Matteo Flora

(in)sicurezza/ Quando il Garante insegna

di Matteo Flora - Come evitare che cada nell'oblo il decalogo sulla protezione dei dati degli italiani? Tutto nelle mani degli utenti: quando scelgono fornitori e software dovrebbero iniziare a farlo con cognizione di causa

Roma - Non succede spesso a chi fa il mio mestiere, ma a volte, raramente, accade di rimanere meravigliati di fronte alla maturità tecnologica di talune istituzioni. In un paese come l'Italia, che tanto ha ancora da imparare riguardo alla Sicurezza Informatica, troviamo finalmente un barlume.

Mi riferisco al provvedimento del Garante riguardo le intercettazioni, ed in particolare le sue recentemente emesse prescrizioni tecniche ed organizzative per la protezione dei dati di traffico internet e telefonico da parte dei gestori. Viene quasi da tirare, finalmente, un sospiro di sollievo.

Le indicazioni fornite dal Garante sono piuttosto precise e, se funzionerà il sistema di controllo della loro applicazione, dovrebbero poter garantire un elevato livello di sicurezza dei dati, in particolare quelli di traffico internet e telefonico relativi alla repressione dei reati.
Se da un lato la repressione dei reati è una faccia della medaglia, i fatti di cronaca che ormai tutti conosciamo hanno fatto tristemente notare come le intercettazione nelle "mani sbagliate" abbiano comportato un pesante attentato alla Privacy degli individui coinvolti.
Ma cosa comporta esattamente il provvedimento? In pratica gli obblighi tecnici si imperniano su quattro punti:

- Accesso ai dati: l'accesso ai dati deve essere consentito solo al personale incaricato mediante avanzati sistemi di autenticazione informatica, anche con l'uso di dati biometrici (es., impronte digitali). Sono compresi nella prescrizione, salvo limitati casi di necessità, anche gli amministratori di sistema, figure chiave della sicurezza delle banche dati, sul cui ruolo, spesso sottovalutato anche nei settori più delicati, il Garante prevede di iniziare una riflessione approfondita.

- Accesso ai locali: i locali in cui sono ospitati i sistemi di elaborazione che trattano dati di traffico telefonico per esclusive finalità di giustizia devono disporre di sistemi biometrici di controllo degli accessi. In ogni caso, i sistemi che trattano dati di traffico di qualsiasi natura vanno installati in locali ad accesso selezionato.

- Sistemi di autorizzazione: le funzioni tra chi assegna le credenziali di autenticazione e chi accede ai dati devono essere rigidamente separate. I profili di autorizzazione da attribuire agli incaricati devono essere differenziati a seconda che il trattamento dei dati di traffico sia effettuato per scopi di ordinaria gestione o per quelli di accertamento e repressione dei reati.

- Tracciamento dell'attività del personale incaricato: ogni accesso effettuato e ogni operazione compiuta da parte degli incaricati e degli amministratori di sistema devono essere registrati in appositi audit log.

- Conservazione separata: i dati tenuti per esclusive finalità di accertamento e repressione dei reati devono essere conservati separatamente da quelli utilizzati per funzioni aziendali (es., fatturazione, marketing, antifrode, statistiche) e i sistemi di elaborazione che li trattano vanno sottoposti a rigide misure di sicurezza fisica e controllo degli accessi.

- Cancellazione dei dati: una volta decorso il tempo previsto di conservazione i dati devono essere immediatamente cancellati o resi anonimi, eliminandoli anche dalle copie di backup create per il salvataggio dei dati.

- Controlli interni: devono essere effettuati controlli periodici sulla legittimità degli accessi ai dati da parte degli incaricati, sul rispetto delle norme di legge e delle misure organizzative tecniche e di sicurezza prescritte dal Garante, sull'effettiva cancellazione dei dati una volta decorsi i termini di conservazione.

- Sistemi di cifratura: contro rischi di acquisizione indebita, anche fortuita, delle informazioni registrate da parte di incaricati di mansioni tecniche (amministratori di sistema, amministratori di data base, manutentori hardware e software) i dati di traffico trattati per esclusive finalità di giustizia vanno protetti con tecniche crittografiche.

Non c'è che dire, la struttura proposta dal Garante è sicuramente una tra le migliori declinazioni nella realtà tecnologica dei sistemi di sicurezza: implementa la confidenzialità, la riservatezza, il puntuale controllo, la cifratura ed addirittura una sorta di "diritto all'oblio" tecnologico. Nulla da dire, forse solo un cappello da togliere di fronte a tanta lungimiranza!

