On Fri, 27 Jan 2023 17:30:45 +0100 Andrea Trentini wrote: > esatto, pensavo di scrivere al nostro DPO > https://www.unimi.it/it/ateneo/normative/privacy > e chiedere lumi > > [...] > > vi tengo posted qui a valle di una mail al DPO
Sebbene il compito del DPO sia tutelare i diritti degli interessati, non è lui a rispondere di eventuali illeciti. Non è dunque al DPO che devi scrivere in prima battuta per segnalare gli illeciti che riscontri, ma al Titolare (eventualmente mettendo in copia il DPO), perché è il Titolare a doverne rispondere. Questa cosa l'abbiamo imparata con la primissima PEC di Monitora PA, che indirizzammo appunto ai DPO delle diverse PA, molti dei quali ci presero pubblicamente in giro per la nostra ignoranza. Da uno fummo definiti spregiativamente "collettivo hacker studentesco" cosa che noi in realtà considerammo un grande complimento! Gli hacker studiano sempre! Da quando abbiamo iniziato a scrivere ai Titolari non abbiamo più ricevuto critiche di questo tipo. Dunque, non scrivere al DPO se non in copia: è al Titolare che devi segnalare l'illecito e chiedere la sua interruzione. Così se non lo sana in un tempo utile (che devi definire nella richiesta) potrai fare segnalazione al Garante allegando la tua richiesta. Il Titolare potrebbe infatti non avere le competenze per comprendere l'illecito e il DPO potrebbe... aver perso di vista... una sentenza o due... un pronunciamento o due... E questo rapporto del EDPB che chiarisce in modo cristallino il problema è molto recente (del 18 gennaio 2023) quindi potrebbe non essere stato ancora... letto con la dovuta cura... https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf > > Inoltre viste le tue competenze e la tua autorevolezza, un allegato > > tecnico sarebbe di sicura utilità per il Garante. > > non mi ritengo esperto di normative... Intendevo che potresti scrivere un'allegato tecnico spiegando come il transito delle mail in entrata/uscita dai server Microsoft comporta la possibilità di accedere a messaggi non cifrati (la maggioranza) e metadati da parte di Microsoft. Non credo che serva al Titolare del Trattamento (il rapporto del EDPB sopra è cristallino in proposito da un punto di vista legale), ma paradossalmente una analisi chiara dal punto di vista tecnico può essere oggettivamente utile al Garante. Giacomo _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
