Originariamente inviato da darkside1it
Devo dire al cliente a cui stò facendo il sito di far firmare qualcosa ai suoi diversi clienti? In modo così da tutelarsi? Ad esempio i diversi clienti devono dare il consenso affinchè i propri dati aziendali siano trattati, ed eventualmente manlevare nel caso questi dati vengano sottratti? (sono comunque dati personali dunque nome e congome dei dipendenti e non di più...)

Grazie mille
Uhm....un po' difficile dare una risposta che soddisfi interamente la domanda...
Quando i clienti del tuo cliente danno il consenso per il trattamento dei dati personali, questo e' una sorta di contratto tra di loro, quindi tu non c'entri da quel punto di vista. Che se la veda il tuo cliente... sono loro a doverti istruire sul come vogliono gestire la cosa e non e' responsabilita' tua neanche nel caso di furto di dati

La tua unica responsabilita' e' quella col TUO cliente, i.e. quella di fornire al cliente un sito con parametri di sicurezza adeguati ai dai trattati; come definire questi parametri a seconda del tipo di dati, dipende... per esempio se si trattasse di carte di credito etc saresti obbligato ad avere PCI compliance; una volta che ottieni la PCI compliance, significa che il tuo software risponde ai requisiti di sicurezza adeguati per prevenire attacchi etc noti, e allo stesso tempo la tua responsabilita' e' automaticamente limitata a quanto previsto da PCI - quindi i limiti della tua responsabilita' sono ben definiti. Ma nel tuo caso dici che si tratta di dati non sensibili ma che comunque devono rimanere privati; in questo caso aggiungi al contratto (hai un contratto col cliente, giusto?) una clausola circa la sicurezza nella quale specifichi che il software cosi' fornito risponde ai criteri di sicurezza...bla bla bla e che non sei responsabile per attacchi non prevedibili al momento della fornitura del software. Naturalmente fai firmare il contratto.


Poi c'e' da fare una distinzione tra 'fornire un sito' e 'fornire un sito e hosting/infrastruttura'. Nel secondo caso il 'sito' diviene qualcosa tipo 'SaaS' e quindi il discorso e' un po' piu' complicato dal punto di vista della sicurezza e quindi delle tue responsabilita' secondo legge.