Ciò che lascia perplessi, però, è il termine per l'adozione di queste misure, posto al 31 ottobre 2008. Ricordando ciò che accadde con i termini per l'adozione delle misure minime previste dalla 196/2003, e considerando come i gestori TLC non siano stati particolarmente solerti né entusiasti nel collaborare con la commissione Giustizia del Senato quando fu loro richiesto più volte di documentare le misure di protezione in atto per questo tipo di dati, sorge il legittimo sospetto che almeno una proroga ci sarà. O forse più di una. O forse un decreto milleproroghe...

pur vero che le misure prevedono delle attività la cui pianificazione ed esecuzione può rivelarsi compito non facile in organizzazioni di grosse dimensioni e complesse come sono i gestori TLC. Si tratta di stabilire nuove gerarchie, di implementare sistemi che devono trattare miliardi di righe di "log" al giorno. Si tratta anche di logistica, con accessi biometrici e segregazione fisica. Chi ha lavorato in una di queste aziende sa che, pur partendo con i migliori auspici, vi sono progetti che subiscono lo speciale effetto di aumento dell'entropia con l'aumentare della gerarchizzazione, tipico paradosso delle grandi corporation.

Se poi si tratta di progetti di adeguamento normativo, ovvero con ritorni bassi, nulli o addirittura ad elevato dispendio economico, i freni alla loro realizzazione possono essere sicuramente elevati.

Ma cosa possiamo fare noi tutti per evitare che queste indicazioni non rimangano lettera morta o che la loro applicazione si trascini per anni, lasciando nel frattempo aperta la strada ad altri scandali sulle intercettazioni?

Beh, potremmo iniziare, ad esempio, a fare i cittadini informati ed attenti e a non sottostare a quell'oblio mediatico che ci vede "entusiasti" per un nuovo progetto salvo poi dimenticarlo dopo mesi. La rete è stata in grado in questi anni di portare alla luce numerose promesse mancate (ricordiamo il caso di Italia.it, vero?) e ancora una volta sarebbe opportuno che ciascuno di noi si prestasse al ruolo di "custode" almeno della nostra privacy.

In assenza di altro, dovremmo avere almeno capito che gli strumenti di comunicazione che utilizziamo ogni giorno sono da considerarsi insicuri e tracciabili.

Che dire? Forse è arrivato il momento di "crescere" come consumatori e capire di quali tecnologie ci possiamo fidare e di quali no. E magari, per lo meno sino all'applicazione in toto dei regolamenti del Garante, prediligere talune forme di comunicazione "tutelate" ad altre non ancora in regola, o preferire un "operatore" che abbia implementato le misure in modo corretto ad uno che "tarda" nella loro applicazione. E se l'esperienza insegna, a volte la molla mediatica e remunerativa può molto più di qualunque legge dello Stato...

Matteo Flora
LastKnight.com
21 Commenti alla Notizia (in)sicurezza/ Quando il Garante insegna
Ordina
  • Tutto molto bello, quante logiche condivisibili ma ...

    Ma guardiamo la realtà dei fatti, guardatevi intorno e vi renderete conto che ben pochi attuano quanto già oggi è prescritto, una micro minoranza strutturata e di ampie dimensioni.

    Per il resto siamo al nulla, prendete in mano una qualsiasi struttura informatica di una azienda di piccole dimensioni o peggio ancora di un libero professionista o uno studio professionale.

    Qui la regola dovrebbe essere 'poche norme fatte rispettare', oggi la regola è una enormità di adempimenti che nessuno rispetta semplicemente perché sono talmente tanti, complessi, costosi e farraginosi che ben pochi si sentirebbero in regola ugualmente e chi ci spende su su viene deriso dalla maggioranza che non lo fa.

    E poi ci sono dei principi di fondo che non tornano come si fa a garantire sistemi 'closed source' per loro natura non trasparenti ?
  • Appena approvata la legge ed i suoi termini, ci si preoccupa già di organizzarsi per una proroga, invece che per la sua attuazione; in parole povere, ci si organizza per poter fare lo scaricabarile al momento giusto (più spesso si preferisce utilizzare il termine 'pararsi il ...').

    Ogni proroga, ancorché solo ventilata, è la denuncia del fallimento di coloro che devono gestire ed attuare.

    In ogni caso se i nostri governanti ritengono importante che le misure stabilite vengano effettivamente attuate (tradotto in termini da loro comprensibili: che le intercettazioni effettuate alle loro spalle vengano effettivamente distrutte) gli strumenti li hanno.

    Premetto che le procedure richieste hanno un costo, e che quindi i cittadini devono accettare un rincaro sui costi per i servizi, (benché minimo, se spalmato su grandi quantità di clienti).


