Tecnocontrollo dei dipendenti, quando il Garante dice no

di Avv. V. Frediani - La verifica indiscriminata delle attività dei lavoratori con tracciamento degli indirizzi IP e dei MAC Address viola il diritto alla privacy e anche il Jobs Act. L'analisi della decisione dell'Authority italiana

Roma - Il MAC Address (Media Access Control Address) è un dato personale? Sì, lo affermano le norme nazionali e comunitarie e lo ricorda il Garante per la Protezione dei dati personali in un provvedimento datato 13 luglio 2016, pubblicato di recente. Protagonista è un Ateneo italiano accusato dai suoi dipendenti di effettuare verifiche di massa ed indiscriminate - in aperto contrasto con il Codice della Privacy e lo Statuto dei Lavoratori - sulle attività di navigazione in rete ed utilizzo della posta elettronica. Si torna quindi a parlare di controllo a distanza e di Jobs Act.

Il personale tecnico, amministrativo e docente dell'Ateneo in questione ha infatti denunciato la violazione della propria privacy nonché l'essere sottoposti a controllo a distanza da parte dell'amministrazione dell'ente universitario che, di contro, ha respinto ogni accusa affermando come "l'attività di monitoraggio delle comunicazioni elettroniche" fosse "attivata saltuariamente, e solo in caso di rilevamento di software maligno e di violazioni del diritto d'autore o di indagini della magistratura".
In fase di istruttoria, con specifico riguardo all'utilizzo dei sistemi di comunicazione elettronica, l'Ateneo ha dichiarato che: "i log delle attività di rete sono anonimi: vengono raccolti e conservati i dati relativi ai MAC Address ed agli indirizzi IP dei personal computer (...)" e "non vengono raccolti dati personali contenuti nella comunicazione di rete, eccezion fatta per il MAC Address (legato alla postazione utilizzata per l'attività lavorativa) e l'indirizzo IP dinamico ottenuto nella sessione di lavoro". E, aspetto determinante, "non è stata fornita nessuna informativa ai sensi dell'articolo 13 del Codice (...) in quanto non è possibile (trattare) dati personali (...) per cui l'informativa è superflua".

Quest'ultima affermazione denota una certa contraddittorietà - sottolineata dal Garante per la protezione dei dati personali - dal momento che, appurato come un MAC Address sia a tutti gli effetti un dato personale in quanto codice univoco associato dal produttore a ogni scheda di rete ethernet o wireless prodotta al mondo, e come tale adatto a risalire all'identità del suo utilizzatore, il non aver reso appropriata informativa - di fatto - va a configurare un trattamento illecito nonché un controllo a distanza sull'attività dei lavoratori.
Inoltre, contrariamente a quanto sostenuto dal titolare del trattamento, la presenza di postazioni condivise fra più persone è emersa quale circostanza residuale, non sufficiente a evitare il configurarsi di un monitoraggio costante ed immotivato delle attività svolte dal personale di Ateneo, in contrasto con il Codice Privacy e con la normativa sul controllo dei lavoratori, anche nella aggiornata versione nota come Jobs Act.
Assolutamente inconsistente, dal punto di vista normativo e come best practice, la giustificazione addotta dall'Ateneo: "L'associazione tra il MAC Address della postazione e del dipendente che lo utilizza non viene in alcun modo effettuata" e "il MAC Address non (è) un dato identificativo tale da rendere necessaria l'informativa"; "nella normale attività nessuno è in grado di associare l'utilizzatore con il MAC Address. Solo l'amministratore di rete (può farlo) previa legittima richiesta" (cfr. nota del 14 ottobre 2015, in atti).

Allo stesso modo il fatto che il Senato accademico ed il Consiglio di amministrazione dell'Ateneo abbiano approvato un "Regolamento di utilizzo della rete internet e della posta elettronica", pubblicato sul sito web di cui è "stata data comunicazione a tutto il personale docente e non docente", non è misura idonea a sostituire l'adempimento all'art. 13 del Codice. Non sono infatti stati rinvenuti gli elementi essenziali di legge per l'informativa da rendere agli interessati, "né (il Regolamento, ndr) è idoneo a renderli edotti in modo esaustivo in merito alle operazioni di trattamento effettuate, con particolare riferimento alla raccolta, alla conservazione e alle altre operazioni di trattamento dei dati relativi ai MAC Address e agli indirizzi IP dei personal computer a loro messi a disposizione o assegnati in uso".

