Esatto. Non è obbligatorio anche se è comunque consigliato perchè la redazione del DPS può essere vista come un "momento di analisi e riflessione" in cui l'azienda stessa prende in esame le proprie modalità di gestione dei sistemi informatici e quindi può migliorarsi o eventualmente adeguarli se non rispettassero alcune delle indicazioni del Garante della Privacy)Originariamente inviato da Shadow976
1) Il DPS deve essere redatto dall'azienda che detiene i dati solo in casi particolari (es informazioni mediche, politiche o religiose) e quindi chi gestisce solo ad esempio un database clienti NON ha alcun obbligo di redigerlo.
Esatto. A parità di pacchetto software (pensiamo per esempio ad un database come Access) un'azienda potrebbe usarlo per memorizzare dati sensibili ed un'altra per memorizzare il proprio listino prezzi. La prima deve fare il DPS e la seconda no. Non può certo essere la Microsoft (produttrice di Access) a farglielo2) Il DPS, che descrive le misure di sicurezza adottate, è redatto a cura della stessa azienda utilizzatrice del software che se ne deve occupare. Quindi la software house che consegna l'applicazione non ha alcun obbligo di redigerlo per conto del cliente e consegnarglielo, perché deve pensarci esso stesso in prima persona.
Non sono un legale però ne sono certo; guardati il primo dei link che metto sottoSe sei sicurissimo di questi due punti (si tratta di un parere legale per me davvero importante, quindi vorrei essere certo di aver perfettamente compreso le tue indicazioni) ti chiedo:
La redazione del DPS è una cosa "non banale" che da una parte non ha (quasi) niente a che fare con le caratteristiche tecniche del singolo pacchetto software (che la software house conoscerebbe bene) e dall'altra ha molto a che fare con la gestione dei sistemi informatici di ogni singola azienda (com'è fatta la rete, che pacchetti vengono tipicamente utilizzati, quali sono i profili di accesso degli utenti ai dati, getione delle password, gestione di un sistema antivirus, gesitone dei sistemi di backup, etc...)Considerato che, spulciando con cura i tuoi links, mi sono accorto che comunque il cliente spesso si avvale di ditte esterne per redigerlo (ovvero, diciamo, dopo aver comprato il software presso la software house, si rivolge ad esempio ad uno studio legale per commissionare la sua redazione), non sarebbe carino che come servizio aggiuntivo e non obbligatorio la software house si occupasse anche di preparare il DPS e consegnarglielo? Soprattutto considerato che nel DPS ci sono molti dettagli tecnici e chi meglio della software house che ha creato il software potrebbe conoscerli a fondo...
E' quindi spesso un servizio fornito da studi specializzati, non ho mai sentito che sia fatto direttamente da un produttore di software (anche perchè potrebbe rivelarsi un carico eccessivo... se vendo 1000 copie del mio programma, non mi risulta semplice andare ad analizzare in dettaglio la gestione informatica di 1000 aziende per redigere 1000 DPS)
Un altro paio di link utili:
http://www.espertiprivacy.it/documen...urezza.dps.htm
http://www.garanteprivacy.it/garante...ulla+sicurezza
(non preoccuparti che sia del 2004, va tuttora bene)