    Ad esempio potrebbero essere concessi sgravi fiscali o deduzioni per i costi sostenuti per l'attuazione delle misure richieste, A FRONTE DELLA VERIFICA DA PARTE DI ORGANISMI COMPETENTI (la Polizia Postale, ad esempio) CHE LE MISURE PER CUI SI RICHIEDONO LE AGEVOLAZIONI SIANO STATE EFFETTIVAMENTE IMPLEMENTATE: niente verifica, niente sgravi (ma la responsabilità penale rimane);
    troppo facile accontentarsi di un'autocertificazione: stiamo parlando di utilizzare i soldi dei contribuenti.

    Ovviamente questa legge si applica anche alle aziende estere che forniscono servizi sul territorio nazionale, che pertanto devono assoggettarsi a queste verifiche, almeno per tutte le strutture esistenti sul territorio.

    Aggiungo una cosa molto triste, che ancora una volta dimostra quanto i nostri politici si preoccupino della propria immagine e non della sostanza: ma il signor Garante si è fatto quattro conti in tasca, chiedendosi da dove intende far saltar fuori i soldi per mettere a norma i sistemi informativi dello stato?
    Solo a titolo d'esempio, Ministero della Giustizia, INPS, Ministero delle Entrate, anagrafe, ...

    E così quando salterà fuori l'ennesimo bubbone, qualcuno potrà dire che non c'erano i soldi, e che quindi non è colpa loro ...
  • Il Garante, per essere tale, deve effettuare gli appropriati controlli per poter garantire al popolo che quanto è stato stabilito per legge sia anche stato fatto.

    Invece viviamo in un'Italia dove la multa te la danno soltanto ad incidente avvenuto.
    Di quello che stava succedendo in Telecom se ne sono accorti solo quando il fattaccio è divenuto di pubblico dominio.

    Ma davvero il Garante, il governo ed il popolo italiano credono che dopo queste nuove disposizioni nessuno traccerà, memorizzerà, utilizzerà e venderà i nostri dati?

    L'unica cosa che può fare il Garante per non usurpare il titolo conferitorgli è CONTROLLARE!
    Come fa la Banca d'Italia con le banche.

    Il Garante deve istituire un gruppo specializzato in questi controlli (penso che il personale potrebbe essere preso dalla Polizia Postale).

    Questo team deve iniziare a fare controlli a tappeto su tutte le aziende che trattano grandi quantità di dati di utenti e consumatori (società di telecomunicazioni, ISP, banche, assicurazioni, etc.); i controlli dovrebbero essere effettuati almeno una volta all'anno, o al massimo due.

    Un esempio dei controlli?
    Controlli di primo livello:
    devono esistere e sussistere tutte le misure di sicurezza previste dalla legge:
    1) locali di segregazione,
    2) controllo accessi,
    3) procedure per la gestione della sicurezza e
    4) relativi audit interni,
    5) separazione dei backup,
    6) etc.

    Controlli di secondo livello:
    1) verifica dei log degli accessi per conformità alla legge ed alle procedure di sicurezza interne
    2) verifica dell'effettiva separazione dei permessi di gestione dei sistemi da quelli di accesso ai dati
    3) verifica degli effettivi accessi ai dati, e delle relative autorizzazioni
    4) verifica che i backup verifica che i backup vengano criptati, e che le chiavi di criptazione siano custodite in modo sicuro (ed anche di come vengano tracciati gli accessi a tali chiavi)
    5) verifica che i backup più vecchi siano stati distrutti o anonimizzati, e di conseguenza distrutti i backup originali
    verifica che esistano dei meccanismi
    6) verifica della gestione degli incidenti e delle anomalie di sicurezza
    7) etc.

    Aggiungo che il mancato rispetto di tali norme comporta responsabilità penali, che devono essere fatte rispettare.
    Credo di poter andare sul sicuro ipotizzando che il signor Garante (che ribadisco, DEVE GARANTIRE!) non abbia mai fatto controllare e verificare un solo DPS, di quelli che lui stesso ha reso obbligatori per legge!

    Non nascondiamoci dietro ad un dito: viviamo in un paese dove l'importante non è la sostanza, ma l'immagine.
    La legge è fatta: se non viene rispettata è colpa dei cittadini e delle aziende, e non dello stato che non controlla; ed il Garante può scaricare la sua responsabilità su altri.
  • scusa, ma.. ipotizzi male. Il garante sono anni che fa ispezioni. Hai letto quante ne ha fatte per le grandi banche dati, soprattutto per i telefonici?
    non+autenticato
  • no, onestamente non me ne era giunta notizia.
    se hai qualche link, mi documento molto volentieri.
    sarei però curioso di sapere quanto queste visite siano oggettive (e cioè basate su evidenze, e ripetibili) e quanto completamente siano stati riportati e pubblicati i risultati.
  • Non ho i link sottomano. Comunque anche l'attività descritta in questo articolo è venuta fuori a seguito delle ispezioni, come si legge nel relativo provvedimento (http://www.garanteprivacy.it/garante/doc.jsp?ID=14...)
    non+autenticato
  • Confermo quanto ho scritto prima: è tutta teoria, buona teoria, ma solo teoria, e come dice il saggio:

    in teoria, teoria e pratica dovrebbero essere la stessa cosa,
    in pratica, non lo sono.