Ciò che il Garante sottolinea è la distanza tra quanto affermato nel documento prodotto e quanto previsto dal Codice in termini di liceità e correttezza dei trattamenti effettuati. Se all'art. 14 del suddetto Regolamento si legge che "le attività di accesso ai servizi internet ed in particolare l'utilizzo della posta elettronica sono registrati in forma elettronica" per il tramite del personale del "settore competente", il riferimento in esso contenuto alla gestione "in maniera anonima" e all'utilizzo di queste informazioni "esclusivamente in relazione alle attività di monitoraggio del servizio, alla sicurezza e all'integrità dei sistemi", la fase istruttoria ha invece evidenziato altro.
Emerge che l'Ateneo compie operazioni di raccolta e conservazione dei file di log, per un periodo di 5 anni. Dati che contengono, tra gli altri, il MAC Address, l'indirizzo IP, informazioni relative all'accesso ai servizi internet, dati sull'utilizzo della posta elettronica e delle connessioni di rete. Un tempo di conservazione così elevato, e definito erroneamente "in forma anonima", è stato giustificato per finalità "di monitoraggio del servizio nonché di sicurezza e (...) integrità dei sistemi" (art. 14, comma 3, Reg., cit.) nonché in caso di richieste investigative dell'Autorità giudiziaria (cfr. nota 22 maggio 2015, cit.: "(...) fornire alle forze dell'ordine che su mandato della magistratura debbano compiere indagini su attività illecite che hanno avuto come sorgente o come destinatario i sistemi informatici dell'Ateneo".

Il Regolamento interno appare dunque al Garante "non idoneo ad informare in modo chiaro e dettagliato circa la raccolta e le caratteristiche dell'effettivo trattamento dei dati personali degli utenti, nonché in ordine all'eventuale utilizzo degli stessi per controlli anche su base individuale".

In aggiunta a quanto fin qui rilevato, mentre il titolare del trattamento afferma che le operazioni di monitoraggio e controllo vengono effettuate su segnalazione del Network Operating Center (NOC) del Gruppo Armonizzazione Reti della Ricerca (GARR) in caso di violazione del diritto d'autore, diffusione di malware o software maligno, il regolamento interno sottoposto al Garante evidenzia invece che tali attività vengono effettuate in modo costante e che, in presenza di "violazione delle regole" vengono informate le Autorità competenti e successivamente consentite le operazioni di identificazione dell'"utente utilizzatore".

Considerando che il trattamento posto in essere avviene nei confronti di dipendenti e che il collegamento tra i dati relativi alla connessione e la persona utilizzatrice consente di ricostruirne l'attività (anche indirettamente), risulta evidente il contrasto con il principio di liceità, nonché con la disciplina di settore in materia di lavoro, anche rispetto alle modifiche intervenute per effetto dell'art. 23 del decreto legislativo 14 settembre 2015, n. 151 (Jobs Act).

È importante, in tal senso, che il Garante abbia rilevato come il trattamento venisse effettuato utilizzando apparati (differenti dalle ordinarie postazioni di lavoro) e sistemi software non percepibili dall'utente che, in background e in modo del tutto indipendente rispetto alla normale attività dell'utilizzatore, operavano "azioni di "monitoraggio", "filtraggio", "controllo" e "tracciatura" costanti ed indiscriminati degli accessi a Internet o al servizio di posta elettronica. Software - questi ultimi - che non possono essere considerati "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa".
Lo sono invece e-mail aziendale e collegamento alla rete di Ateneo, così come sistemi e misure di sicurezza della rete aziendale stessa qualora ci si riferisca a firewall, logging con conservazione dei soli dati esteriori delle mail per un periodo non superiore ai sette giorni; filtraggio antivirus per rilevare anomalie di sicurezza nelle postazioni di lavoro o sui server per l'erogazione dei servizi di rete; sistemi di inibizione automatica della consultazione di contenuti in rete inconferenti rispetto alle competenze istituzionali, senza registrazione dei tentativi di accesso.

