- Home
- Categorie
- Impresa, Fisco e Leggi
- Consulenza Legale
- Stesura privacy per contratto sicurezza
-
Stesura privacy per contratto sicurezza
Buongiorno a tutti,
sto per aprire una nuova attività che agirà nell'ambito della sicurezza delle infrastrutture wifi per aziende e privati.Devo stilare un contratto con tutte le clausole necessarie tra cui ho bisogno come andare a definire i punti per l'eventuale passaggio di dati sensibili come nomi utenti e password facendo dichiarazione che i dati forniti verranno utilizzati esclusivamente per le attività di manutenzione e messa in sicurezza dei sistemi e che nessuna copia di questi dati verrà archiviata nella mia struttura, anzi tutto resterà dal cliente.
Avrei bisogno di mettere giù queste clausole, qualcuno ha qualche idea o linea guida per evitare di creare modelli di "Privacy" interpretabili?
Spero di aver spiegato bene cosa mi serve
Saluti
Davide
-
Secondo me (se ho ben compreso la tua futura attività) non sarai tu a doverti preoccupare della Privacy bensì i tuoi clienti che dovranno debitamente autorizzarti.
Tu devi preoccuparti solo ed esclusivamente dei dati detenuti e gestiti dalla tua azienda, non dei dati altrui di cui i proprietari e gestori ti autorizzeranno a servirti per poter svolgere il tuo incarico.
.
-
Ti dovrebbero dare uno scartafaccio simile a questo:
(naturalmente opportunamente adattato scrivendo come e dove dovrai trattare i dati o gestire la cosa)RESPONSABILE ESTERNO:
**Denominazione **
CodiceFiscaleEgregio Signore, Gentile Signora, Spettabile Ditta, Studio, ecc…
il sottoscritto …………………… in qualità di titolare del trattamento dei dati, Le affida/affida a codesta Spettabile ditta l’incarico di **Responsabile del Trattamento dei dati in esterno. **
Accettando questo incarico Lei/la Ditta si impegna ad eseguire il trattamento dei dati conformemente al dettato legislativo, nel pieno rispetto del Documento Programmatico Sulla Sicurezza dei dati del quale riceve copia e nella piena consapevolezza degli obblighi assunti e delle responsabilità che ne derivano.
L’incarico assegnatole riguarda il trattamento dei dati e relative autorizzazioni come da allegato.Le persone che Lei/la Ditta nominerà per l’espletamento di specifiche mansioni saranno scelte fra soggetti con comprovate qualità morali e professionali che garantiscano idonea garanzia del rispetto delle norme vigenti in materia di trattamento dei dati. Sull’operato dei soggetti incaricati Lei vigilerà costantemente al fine di evitare che vengano disattese le norme relative all’utilizzo delle banche dati, con particolare riguardo al profilo della sicurezza.
Oltre a quanto sopra riportato, Le sono assegnate le seguenti mansioni:
· Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più Incaricati al trattamento
· Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più Amministratori di sistema
· Individuare e nominare per iscritto, qualora lo ritenesse opportuno, un custode delle Password
· Individuare e nominare per iscritto, qualora lo ritenesse opportuno, uno o più incaricati alla manutenzione degli strumenti utilizzati per il trattamento e la custodia dei dati
· Autorizzare gli incaricati all’utilizzo degli strumenti per l’accesso alle banche dati e, con l’eventuale cooperazione dell’Amministratore del sistema, assegnare loro le credenziali di autenticazione per il superamento delle procedure di autenticazione
· Consegnare al Titolare elenco dei luoghi dove vengono trattati e custoditi i dati
· Verificare lo stato di efficienza di tutti gli strumenti informatici utilizzati per la sicurezza dei dati, pianificando con l’eventuale Amministratore di sistema la periodicità degli aggiornamenti da eseguire per quanto riguarda i programmi Antivirus o qualsiasi altra soluzione informatica ritenuta idonea a diminuire i rischi di infezioni del sistema o accessi non autorizzati
· Garantire agli interessati il pieno esercizio dei diritti previsti dall’artt. 7, 8, 9 e 10 del D. Lgs 196/2003
· Attuare gli obblighi relativi all’informativa sulla privacy in fase di acquisizione del consenso
· Collaborare con il Garante per l’espletamento delle sue funzioni di accertamento, ispezione e controllo
· Informare tempestivamente il Titolare del trattamento di qualunque circostanza rilevante in merito ai rischi sulla sicurezza dei dati, ad eventuali danni subiti dalle banche dati o dagli strumenti utilizzati per la loro gestione o custodia, alle revoche degli incarichi assegnati e a qualsiasi modifica che si renda necessaria nelle procedure elencate nel Documento Programmatico Sulla Sicurezza.