    Ciò che vo' significando è che per avere uno straccio di bollino blu (ISO9001) devo subire almeno un'ispezione annuale (anche alle sedi decentrate), mentre per una materia importante come la sicurezza non sono soggetto a nessun controllo (le banche lo sono, a puro titolo di esempio).

    Se proprio ho tanta buona volontà posso richiedere una certificazione tipo ISO27001, che però non dice nulla sul livello dei miei standard di sicurezza; assicura soltanto che i miei processi aziendali tengono in conto la sicurezza.

    vero che se voglio che la mia azienda possa divenire fornitrice di particolari servizi e ministeri dello stato devo ottenere delle certificazioni di sicurezza (NATO, etc.), ma è altrettanto vero che se non sono intenzionato ad offrire i miei servigi, non sono tenuto ad alcuna certificazione, pur svolgendo attività estremamente sensibili alla sicurezza (telecomunicazioni, ISP, etc.).

    Le aziende che hanno e mantengono una qualunque certificazione ISO vedono il proprio riferimento pubblicato su Internet, ed altrettanto vale per quelle che la certificazione se la vedono sospendere o revocare.
    Perché non posso avere un'equivalente evidenza da parte dei controlli che fa il Garante (ma li fa?)?

    Io privato cittadino ho soltanto la parola del Garante che mi assicura che tutto funziona bene, e che tutti gli enti che maneggiano i miei dati li trattano secondo i migliori principi etici, tecnici e professionali.
    ... vorrei dire che è un po' poco, ma ai fini pratici vale quanto l'aria fritta (Telecom insegna).
  • - Scritto da: andy61
    > Come fa la Banca d'Italia con le banche.

    Controlla? Veramente?

    > Non nascondiamoci dietro ad un dito: viviamo in
    > un paese dove l'importante non è la sostanza, ma
    > l'immagine.

    E la responsabilità appartiene a tutti. Nessuno escluso. Il rispetto delle regole è considerato non un vincolo, chi trasgredisce è considerato uno 'furbo', è visto quasi con ammirazione.

    La disonestà diffusa in politica e nell'imprenditoria ne è solo una conseguenza.
  • Condivido ma bisognerebbe cominciare a spiegarlo BENE ai signori di Telecom. Possibile che nonostante il sottoscritto abbia telefonato ripetutamente al 187 per chiedere che i miei dati non vengano diffusi ai call-center per offerte commerciali, capita che ogni sera a ora di cena qualcuno mi chiami per offrirmi olio/armadi/adsl/abbonamenti televisivi?
    E preciso che non sono il tipo che partecipa a concorsi o svende la propria privacy per uno sconto al supermercato.
    Qui esiste un buco sul quale varrebbe la pena di far luce.

    http://menteindisordine.wordpress.com/
    non+autenticato
  • - Scritto da: Alex Supertramp
    > Possibile che
    > nonostante il sottoscritto abbia telefonato
    > ripetutamente al 187 per chiedere che i miei dati
    > non vengano diffusi ai call-center per offerte
    > commerciali, capita che ogni sera a ora di cena
    > qualcuno mi chiami

