Con il Regolamento Ue le cose saranno un pochino piu' chiare e i dati degli europei dovranno essere conservati in europa o comunque a chi li tratta si applicheranno norme del Regolamento. La formalita'(nomina si nomina no nomina forse) si perdera' o sara' molto piu' importante la sostanza. La privacy "sta cambiando pelle" e bisogna cominciare ad uscire dalla trappola delle formalita' (alle quali noi italiani ci aggrappiamo sempre e comunque). Gli esempi fatto vedranno una tutela sostanziale e concreta e parlare di formalita' (in che modo e come mi nomini) non avra' piu' molto senso se non burocratico e organizzativo.
Avv. Stefano Aterno Certificato ISO/IEC 27001 LA Docente di diritto penale dell'informatica VIA F. CESI, 72 / 00193 ROMA tel.06 32609427 /fax 0656561190 www.studioaterno.it Le informazioni trasmesse sono da intendersi di esclusiva spettanza dell'effettivo destinatario. Nel caso in cui le stesse raggiungessero, per qualunque motivo, soggetti non interessati, questi ultimi vorranno darne immediata notizia al mittente. Le violazioni saranno perseguibili ai sensi di legge. Il giorno 18 feb 2017, alle ore 20:49, Cesare Gallotti <[email protected]> ha scritto: > Ti dico io cosa dice il Garante: tu ti sei iscritto, problema tuo. > > A meno che qui non si trovi uno Shrems... (spero di averlo scritto giusto). > > E comunque ci vogliono anni. > > >> -----Original Message----- >> From: Paolo Giardini [mailto:[email protected]] >> Sent: 18 February 2017 15:00 >> To: [email protected] >> Subject: Re: [lex] Cloud, incaricato del trattamento esterno e 196/03 >> >> Ciao a tutti, >> sono in mezzo alla questione perché la scuola di mio figlio (scuola >> media) sta di fatto obbligando tutti i genitori a concedere l'autorizzazione >> alla >> creazione di un account g4edu senza la minima informazione ne informativa >> privacy. >> >> Sto infatti cercando di coinvolgere genitori ed associazioni per creare la >> consapevolezza su quanto comporta dal punto di vista privacy, profilazione, >> accesso ad internet di minori, ecc. >> >> Tornando all'argomento di discussione, leggendo il contratto, si legge che >> con la >> sottoscrizione la scuola nomina google "funzionario scolastico" secondo la >> definizione del FERPA (family educational rights and privacy act). >> >> Non credo che tali norme USA siano applicabili in Italia ne che possa essere >> equiparato alla figura del responsabile. >> >> Qualcuno è interessato a portare avanti l'argomento g4edu, fino ad una >> segnalazione o reclamo al garante privacy? >> >> >> >> Il 18/02/2017 11:30, Cesare Gallotti ha scritto: >>> Ciao, >>> >>> da non-legale e non-informatico a informatico, ecco quanto so. >>> >>> >>> >>> Innanzi tutto, un fornitore si nomina “responsabile”; in inglese >>> “processor”. >>> >>> Gli incaricati sono solo persone fisiche. >>> >>> Da questo punto di vista, sia il Codice privacy italiano, sia il GDPR sono >>> molto >> chiari. >>> >>> >>> >>> Se usi un servizio cloud, tipo Google, devi guardare cosa dice il loro >>> contratto. >> Il nostro Codice privacy è un po’ più blando, mentre il GDPR è molto >> preciso. In >> particolare, il GDPR dice in sostanza una cosa: se il fornitore fa danni, >> comunque >> paga; il titolare potrebbe non pagare se il contratto è fatto bene. Quindi: >> se il >> contratto fa schifo o non c’è, il titolare (la scuola) ci rimette comunque. >>> >>> >>> >>> E’ vero che il GDPR andrà in vigore da maggio 2018, ma sappiamo bene che se >> non metti a posto le cose subito, poi sono problemi. >>> >>> >>> >>> Visto che ci ho scritto un post da poco, molto poco elegantemente, te lo >> segnalo: >>> >>> - >>> <http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei-responsabili- >> privacy.html> http://blog.cesaregallotti.it/2017/01/gdpr-e-nomina-dei- >> responsabili-privacy.html. >>> >>> >>> >>> Google non ti dà le giuste garanzie? Eh... se è gratuito un motivo ci sarà. >> Sicuramente ci sono in giro delle altre soluzioni, non gratis ma forse >> neanche >> troppo care. >>> >>> >>> >>> Ci sarebbe anche un trucco non proprio bellissimo: se i singoli caricano i >>> loro >> propri dati e poi li mettono a disposizione degli altri, allora sono essi >> stessi >> titolari dei propri dati e quindi la scuola non c’entra. Però, ho sono tutti >> d’accordo senza alcuna pressione, oppure ci sono altri rischi che non voglio >> neanche immaginare. >>> >>> >>> >>> Ce >>> >>> >>> >>> From: Avv. Stefano Aterno [mailto:[email protected]] >>> Sent: 18 February 2017 09:29 >>> To: [email protected] >>> Subject: Re: [lex] Cloud, incaricato del trattamento esterno e 196/03 >>> >>> >>> >>> Lacune normative non aiutano. Il Regolamento Ue in vigore dal 2018 aiutera' >> in minima parte su alcuni dei punti da te esposti. >>> >>> Ciao >>> >>> Stefano >>> >>> >>> >>> >>> >>> Avv. Stefano Aterno >>> >>> Certificato ISO/IEC 27001 LA >>> >>> Docente di diritto penale dell'informatica >>> >>> >>> >>> VIA F. CESI, 72 / 00193 ROMA >>> >>> tel.06 32609427 /fax 0656561190 >>> >>> www.studioaterno.it <http://www.studioaterno.it> >>> >>> >>> >>> Le informazioni trasmesse sono da intendersi di esclusiva spettanza >> dell'effettivo destinatario. Nel caso in cui le stesse raggiungessero, per >> qualunque motivo, soggetti non interessati, questi ultimi vorranno darne >> immediata notizia al mittente. Le violazioni saranno perseguibili ai sensi >> di >> legge. >>> >>> >>> >>> >>> Il giorno 17 feb 2017, alle ore 22:39, Andrea Canesi >> <[email protected] <mailto:[email protected]> > ha scritto: >>> >>> Saluti a tutti, ho un quesito che spero interessante per qualcuno di voi. >>> >>> Mi sto occupando della formazione di più di un centinaio di docenti liguri >>> che >> intendono adottare nelle scuole una serie di servizi cloud (nello specifico >> G Suite >> for Education) e una delle domande ricorrenti è se sia possibile trattare >> dati >> sensibili con tale mezzo (ad esempio dati che riguardano alunni disabili o >> con >> bisogni educativi specifici). Non intendo discutere nello specifico della >> suite di >> Google e delle sue norme sulla privacy, ma più in generale del fatto che, >> quando >> si ha a che fare con IaaS, SaaS, PaaS, etc. è praticamente impossibile >> nominare >> un incaricato del trattamento esterno dei dati che, per quanto ne so, è >> ancora >> un obbligo (Io con Google ci ho provato in più modi, ma al massimo ho >> ottenuto >> qualche risata...). L'unico documento che ho trovato è una guida del Garante >> sul >> cloud del 2012 >> (http://194.242.234.211/documents/10160/2052659/CLOUD+COMPUTING+- >> +Vademecum+pagina+doppia+%28anno+2012%29.pdf) che descrive le >> attenzioni che occorre avere nell'adozione di tali servizi, dice che il >> Titolare >> "deve procedere a designare il fornitore dei servizi cloud 'responsabile del >> trattamento'" e subito dopo spiega: " Questo significa che il cliente dovrà >> sempre prestare molta attenzione a come saranno utilizzati e conservati i >> dati >> personali caricati sulla 'nuvola': in caso di violazioni commesse dal >> fornitore, >> anche il titolare sarà chiamato a rispondere dell’eventuale illecito."... >> Quindi, >> devo nominarlo o semplicemente citarlo nei metodi di trattamento dei dati? >>> >>> La cosa non riguarda solo Google e non solo le scuole, i servizi cloud sono >> sempre più utilizzati anche a livello aziendale, e il problema è lo stesso. >> Per >> quanto ne so legge italiana non ha fatto grandi passi dal 2003 ad oggi, ed >> anche >> in Europa mi sembra tutto fermo, ma sono un informatico, non un uomo di >> legge... Quindi, essendo più materia di un avvocato che si intende di >> informatica >> piuttosto che di un informatico che si arrangia con le norme, chiedo lumi a >> Voi >> esperti. >>> >>> Grazie in anticipo a chi vorrà rispondere. >>> >>> Andrea Canesi >>> >>> >>> ________________________________________________________ >>> http://www.sikurezza.org - Italian Security Mailing List >>> >>> >> >> >> -- >> Paolo Giardini >> EUCIP Certified Professional >> Consulente per la Sicurezza delle Informazioni Professionista Informatico >> disciplinato ai sensi della legge 4/2013 Iscritto a Associazione Informatici >> Professionisti al n. 2756 CAT Cracca al Tesoro | AIP/ITCS | CLUSIT | GLUG PG >> | >> ILS http://blog.solution.it|Cel.337.652876|Fax 075.93831174|skype pgiardini > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > >
