Il gioco del P.P.

di A. Lisi (scint.it) - Proroga Privacy, questo il nome del giochino che tra normative vigenti e modifiche ricorrenti si vince facendo passare la palla della sicurezza tra le porte di legno dei decreti

Roma - Sono in arrivo modifiche per il già modificato art. 180 del D.Lgs. 196/2003! Le (nuove) misure di sicurezza dovranno essere adottate entro il 31 dicembre 2005 (e tra queste, quindi, anche il tanto "odiato" D.P.S., il documento sulla sicurezza) e, in caso di utilizzo di strumenti elettronici obsoleti e che, quindi, per ragioni tecniche non consentano l'adeguamento alle misure di sicurezza del Codice Privacy, lo slittamento del termine è previsto al 31 marzo 2006.

Questo quanto contenuto nel nuovo articolo 6-bis, rubricato "Misure di sicurezza nel trattamento dei dati personali", introdotto il 9 febbraio 2005 dalla Camera dei Deputati nel disegno di legge n. 5521 di conversione, con modifiche, del decreto legge n. 314 del 30 dicembre 2004 (cd. Decreto "Mille Proroghe" - in G.U. n. 306 del 31/12/2004). Il disegno di legge di conversione prorogherà quindi ulteriormente i termini già prorogati dal decreto legge n. 314!

Sembra incredibile, sembra di partecipare a un gioco a scommesse (arriverà o non arriverà un'altra proroga??), ma è la pura realtà...

In particolare l'art. 180, con le imminenti modifiche, così reciterà:

"Art. 180 (Misure di sicurezza)
1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all'allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 31 dicembre 2005.
2. Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle misure minime di cui all'articolo 34 e delle corrispondenti modalità tecniche di cui all'allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura.

3. Nel caso di cui al comma 2, il titolare adotta ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi di cui all'articolo 31, adeguando i medesimi strumenti al più tardi entro il 31 marzo 2006".


Il testo del ddl si trova attualmente presso la Commissione Affari Costituzionali del Senato per la approvazione definitiva. La conversione in legge dovrà avvenire entro il primo marzo 2005.

Giova ricordare che la proroga riguarderà solo le "nuove" misure di sicurezza (cioè, le misure di sicurezza previste per la prima volta con il cd. Codice privacy e, quindi, non contenute nella legge 675/1996 - D.P.R. 1999, n. 318). In particolare, chi era tenuto ad adottare il D.P.S. (Documento Programmatico sulla Sicurezza) con la precedente normativa rimane ancora obbligato alla redazione di questo importante (ma ormai fantomatico) documento.

Ma tutte le misure minime di sicurezza (previste dagli artt. 33-35 del Codice e dall'Allegato B allo stesso) vecchie e nuove andrebbero sempre considerate indispensabili nella strategia di qualsiasi amministrazione, impresa, studio professionale, almeno in considerazione dell'art. 15 del Codice che prevede (si rammenta) che "chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11". Tutte le misure minime di sicurezza andrebbero, quindi, sempre implementate in una corretta "privacy policy" quali misure idonee per la sicurezza dei trattamenti effettuati.

Ma questo curioso, continuo "balzello privacy", non si può certo negarlo, danneggia sino alle fondamenta la credibilità di tutti questi adempimenti e tutti ne sono responsabili.

La normativa sulla privacy, nonostante i tanti sforzi dell'Autorità garante, viene avvertita dalla coscienza sociale come un burocratico e costoso adempimento, un nuovo modo per fare business a danno di imprese e amministrazioni. Chi se l'è potuto permettere, ha adempiuto ai "doveri privacy" pagando profumatamente i "professionisti della privacy e della sicurezza" (che hanno fatto di tutto - diciamocelo - per rendere difficoltosissima la lettura di queste norme e un misterioso rebus il Documento Programmatico per la Sicurezza!).

Per il resto, nessuno ha voluto prendere in seria considerazione la nuova normativa e basta guardare le informative privacy per rendersene conto: la maggior parte delle informative (di amministrazioni e imprese) recano ancora l'indicazione della abrogata legge 675/1996...e meno male che sono previste pesanti sanzioni in caso di omessa o inidonea informativa!!!

Anche queste proroghe fanno parte di un pericoloso "gioco di tiro a piattello" nei confronti della normativa sul trattamento dei dati personali, la quale ha certamente delle carenze, ma probabilmente doveva essere preceduta da una più corretta "alfabetizzazione privacy", che non c'è stata, o almeno non in maniera adeguata...