    Se trovi un associazione di consumatori o assimilata che abbia voglia di fare una class-action all'italiana fammelo sapere che mi accodo. Il mio tempo ha un valore. Rispondere ad una chiamata commerciale è un danno economico (oltre che un abuso).
    non+autenticato
  • Quest'estate ci siamo trovati a discutere in modo un po' paradossale... me ne sono reso conto solo quando ho rivisto il video (appena ho finito di lavorarli vi mando la richiesta di auth!)... tu dicevi che doveva essere tutto cifrato... io ti dicevo che doveva essere tutto non cifrato... di fatto non puo' essere nè l'uno ne' l'altro, nè tantomeno quello che ha indicato il garante (btw: se ti trovi ad accettare scommesse che quella roba non si fara' mai, chiamami perchè ci metto pure i miei soldi a copertura delle scommesse ottimiste... gli diamo l'implementazione no:si 100:1, così incassiamo un bel gruzzolo). A te, visto che ti definisci "IL Paranoico", piacera'... a me no... tuttavia alla fine i nostri amici tedeschi sul loro sito indicano che la via e' nella distinzione tra dati pubblici e dati privati... i primi da diffondere, i secondi da difendere con la forza... tu che dici? Potrebbero aver ragione loro?
  • Uhm, e quale sarebbe la distinzione tra dati "pubblici" e dati "privati"?
    Se io invio una email, cifrata o non, ad un destinatario, questo è un dato pubblico o privato? Le mie conversazioni con una persona intima via skype sono private, giusto?
    I dati che trattengo sui miei dischi\backup sono "privati"?
  • Definizione di PRIVATO:tutto cio' che ai potentati serve per profilarti e gestirti come meglio credono
    PUBBLICO:cose sostanzialmente inutili che comunque in mancanza dei dati importanti (PRIVATI) si possono gestire al meglio.
    Con questa definizione e' tutto piu' chiaro !?
    Non riusciremi mai a difenderci dalle intrusioni...useranno ogni modo.
    In America lo stanno gia' facendo...loro hanno avuto il loro 11 settembre ad hok!Dopo quello la parola TERRORISTI apre qualsiasi lucchetto anche quelli che il buon senso dovrebbe far restare chiusi.
    A quando l'esplosione della torre di Pisa?O del Colosseo?!
    non+autenticato
  • - Scritto da: Ricky
    > Definizione di PRIVATO:tutto cio' che ai
    > potentati serve per profilarti e gestirti come
    > meglio credono
    > PUBBLICO:cose sostanzialmente inutili che
    > comunque in mancanza dei dati importanti
    > (PRIVATI) si possono gestire al meglio.
    > Con questa definizione e' tutto piu' chiaro !?

    No.
    Per nulla.
  • Eheh Ricky... gustose le tue definizioni. Purtroppo la distinzione tra dati pubblici e privati e' cosa estremamente complessa e ricca di insidie, ma non per la questione in se... piuttosto per l'uso che ne fanno certe persone.

    Pero' a voler parlare seriamente non farei delle definizioni funzionali... piuttosto farei delle definizioni "relative"... relative cioe' alla diffusione dei dati che ogni titolare effettua... cioe' che ognuno si assuma la responsabilità dei propri dati. Immagino - qui su due piedi, ovvero mentre scrivo spero che altri commentatori mi facciano poi da controllo d'errore - una cosa del genere:
    - tutti i miei dati sono privati;
    - quando io (e solo io) li pubblico (ie: li scrivo in conversazioni accessibili da chiunque: liste aperte, blog ad accesso pubblico, etc), diventano irreversibilmente pubblici;
    - quando io divento un personaggio pubblico (ie: che rappresenta altri, che assume un incarico pubblico, che si occupa di pubblico interesse), diventano tutti irreversibilmente pubblici in tutto il periodo in cui sono personaggio pubblico;
    - quando io vendo la mia immagine (es: non mi limito a giocare a pallone ma divento testimonial di un prodotto in una pubblicità, la mia società vende gadget con il mio nome sopra, etc), ovvero divento un'icona pubblica, idem.

    Il concetto e' che tu non puoi venderti la tua faccia al pubblico ("Più pilu pe' tutti") e poi incazzarti perchè il pubblico ti fa le pulci quando la magistratura ti intercetta ("Ue', me la mandi quella bella topa per comprarmi un senatore?"). Sono due facce della stessa medaglia. Moglie piena e botte ubriaca? Classico atteggiamento da pesce in barile...
    Vuoi fare soldi con la tua immagine... allora la fornisci tutta... vuoi fare si che altri si fidino di te al punto da consegnarti un grande potere? Allora devi essere disposto ad accettare che qualcuno ti venga a fare le pulci perchè così guardando il tuo sorriso e basta, non si fida di metterti in mano il suo futuro. Il momento della divulgazione di dati altrui e' il determinante:

    - 01/01/2008: Mario Rossi e' privato cittadino e va a mignotte -> se qualcuno lo scrive, gli facciamo rimborsare gli eventuali danni (cazzi suoi come usa il suo pistillo);

    - 01/01/2009: Mario Rossi e' rappresentante del popolo e un giornalista scopre che un anno prima andava a mignotte e che oggi va pure con i trans -> se qualcuno lo scrive, il popolo si regola di conseguenza;

    - 01/01/2010: Mario Rossi si e' dimesso da rappresentante del popolo e un giornalista scopre che oltre alle mignotte e ai trans, si fa di cocaina -> se qualcuno lo scrive, gli facciamo rimborsare gli eventuali danni;