Considerando quindi le scelte effettuate dall'Ateneo a livello di infrastruttura, gli strumenti di monitoraggio utilizzati, i tempi di conservazione dei dati, la tipologia e profondità dei dati registrati con costanza, i trattamenti effettuati non solo non appaiono leciti, ma si pongono anche in violazione dei principi di necessità, pertinenza e non eccedenza.
Si richiamano qui i principi cardine che hanno guidato la redazione del nuovo Regolamento Europeo sulla Data Protection (GDPR): minimizzazione del trattamento, proporzionalità rispetto alle finalità perseguite e accountability.

In particolare, conservare i dati relativi al MAC Address e quelli relativi alla connessione ai servizi di rete in modo massivo, consentendo allo stesso tempo di associarli in via univoca all'utente, non appare al Garante in linea con la generica finalità di protezione e sicurezza informativa espressa nel Regolamento di Ateneo. Anche la possibilità di indagini giudiziarie (pur in assenza di episodi anomali scatenanti o ricorrenti nel tempo), non basta ad escludere un trattamento di dati eccedente rispetto agli scopi dichiarati (artt. 3 e 11, comma 1, lett. d) del Codice).

Per tali motivi appare assolutamente condivisibile la decisione dell'Autorità Garante che ha vietato all'Ateneo - con effetto immediato - l'ulteriore utilizzo dei dati raccolti con trattamento illecito, imponendone tuttavia la conservazione per tutela dei diritti in sede giudiziaria e per eventuali azioni della magistratura. Lasciando a quest'ultima la valutazione di eventuali illeciti penali, il Garante si è riservato di valutare, con procedimento autonomo, la sussistenza di violazioni amministrative in capo al titolare del trattamento.
Un provvedimento che conferma con decisione come la normativa privacy e quella riguardante il controllo dei lavoratori siano tutt'altro che in contrasto. La paura di un'apertura indiscriminata a sistemi di controllo dei dipendenti, anche a distanza - a seguito del Jobs Act - appare oggi ancor meno motivata. Necessaria, dunque, una maggiore cultura aziendale per prevenire inutili conseguenze giudiziarie, amministrative e in termini di reputazione.

Avv. Valentina Frediani
Founder e CEO Colin & Partners
Notizie collegate
148 Commenti alla Notizia Tecnocontrollo dei dipendenti, quando il Garante dice no
Ordina
  • Ipotizziamo che: un utente dell'Ateneo sia un pedofilo. La polizia postale segue le sue tracce fino all'Ateneo. A questo punto la P.P. chiede al sysadmin di poter identificare in modo univoco chi ha scaricato quel particolare file, a quella particolare ora (ovvero di sapere il lease DHCP e il MAC address associato). Bene, secondo il sig. Garante, cosa dovrebbe fare il povero Sysadmin ?
    non+autenticato
  • - Scritto da: Matteo
    > Ipotizziamo che: un utente dell'Ateneo sia un
    > pedofilo. La polizia postale segue le sue tracce
    > fino all'Ateneo. A questo punto la P.P. chiede al
    > sysadmin di poter identificare in modo univoco
    > chi ha scaricato quel particolare file, a quella
    > particolare ora (ovvero di sapere il lease DHCP e
    > il MAC address associato). Bene, secondo il sig.
    > Garante, cosa dovrebbe fare il povero Sysadmin
    > ?

    Non funziona cosi'.
    La P.P. chiede al rettore dell'ateneo, non al sysadmin .
    Il sysadmin dell'ateneo risponde solo al capo dipartimento e al rettore.
  • - Scritto da: Matteo
    > Ipotizziamo che: un utente dell'Ateneo sia un
    > pedofilo. La polizia postale segue le sue tracce
    > fino all'Ateneo. A questo punto la P.P. chiede al
    > sysadmin di poter identificare in modo univoco
    > chi ha scaricato quel particolare file, a quella
    > particolare ora (ovvero di sapere il lease DHCP e
    > il MAC address associato). Bene, secondo il sig.
    > Garante, cosa dovrebbe fare il povero Sysadmin
    > ?

