[interlaw] Cifratura dati sensibili (Flavia Fornasiero)

Luca de Grazia luca a degrazia.it
Mer 1 Mar 2006 10:02:15 CET 

Data ed ora di questo messaggio: mercoledì 1 marzo 2006 ore 9.36.26

Da  : Luca de Grazia
A   : interlaw-request a itlists.org    


OGGETTO: RE:  Cifratura dati sensibili (Flavia Fornasiero)

L'obbligo  di  cifratura del solo sotto insieme dei dati collegati a trattamenti
che  possano  "idonei  a  rivelare lo stato di salute e la vita sessuale" (punto
n.22  allegato  B)  concerne,  come  misura  minima  di sicurezza, solamente "li
organismi sanitari e gli esercenti le professioni sanitarie".

Questi  ultimi  sono  definiti  dall'art.  76  del Codice (Esercenti professioni
sanitarie  e  organismi  sanitari pubblici); per poter correttamente individuare
quali  siano  gli  organismi  sanitari  (pubblici  e  non) ritengo si debba fare
riferimento agli artt. 85 e 86 del Codice, che fissano quali sono le finalità di
trattamento  di  rilevante  interesse  pubblico ai sensi degli artt. 21 e 22 del
codice stesso.

Tra  queste  finalità  non  mi  sembra  che sia inserita l'attività svolta dalla
associazione;  conseguentemente,  l'associazione medesima non dovrebbe rientrare
tra  i  soggetti  obbligati  per  legge  al  rispetto  di  tale misura minima di
sicurezza.

Anche l'autorizzazione al trattamento dei dati sensibili n.2/2005, al punto 1.2,
lettera   (b),   individua   come   destinatari   dell'autorizzazione   le  "...
organizzazioni  di  volontariato  o  assistenziali, limitatamente ai dati e alle
operazioni indispensabili per perseguire scopi determinati e legittimi previsti,
in  particolare,  nelle  rispettive  norme statutarie"; tali organizzazioni sono
considerate  come  "diverse"  dagli  organismi  sanitari pubblici e privati, dei
quali si fa menzione nella medesima autorizzazione al punto 1.1

Ben altro discorso è quello concernente le misure c.d. "allo stato dell'arte" di
cui  all'art.15,  in  relazione  all'art.  2050  del  codice civile [ricordo che
l'art.2050  concerne  la responsabilità per l'esercizio di attività che la legge
considera  come  intrinsecamente  pericolose], per le quali, come si suole dire,
non si fa mai abbastanza.

Ovviamente   qualora  il  trattamento  non  venga  effettuato  direttamente  dal
Titolare,  si  porrà  il problema (in questi casi delicato) di contrattualizzare
correttamente  sia  l'ambito  della prestazione, sia il rapporto tra Titolare ed
"outsourcer".

Spero di essere stato utile; cordialmente.

Luca-M. de Grazia

www.degrazia.it

Maggiori informazioni sulla lista interlaw