    Ma se tu sei un Mario Rossi che non ha nessuna esposizione pubblica, la tua privacy e' sacra ed e' violabile soltanto in misura di quanto tu stesso diffondi i tuoi dati... e la violazione, che a questo punto non e' una violazione perchè sei stato tu a voler diffondere i tuoi dati, non può che essere irreversibile perchè non c'e' modo di tracciare chi "ha saputo" quel dato per poi poterlo ritirare dalla circolazione... se io so che tu Mario sei gay perchè lo scrivi in un forum di periferia... non e' che poi quando capisci che ti conviene nascondere questa cosa perchè al lavoro/in paese/a scuola/etc sei circondato da stronzi, in preda alla paura di subire angherie di ogni tipo puoi venire da me a dire "dimenticatelo", ne' puoi tirarmelo fuori dalla testa con le pinze... al massimo io, se sono intelligente (e non e' detto), posso evitare di raccontarlo perchè capisco la delicatezza della situazione... ma sei tu che avresti fatto bene a non dirlo, oramai il pastrocchio l'hai fatto e la garanzia che nessuno lo sappia non te la può dare nessunoSorride

    E poi la cosa si dovrebbe declinare ulteriormente. Ad esempio bisognerebbe evitare che un qualsivoglia negozio possa associare la vendita ad un nome e cognome... qualcosa come quello che gia' oggi accade con le ricette mediche... il farmacista vende un farmaco ad una tessera sanitaria... non ad una persona... l'infermiera che e' alla reception dell'ospedale prescrive una prestazione ad una tessera sanitaria, non ad una persona...

    E' un discorso lungo...
  • - Scritto da: Fabi3tto
    > Uhm, e quale sarebbe la distinzione tra dati
    > "pubblici" e dati "privati"?
    > Se io invio una email, cifrata o non, ad un
    > destinatario, questo è un dato pubblico o
    > privato? Le mie conversazioni con una persona
    > intima via skype sono private,
    > giusto?
    > I dati che trattengo sui miei dischi\backup sono
    > "privati"?

    Hai messo il dito sulla piaga. La definizione di cos'è uno e cosa è l'altro è controversa. Per me sapere che c'è stata una comunicazione tra me e te (anche senza informazioni su cosa ci siamo detti) è un informazione privata fino a prova della nostra volontà contraria.
    Per altri è pubblica anche con se c'è la prova che noi non vogliamo farlo sapere.

    Ovviamente i potenti sono più uguali degi altri e a loro non si può fare.... se nò strillano come aquile.

    Difficile trovare un compromesso in questi tempi bui...
    non+autenticato
  • Si ok, se tu guardi "il dato" e cerchi di associarlo a "pubblico" o "privato". Cioe' se cerchi di caratterizzare il dato in base alle sue caratteristiche intrinseche o il loro valore semantico. Ma se tu guardi il dato come caratteristica della persona che ne e' titolare... cambia tutto...

    Gli esempi che fa Fabietto diventano "facili": sono tutti dati privati a meno che tu non prendi la tua mail e la pubblichi sul tuo blog, la tua conversazione skype e la pubblichi in un forum, i tuoi dischi e li metti in un ftp aperto al pubblico. Fermo restando che il tuo interlocutore potrebbe non condividere la tua pubblicazione e quindi rivalersi su di te... a quel punto se tra quei files c'e' un tuo video che da bambino corri pisello al vento sulla spiaggia... beh... hai poco da incazzarti se poi io ti remixo in un video ilare sui bambini che pisciano a fontanella dentro al mare. Mi dirai che io dovrei avere l'onere della prova del fatto che tu hai pubblicato quel materiale sul tuo ftp aperto al pubblico e che questo e' difficile da provare se poi tu poco dopo hai rimosso quei files... ma si puo' provare... se io ci tengo tanto ad immortalarti 6enne pisello al vento su YouTube, prendero' le mie precauzioni (es: se sono una persona rispettosa della privacy altrui, ti verro' a chiedere il permesso di usare la tua immagine o quanto meno a notificarti l'uso; se sono uno che se ne sbatte pur di perseguire i propri fini, farò vedere l'ftp aperto al pubblico e il materiale ai miei collaboratori e quando tu vai da un giudice io ho i testimoni della tua pubblicazione; non e' così facile ma e' solo per rendere l'idea).
  • - Scritto da: mik.fp
    > Gli esempi che fa Fabietto diventano "facili":
    > sono tutti dati privati a meno che tu non prendi
    > la tua mail e la pubblichi sul tuo blog, la tua
    > conversazione skype e la pubblichi in un forum, i
    > tuoi dischi e li metti in un ftp aperto al
    > pubblico.

