il blog di Riccardo Abeti

Sulla risposta che molti addetti ai lavori conoscono bene quando devono convincere riluttanti Responsabili aziendali a mettersi in regola si è interrogato, sul numero di luglio della newsletter Crypto-Gram (la versione italiana curata dall'azienda Communication Valley è disponibile qui ), uno dei guru mondiali dell'IT Security: Bruce Sheiner. Sheiner parte da una constatazione che chi fa questo mestiere per professione non può che condividere: le aziende spendono i propri soldi mal volentieri per adeguarsi alla privacy (sia essa obbligo di legge o esigenza aziendale connessa con altre esigenze) semplicemente perché è costoso e una buona fetta di tale spesa viene assorbita dai meccanismi di conformità e non serve al miglioramento effettivo della privacy di nessuno . Sheiner spiega in modo convincente le ragioni che sottendono a questo modo di vedere la privacy: le entità a cui affidiamo i nostri dati spesso non hanno grandi incentivi per rispettarla. Un esempio su tutti...

L’uso delle tecnologie ha, ormai, pervaso ogni settore incrementando notevolmente la circolazione dei supporti informatici contenenti dati e informazioni. La superficialità della maggior parte degli utenti pone in serio pericolo la riservatezza delle informazioni, esempio ricorrente è senz’altro il caso del server di una società di carte di credito che è stato rivenduto, “corredato” di tutte le informazioni dei clienti (nomi, indirizzi, coordinate bancarie, …), sul mercato delle tecnologie rigenerate. Il provvedimento del Garante della privacy del 13 ottobre 2008 è stato adottato partendo, come spesso accade, dall’osservazione empirica di un uso disinvolto dei supporti di memorizzazione. Il provvedimento chiarisce, esplicando una funzione didattica, il funzionamento della cancellazione dei dati operata di “default” dal sistema operativo. In effetti la cancellazione elimina i dati dalla nostra vista ma, nella maggior parte dei casi, non ne determina l’eliminazione definitiva. Il...

Il 27 novembre 2008, il Garante ha adottato un provvedimento volto a colmare un vuoto lasciato nel 2003 dal legislatore quando, in sede di stesura del decreto legislativo sulla tutela dei dati personali, non ritenne necessario introdurre un’apposita regolamentazione per la figura dell’amministratore di sistema. Il provvedimento invita i titolari dei trattamenti a porsi nelle condizioni per controllare gli amministratori di sistema che, troppo spesso, interpretano, all’interno delle realtà aziendali, il ruolo di “deus ex machina”. Attraverso il provvedimento vengono prescritte alcune misure di sicurezza da adottare entro il 30 giugno 2009 . Due eventi, in particolare, rendono il provvedimento attualissimo: -           l’apertura di una consultazione pubblica (che si è chiuso il 31 maggio 2009) - con questa disposizione l’Autorità intende raccogliere impressioni, suggerimenti, critiche, attinenti il provvedimento, in modo da valutare l’opportunità di integrarlo o modificarlo; -  ...

Stamattina è stato pubblicato sul sito del Garante un documento ( http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499#FAQ ) contenente la risposta ad alcune tra le domande ricorrenti che i titolari di trattamenti interessati dal Provvedimento del 27  novembre 2008, si sono posti, scorrendo gli adempimenti introdotti. Alcune risposte sono utili a chiarire le idee, molte lasciano almeno i dubbi di partenza. Un elemento emerge da queste FAQ, e non è consolante: viene continuamente richiamato il concetto di idoneità che, se da un lato rimette molti adempimenti al buonsenso dei titolari, dall'altro, ricordando che la valutazione di idoneità in caso di controversie non sarà fatta dal titolare, getta nell'incertezza, per l'ennesima volta, coloro che vorrebbero applicare il Provvedimento in modo corretto ma senza strafare.