed >> anche >> in Europa mi sembra tutto fermo, ma sono un informatico, non un uomo di >> legge... Quindi, essendo più materia di un avvocato che si intende di >> informatica >> piuttosto che di un informatico che si arrangia con le norme, chiedo lumi a >> Voi >> esperti. >>> >>> Grazie in anticipo a chi vorrà rispondere. >>> >>> Andrea Canesi >>> >>> >>> ________________________________________________________ >>> http://www.sikurezza.org - Italian Security Mailing List >>> >>> >> >> >> -- >> Paolo Giardini >> EUCIP Certified Professional >> Consulente per la Sicurezza delle Informazioni Professionista Informatico >> disciplinato ai sensi della legge 4/2013 Iscritto a Associazione Informatici >> Professionisti al n. 2756 CAT Cracca al Tesoro | AIP/ITCS | CLUSIT | GLUG PG >> | >> ILS http://blog.solution.it|Cel.337.652876|Fax 075.93831174|skype pgiardini > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > -- Paolo Giardini EUCIP Certified Professional Consulente per la Sicurezza delle Informazioni Professionista Informatico disciplinato ai sensi della legge 4/2013 Iscritto a Associazione Informatici Professionisti al n. 2756 CAT Cracca al Tesoro | AIP/ITCS | CLUSIT | GLUG PG | ILS http://blog.solution.it|Cel.337.652876|Fax 075.93831174|skype pgiardini
signature.asc
Description: OpenPGP digital signature