    A mio parere la pubblicazione non li trasforma in dati pubblici. Se ho dato la mia mail ad un forum di discussione sui pinguini nani del madagascar non significa che abbia autorizzato la megacorporescion "animali da compagnia per tutti" a mandarmi la sua pubblicità.
    Sarebbe troppo facile.

    > Fermo restando che il tuo interlocutore
    > potrebbe non condividere la tua pubblicazione e
    > quindi rivalersi su di te...

    Come se il risarcimento estinguesse il danno...

    > a quel punto se tra
    > quei files c'e' un tuo video che da bambino corri
    > pisello al vento sulla spiaggia... beh... hai
    > poco da incazzarti se poi io ti remixo in un
    > video ilare sui bambini che pisciano a fontanella
    > dentro al mare. Mi dirai che io dovrei avere
    > l'onere della prova del fatto che tu hai
    > pubblicato quel materiale sul tuo ftp aperto al
    > pubblico

    Non basta. Il fatto che io abbia pubblicato un mio filmato in un certo contesto non ti autorizza ad utilizzarlo in un altro. Questo è un furto bell'e buono e una violazione immensa della mia individualità.
    Probabilmente sarei meno categorico riguardo ad una parte di un filmato rilasciato commercialmente, ma certo riguardo ad un filmato amatoriale non ho alcun dubbio. Non puoi usare neanche un fotogramma senza il mio permesso scritto. Non è pubblico ne di interesse pubblico il mio pisello a 6 anni.

    Il tuo esempio devo dire che mi ha davvero "terrorizzato", per la distanza tra le nostre posizioni. Non pensavo davvero che qualcuno potesse sostenere posizioni simili. Un conto è dare addosso ai guadagni delle multinazionali, ma attaccare così i diritti delle persone. Non credevo. Dimmi che ti ho capito male, ti prego.
    non+autenticato
  • - Scritto da: precisino
    > - Scritto da: mik.fp
    > > Gli esempi che fa Fabietto diventano "facili":
    > > sono tutti dati privati a meno che tu non prendi
    > > la tua mail e la pubblichi sul tuo blog, la tua
    > > conversazione skype e la pubblichi in un forum,
    > i
    > > tuoi dischi e li metti in un ftp aperto al
    > > pubblico.
    >
    > A mio parere la pubblicazione non li trasforma in
    > dati pubblici. Se ho dato la mia mail ad un forum
    > di discussione sui pinguini nani del madagascar
    > non significa che abbia autorizzato la
    > megacorporescion "animali da compagnia per tutti"
    > a mandarmi la sua
    > pubblicità.
    > Sarebbe troppo facile.

    Precisi', non c'ho tempo per giocare con i pinocchietti... leggi tra le righe... (e leggiti anche il messaggio con cui rispondevo a Ricky; sto soltanto dando una diversa interpretazione di dato pubblico/privato, ma ci sarebbe tanto lavoro da fare prima di passare a questa ottica)... e passami la battuta senza incazzarti (e' uno sfotto' innocente relativo al fatto che ti firmi "precisino")... semplicemente non ci siamo capiti.

    Per *gli indirizzi email* sono d'accordo con te (cerca "Spaghetti Spam" nell'archivio di PI; e poi cerca il mio nome dentro l'archivio del Garante Privacy... ci sono molti più ricorsi di quelli che troverai, ma purtroppo le parti condannate in genere chiedono la non pubblicazione del provvedimento). Ma Fabietto parlava di una email (indirizzi+contenuto); e il contenuto dell'email non lo posti sul forum dei nani del madagascar se non hai intenzione esplicita di pubblicare il contenuto della mail (cosa che invece avviene con l'indirizzo perchè per lasciare agli interlocutori la possibilità di scriverti devi per forza pubblicarlo).
    Inoltre per i dati sull'ftp effettivamente potrebbe non bastare... ho scritto senza pensare a sufficienza... bisognerebbe ragionarci un attimo per capire in quali circostanze la pubblicazione dei files e' esplicita...
    Inoltre escludo a priori la possibilità di fare dei dati una merce, perchè i dati di una persona sono "un pezzo della sua anima" (famose a capi', non sono un religioso).

    > > Fermo restando che il tuo interlocutore
    > > potrebbe non condividere la tua pubblicazione e
    > > quindi rivalersi su di te...
    >
    > Come se il risarcimento estinguesse il danno...

    Il risarcimento ad una vedova non gli restituisce il marito morto ammazzato, però per lo meno non la lascia in mezzo alla merda nelle questioni materiali a cui dovra' di punto in bianco provvedere da sola. Non puniamo l'omicida perchè tanto il risarcimento non lo riporta in vita?
    Ovvero: l'esistenza di una pena e' dovuta a vari fattori... non soltanto alla necessità di risarcire il danneggiato... leggiti Beccaria e chiedi ad un giurista.