Infine, un'ultima considerazione: se la proroga del 3° comma dell'art. 180 può anche spiegarsi con la difficoltà tecnica (ed economica) di adeguare tutti i sistemi operativi obsoleti (e, forse, si poteva pensare sin dall'inizio ad un periodo di adeguamento lungo e/o ad una maggiore elasticità normatva); appare invece veramente incomprensibile questa ulteriore proroga per la redazione del D.P.S.!

Non si comprende quale possa essere la ragione di questo ulteriore slittamento del termine! Quale difficoltà operativa ha la redazione di un documento di carattere programmatico e "fotografico" della politica aziendale in tema di sicurezza dei dati personali? Le risposte, spiace dirlo, sono da ricercarsi in questioni che hanno poco di giuridico e molto di "business"...

Avv. Andrea Lisi
(Titolare dello Studio associato D.&L. - curatore del sito www.scint.it)
TAG: italia
27 Commenti alla Notizia Il gioco del P.P.
Ordina
  • "Non si comprende quale possa essere la ragione di questo ulteriore slittamento del termine! Quale difficoltà operativa ha la redazione di un documento di carattere programmatico e "fotografico" della politica aziendale in tema di sicurezza dei dati personali? Le risposte, spiace dirlo, sono da ricercarsi in questioni che hanno poco di giuridico e molto di "business"...

    quale difficoltà? il documento FORMALIZZA posizioni,responsabilizza persone.

    In alcuni ambienti questo non è un problema, perchè i software sono originali, le cariche e i compiti stabiliti e commensurati alle retribuzioni. Ma in vari altri casi nessuno si vuol prendere responsabilità sulle quali non ha autorità, potere decisionale, potere d'acquisto e di modifica.

    Se non puoi adeguare strumentazione e comportamento d'uso, non vuoi redigere un documento che dice "SIAMO FUORI REGOLA!" oppure hai un contratto di impiegato specializzato che dice che fai X, mentre invece alla fine ti occupi di tutta l'infrastruttura tecnologica ma sei autodidatta, non ti fanno fare corsi, non vogliono comprare materiali , software e licenze, non vogliono adottare le politiche corrette perchè "qui dobbiamo lavorare, mica fare i videogiochi" ... magari ti trovi a lavorare con l'80% delle postazioni pirata ... e dovresti mettere nome, cognome e firma?
    E l'alternativa?
    Adeguare tutto e in fretta ... postazioni su postazioni da rimodernare e da licenziare ... soldi, soldi, soldi.

    nelle PMI di molti settori in questo momento si tira la cinghia: immaginarsi se voglion cacciare soldi per adeguarsi "di colpo"

    :-/

    sono disperato!Triste
    non+autenticato
  • Complimenti è stato un intervento molto interessante ed istruttivo. Ci tenevo a dirlo
    non+autenticato
  • il primo marzo! Come al solito l'ultimo giorno disponibile per la conversione in legge del decreto!
    Infatti, il seguito della discussione del disegno di legge di Conversione in legge, con modificazioni, del decreto-legge 30 dicembre 2004, n. 314 è stato fissato proprio Martedì 1° marzo 2005 alle ore 16,30 come risulta dall'Ordine del giorno della 751ª Seduta Pubblica, senonchè il Decreto-legge n. 314 - Proroga termini (Approvato dalla Camera dei deputati) scade proprio il 1° marzo Sorride
    non+autenticato
  • Se c'e' qualche esperto qui sul forum, puo' gentilmente dirci quali S.O., secondo questa ridicola legge, si possono usare in un azienda ed in quali ruoli?
    Giusto xche' nella mia abbiamo ancora dei vecchi pc con win95 "lissio" che pero' svolgono piu' che adeguatamente il loro lavoro!!!
    E gli altri sono un misto di Win98, Win98se, WinME e XpPro
    Ma secondo un paio di "esperti" consultati, tutti tranne gli XpPro devono essere cambiati!!!
    E preciso che i dati e le applicazioni sono tutti (tranne le e-mail ed alcuni documenti e/o moduli ad uso interno) su di un server Win2K a cui i client accedono solo tramite servizi Terminal con relativo login...
  • purtroppo confermo, solo winxp e win 2000 sembrerebbero essere in linea con la legge...
    non+autenticato
  • Dia retta a questi fantomatici "esperti".
    Purtroppo per Lei, dei S.O. menzionati, le sole macchine con WinXp rispettano i requisiti minimi
    non+autenticato
  • - Scritto da: Anonimo
    > Dia retta a questi fantomatici "esperti".
    > Purtroppo per Lei, dei S.O. menzionati, le sole
    > macchine con WinXp rispettano i requisiti minimi

    E per quale fantomatica ragione solo Xp andrebbe bene?
    I programmi ed i dati mica sono sui client!!!
    Sono su server ed l'autenticazione la fa il server Win2000 tramiete i servizi Terminal.