La qualifica assegnatale è da intendersi tacitamente rinnovata ogni anno sino a revoca dell’incarico comunicata dal Titolare per iscritto o con idonei mezzi informatici, o rassegnando le proprie dimissioni da comunicare nelle stesse modalità con un preavviso di almeno 30 giorni.Addi,
Il Titolare del trattamento ______________________________
Il Responsabile esterno per accettazione _________________________
-
L'intenzione è quella di non tenere nessun dato nella mia azienda, ma di lasciare tutto al cliente.
Nel senso che se mi danno user e password del router e della rete wifi io quei dati non me li porto a casa, ma resteranno al cliente che li archivierà come meglio crede.
Io, come dici tu, devo avere l'autorizzazione ad usare quei dati per gli scopi di gestione e sicurezza come da voci contrattuali di intervento, ma dovrò anche tutelarmi sul fatto di dire che tali dati non verranno da me utilizzati in nessun modo.
L'esempio che mi hai dato è validissimo, ma devo riuscire a capirlo bene.
Grazie mille
Davide
-
Il tuo incarico sarà più simile a questo:
Mod.C030
AMMINISTRATORE DI SISTEMA:**Nominativo **
Codice fiscaleEgregio Signore, Gentile Signora,
ai sensi dell’art 29 del D. Lgs 196/2003, il sottoscritto ……………… in qualità di responsabile del trattamento dei dati (giusta lettera di incarico modello C010), Le affida l’incarico di
Firmando la presente lettera Lei accetta l’incarico e dichiara di conoscere le disposizioni del D. Lgs. 196/2003. Dichiara inoltre di conoscere il contenuto del Documento Programmatico Sulla Sicurezza dei dati. Pertanto Lei si impegna ad adottare tutte le misure necessarie per garantire la sicurezza dei dati e il loro trattamento con principi di liceità e correttezza e in particolare:
· Adottare tutte le misure necessarie per proteggere gli elaboratori a Lei affidati dalle infezioni da Virus informatici o da accessi al sistema non autorizzati;
· Adottare le modalità di creazione e la periodicità delle copie di Back Up dei dati trattati per mezzo degli elaboratori a Lei affidati, nonché la conservazione in luogo sicuro dei supporti removibili utilizzati per memorizzare tali copie;
· Adottare le modalità tecniche di ripristino dei dati in caso di accidentale distruzione o alterazione;
· Adottare le modalità di distruzione dei supporti removibili non più utilizzati nei quali sono state memorizzate le copie di Backup contenenti dati sensibili o giudiziari, o il loro riutilizzo in modo tale che i dati precedentemente memorizzati non siano in alcun modo ricostruibili;
· Assegnare le credenziali di autenticazione ad ogni incaricato avendo cura di non riutilizzare le stesse credenziali per altri Incaricati anche se in tempi diversi;
· Provvedere alla disattivazione delle credenziali in caso di mancato utilizzo per oltre sei mesi o in caso di revoca di incarichi assegnati;
· Comunicare ad ogni incaricato del trattamento dei dati le credenziali di accesso e le password provvisorie;
· Valutare periodicamente l’efficienza delle misure di sicurezza adottate in base all’innovazione tecnologica;
· Istruire adeguatamente il personale incaricato al trattamento dei dati sull’utilizzo degli strumenti informatici, sia hardware che software, affinché non venga mai pregiudicata la sicurezza dei dati o delle copie di sicurezza;
· Comunicare tempestivamente al Responsabile del trattamento o al Titolare qualsiasi circostanza che possa pregiudicare il corretto trattamento dei dati o la loro sicurezza.L’incarico a Lei assegnato si intende tacitamente rinnovato ogni anno e decade per revoca comunicata per iscritto dal Responsabile (o dal Titolare) o rassegnando le proprie dimissioni con un preavviso minimo di 30 giorni.
