Salve,
ho dei dubbi su come alcune norme si intersecano tra loro e il metodo corretto per poi applicarle.
Partendo da queste premesse:
1)GDPR: Il Responsabile del trattamento
da cui cito:
“Difatti, dice la norma (**[art. 28]) che “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato”. Quindi non viene scelta una persona fisica o giuridica qualsiasi, ma chi possieda già determinate competenze, per cui appare evidente che anche il responsabile del trattamento debba avere una formazione specifica.”
Che detto in parole povere mi sembra di capire dica, non nominate persone a caso, ma le persone che realmente hanno quel ruolo e con le capacità per svolgerlo.
-
Sicurezza:
Qui prendo un solo principio, quello del minimo livello di permesso, ovvero non dare ad un utente un permesso che non gli è necessario per svolgere la propria attività lavorativa, ma solo quelli strettamente necessari per permettergli di svolgere il proprio lavoro.
Immaginando una scenario in cui c’è un Gestionale, fatto a moduli, dove ogni modulo contiene dati che si riferiscono ad un diverso “Responsabile del trattamento”. Il Gestionale classifica gli utenti in 2 macro gruppi: gli “utenti” che possono avere accesso a maschere diverse a seconda del ruolo e gli “amministratori” che possono avere accesso ad un altro set di maschere.
Tra le maschere visualizzabili dagli amministratori ci sono anche quelle relative alla visualizzazione degli utenti e assegnazione permessi.
Ne consegue che i “Responsabili del trattamento” non hanno la possibilità di visualizzare quali siano gli utenti che accedono/modificano i dati di loro pertinenza.
Ne consegue inoltre che agli AdS viene dato il ruolo di assegnazione permessi sui dati di responsabilità di un altro Responsabile del Trattamento, ovvero una funzione che non è necessaria ad un AdS in quanto non richiede competenze informatiche ma anzi sono necessarie competenze relative al modulo specifico in quanto i permessi avranno nomenclature riferibili ad aree specifiche.
E’ secondo voi corretto?
O sarebbe più corretto che ogni “Responsabile al trattamento” avesse la possibilità di vedere/modificare i permessi degli utenti che accedono ai dati di pertinenza (solo ai propri ), così da poter ( anche nella pratica e non solo nella carta ) gestire gli utenti che accedono ai dati di pertinenza?
Il mio dubbio maggiore è, come può una persona essere nominata “Responsabile al trattamento” se poi non gli vengono forniti strumenti adeguati a svolgere quella funzione? Ovvero come può vigilare sul corretto trattamento se lo strumento non gli permette nemmeno di vedere l’elenco delle persone che possono accedere/modificare quei dati?