    CMQ, se usassi Linux (x non dover cambiare anche i pc che Xp non lo reggono)?

  • - Scritto da: The FoX
    > - Scritto da: Anonimo
    > > Dia retta a questi fantomatici "esperti".
    > > Purtroppo per Lei, dei S.O. menzionati, le sole
    > > macchine con WinXp rispettano i requisiti
    > minimi
    >
    > E per quale fantomatica ragione solo Xp andrebbe
    > bene?
    > I programmi ed i dati mica sono sui client!!!
    > Sono su server ed l'autenticazione la fa il
    > server Win2000 tramiete i servizi Terminal.

    mi trovo perfettamente d'accordo.
    se i dati sono accessibili solo tramite autenticazione fornita da un controller di dominio e sono situati su una macchina 2000, XP, NT , allora non ci sono problemi.

    Anche le macchine win95, 98, ME vanno bene, purchè non contengano esse stesse i dati, che devono invece essere sulle cartelle "profilate"

    Questo ci ha detto la NS consulente
  • I dati stanno sul server, quindi è sufficiente che venga protetto il server con un appropriato uso delle password. L'importante è che nei client 95, 98 e Me gli utilizzatori non facciano copie locali dei dati.
    non+autenticato
  • Dato che mi trovo nella tua stessa situazione e a suo tempo avevo fatto una ricerca un po' più approfondita di quanto hanno concluso i tuoi consulenti, spero di poterti aiutare con questo link dove si spiega come implemnetare un sistema di autorizzazione "decente" anche con Win95/98:

    http://www.zisman.ca/poledit/

    Mal che vada, su it.comp.sicurezza.varie si è detto che per i pc sui quali gira win95/98 come sistema di autenticazione si può usare la password al boot, a patto che a ciascun pc corrisponda un solo utente. Almeno nominalmente.

    Poi si sa, a casa sua ognuno fa ciò che vuole Occhiolino

    ==================================
    Modificato dall'autore il 28/02/2005 12.14.10
    Bruco
    2098
  • - Scritto da: Bruco
    > Dato che mi trovo nella tua stessa situazione e a
    [CUT]
    > password al boot, a patto che a ciascun pc
    > corrisponda un solo utente. Almeno nominalmente.
    Molto interessante... anche se poi vaglielo a spiegare che anche un 98 puo' essere "sicuro" se ti fanno un controllo


    > Poi si sa, a casa sua ognuno fa ciò che vuole Occhiolino
    Seeee... MAGARI!!!
    Pur di obbligarti qualche idiota ha pure previsto il penale!!!!
  • Ma cosa centrano le password all'avvio.

    Questo non protegge minimamente i dati se i dati sono scritti in chiaro sul disco

    Sara' talemnte sicuro il sistema di Windows 2000/XP che se uno si connette con la password di amministratore puo' leggere tutto il disco. E spesso la password di amministatore e' uguale su tutte le macchine della rete. Se su una macchina sono loggato come amministratore riesco a vedere tutte le altre (senza che neanche mi richieda di digitare la password!!!!)
    non+autenticato

  • > Mal che vada, su it.comp.sicurezza.varie si è
    > detto che per i pc sui quali gira win95/98 come
    > sistema di autenticazione si può usare la
    > password al boot, a patto che a ciascun pc
    > corrisponda un solo utente. Almeno nominalmente.

    a me questo non risulta: è l'identificabilità, non una protezione di sicurezza, quel che conta per il DPS.

    però se mi dici che al pc accede una sola persona, potrebbe essere un trucchetto corretto.
    non+autenticato
  • Non fanno altro che sfornare leggi apparentemnte inutili alla massa, invece che ridurre il debito e farci stare meglio, con un lavoro sicuro e un futuro pieno di speranza.....Sanno solo tenere il culo appiccicato alla sedia di pelle e scrivere fesserie che i giudici saranno obbligati ad applicare.....ma di benessere neanche l'ombra.....

    Ps
    Vi ho detto che l'italia è a rischio fallimento? Non importa chi sale al potere.....le leggi inutili le fanno tutti, e che atrlo devono fare?
    non+autenticato
  • concordo pienamente con vari i dubbi sollevati dal (come al solito) ottimo avvocato Lisi!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)