Addi,
Il responsabile del trattamento ________________________________
Per ricevuta e accettazione dell'incarico
L’Amministratore del sistema _________________________________
-
-
Come diceva criceto, al massimo ti verrà affidato l'incarico di amministratore di sistema ma per certi versi alla fine io non ti vedo come amministratore di sistema, perchè alla fine fai manutenzione e dati non ne tratti.
Per fare un esempio concreto, se vengono dette delle password a voce con un altoparlante, non puoi andare a chiedere di diventare soggetti che trattano dati a tutti quelli che anno ascoltato le password.
Per come la vedo io, secondo me una volta che hai redatto il tuo dps per i dati sensibili che ti trovi a gestire, per quanto riguarda la manutenzione non dovresti nemmeno accettare l'incarico di amministratore, perchè dovrebbe essere un incaricato all'interno dell'azienda, altrimenti ti prendi anche carico di sapere tutte le password all'interno dell'azienda dove fai manutenzione e doverle sapere in caso di controllo. E a meno che questo non sia specificato, non mi pare sia il tuo ruolo nella gestione della rete wireless
-
Ah faccio una piccola aggiunta visto che non posso editare: tu parli di dati sensibili, ma nome utente e password non sono dati sensibili, tienilo bene a mente
-
Ciao Bryan Fury,
io non sarò un amministratore di sistema, ma semplicemente un consulente che andrà ad agire sul router wireless per la messa in sicurezza.I dati che mi verranno dati saranno:
- Nome utente e password router
- Eventuali MAC Address delle schede di rete e del router
- Eventuali indirizzi IP
Quindi ho bisogno di un documento che dica:
"Guarda cliente, tu mi dai questi dati, io li uso per la messa in sicurezza del tuo router e della tua rete, ti creo tutta la configurazione e ti creo un documento con tutti i codici che resterà a a te. Ti dichiaro anche che questi dati non li userò per nessun scopo anche se me li ricordo a memoria. Tu, il documento che ti ho dato, mettilo dove vuoi per usi futuri, io non lo archivio nel mio ufficio perchè non ne voglio sapere."
Detto in parole povere è questo che mi serve, un documento della privacy che mi sollevi da tutti i possibili casini.
-
Si si avevo capito, ma come ti ripeto, io nel tuo caso farei un documento della privacy normalissimo e generico da tenermi per i fatti miei, nel caso specifico al massimo puoi dare un'informativa nel quale dichiari che i dati non saranno divulgati, visto che in ogni caso i dati mac e ip non sono nemmeno considerabili dati personali, idem password e nome utente del router, visto che in ogni caso chiunque potrebbe resettare il router e tornare alla configurazione originale, se succedesse cosa fanno, ti imputano la cosa?
Anche se poi facessi un contratto di manlevanza in caso di diffusione password, come potrebbero risalire a te se ad esempio la password fosse divulgata a voce senza tracce cartacee/digitali?
Io ad esempio, trovandomi a fare il tuo stesso lavoro in diverse ditte, non ho mai avuto alcun tipo di problema visto che viene da sè che la ditta non possa essere responsabile se viene qualcuno arriva e cambia fisicamente il router ad esempio. Diverso sarebbe se volessero una certificazione: ma anche in questo caso, come puoi certificare il fatto che in un futuro qualcuno anche andando a caso non scopra quelle password?
Io se proprio dovessi fare qualcosa, scriverei proprio 2 righe come hai accennato, scrivendo che gli consegni il foglio con le password e che non avrai in futuro traccia nè cartacea ne digitale, ma eviterei proprio di menzionare il discorso memoria, altrimenti se loro lo perdono potrebbero anche venire a romperti le scatole perchè avevi detto che ti ricordavi tutto a mente
Fai firmare per presa visione e via.
Non prendere quello che ti dico come scienza esatta perchè ovviamente le sfaccettature sono molteplici