    > > a quel punto se tra
    > > quei files c'e' un tuo video che da bambino
    > corri
    > > pisello al vento sulla spiaggia... beh... hai
    > > poco da incazzarti se poi io ti remixo in un
    > > video ilare sui bambini che pisciano a
    > fontanella
    > > dentro al mare. Mi dirai che io dovrei avere
    > > l'onere della prova del fatto che tu hai
    > > pubblicato quel materiale sul tuo ftp aperto al
    > > pubblico
    >
    > Non basta. Il fatto che io abbia pubblicato un
    > mio filmato in un certo contesto non ti autorizza
    > ad utilizzarlo in un altro. Questo è un furto
    > bell'e buono e una violazione immensa della mia
    > individualità.
    > Probabilmente sarei meno categorico riguardo ad
    > una parte di un filmato rilasciato
    > commercialmente, ma certo riguardo ad un filmato
    > amatoriale non ho alcun dubbio. Non puoi usare
    > neanche un fotogramma senza il mio permesso
    > scritto. Non è pubblico ne di interesse pubblico
    > il mio pisello a 6
    > anni.

    Oggi come oggi sarei d'accordo con te... ripeto... per vedere le cose in questo modo ci sarebbe tanto altro da fare (leggi la mia risposta a Ricky)... tuttavia sto esplorando questa strada - e solo a livello speculativo insieme a voi altri lettori di PI - perchè c'e' un'evidenza che non si puo' continuare a far finta che non ci sia: la pubblicazione di un dato, qualunque esso sia, nella stragrande maggioranza dei casi e' un'operazione irreversibile (se tu che pisci fai ridere da matti... che ne so... cadi dallo scoglio e inizi a piangere facendo facce sformate... e lo pubblichi una volta, dopo 3 giorni avrai il tuo pistillo su YouTube con 1 milione di views, forse addirittura girera' pimpante sui circuiti P2P); e' come spremere il tubetto del dentifricio.
    Se vai a vedere, uno dei problemi fondamentali dell'attuale impostazione giuridica (e del pensiero diffuso tra di noi) e' l'impossibilità di accertarsi che un dato scompaia dalla rete... oggi tu vieni condannato in primo grado, io nell'ambito di una inchiesta sul tuo operato lo scrivo su PI perchè e' vero e tu sei un amministratore pubblico; domani in secondo grado ti assolvono, ma io non ho seguito la vicenda, oppure non mi interessa scriverlo perchè non ho altre info che giustificano una intera pubblicazione per i lettori (i quali sono interessati alla vicenda pubblica, non alla tua condanna); domani Mario, elettore, va a cercare il tuo nome su Google perchè e' quasi convinto a votarti... però trova il mio articolo che gli dice che sei un criminale (non e' vero, ma quella e' l'unica info che trova) e non ti vota; io ho agito in buona fede perchè ho semplicemente riportato una condanna di primo grado; tu non sei un criminale ma non becchi il voto; e, se anche venissi a sapere di questa cosa e ti rivolgi al Garante, il garante non puo' farci nulla perche' non ha modo di assicurarsi che ovunque sia stata riportata la tua condanna di primo grado (es: qualcuno ha incollato uno stralcio del mio articolo su un forum chiuso da una iscrizione... dove cioe' il bot di Google non entra), venga riportata anche quella di secondo (e eventualmente terzo) grado.

    > Il tuo esempio devo dire che mi ha davvero
    > "terrorizzato", per la distanza tra le nostre
    > posizioni. Non pensavo davvero che qualcuno
    > potesse sostenere posizioni simili. Un conto è
    > dare addosso ai guadagni delle multinazionali, ma
    > attaccare così i diritti delle persone. Non
    > credevo. Dimmi che ti ho capito male, ti
    > prego.

    Tranqui, hai capito maleSorride

    Il fatto e' che evidentemente sei stanco di vedere tutte queste violazioni della privacy... e non dirlo a me, che ne ho fatte di tutti i colori in passato (sai che uno dei peggiori untori di dialer era un muratore di Terni? Insieme ad altri 8 admin a suo tempo lo abbiamo inseguito per mezza Italia... io con la macchina a fare le foto alle sedi legali che spostava di continuo... prendevo macchinina, mettevo benzinina, pagavo casello, e andavo a consegnare raccomandate a mano che non venivano accettate dal postino)...

    ... ma cerca di leggere i messaggi partendo dalla tabula rasa, perchè se interpreti emotivamente, arrivi immediatamente a conclusioni sbagliate.

    ciao

    Michele
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)