    E questo tizio dovrebbe scaricare materiale scottante dai computer dell'ateneo ? Cavolo ma è furbissimo.
    Ma guarda che in quel caso non arrivi comunque a quella persona, se navigava con TOR per esempio ? Se cambi MAC ?
    Ma anche più banalmente, se nella solita postazione c'era qualcun altro ?
    non+autenticato
  • Guarda fossi un pedofilo cazzuto, la prima cosa che fare sarebbe alzare il portatile di un collega e leggermi sotto il mac della scheda wifi. O leggerlo da un access point.

    Oppure sniffare i mac in rete con appositi tool e spoofare il mio.

    Così arrestano un mio collega antipatico. O metto nei guai il rettore.
    iRoby
    8803
  • - Scritto da: iRoby
    > Così arrestano un mio collega antipatico.

    Non é cosí semplice, trovano l'indiziato ma non l'oggetto del reato.
  • Nella mia azienda possono rilevare se sono usati alcuni protocolli (torrent, tipo) e risalire al dispositivo che ne fa uso.
    Banalmente hanno accesso agli switch.

    Non ho capito la necessità di installare software di logging sulle singole macchine....
    non+autenticato
  • - Scritto da: Luca
    > Nella mia azienda possono rilevare se sono usati
    > alcuni protocolli (torrent, tipo) e risalire al
    > dispositivo che ne fa
    > uso.
    > Banalmente hanno accesso agli switch.
    >
    > Non ho capito la necessità di installare software
    > di logging sulle singole
    > macchine....

    Un conto è bloccare protocolli e pagine web sin dall'inizio, spiare cosa fa un utente con tanto di log a meno di nota informativa controfirmata da tutti gli addetti non è legale.
    non+autenticato
  • Mettiamo che io sia un sysadmin che l'azienda ha incaricato di mantenere funzionante la rete locale.
    L'utente caio mi segnala che la navigazione internet è veloce come un bradipo stanco.
    Guardo il log dello switch e vedo che l'ip w.x.y.z sta usando uno sproposito di banda.
    Il sysadmin deve avere il permesso dell'utente che usa quell'ip per verificare che cavolo sta facendo? Io non credo.
    non+autenticato
  • - Scritto da: Luca
    > Mettiamo che io sia un sysadmin che l'azienda ha
    > incaricato di mantenere funzionante la rete
    > locale.
    > L'utente caio mi segnala che la navigazione
    > internet è veloce come un bradipo
    > stanco.
    > Guardo il log dello switch e vedo che l'ip
    > w.x.y.z sta usando uno sproposito di
    > banda.
    > Il sysadmin deve avere il permesso dell'utente
    > che usa quell'ip per verificare che cavolo sta
    > facendo? Io non
    > credo.

    No, il sysadmin puo' tranquillamente leggere i log e capire chi sta facendo che cosa.
    Se poi scopre che il tizio dell'amministrazione sta scaricandosi un porno, va direttamente dal tizio a dirgli: "Quante volte devo ripetervi che i porno sono nella cartella XXX del repository aziendale? Guardatevi quelli e non intasate la rete, che c'e' qualcuno che cerca di lavorare!"
  • - Scritto da: Luca
    > Mettiamo che io sia un sysadmin che l'azienda ha
    > incaricato di mantenere funzionante la rete
    > locale.
    > L'utente caio mi segnala che la navigazione
    > internet è veloce come un bradipo
    > stanco.
    > Guardo il log dello switch e vedo che l'ip
    > w.x.y.z sta usando uno sproposito di
    > banda.
    > Il sysadmin deve avere il permesso dell'utente
    > che usa quell'ip per verificare che cavolo sta
    > facendo? Io non
    > credo.

    Non è un caso pertinente con quello dell'articolo. L'articolo parla di log conservati per anni, questo significa che può succedere che l'ateneo chiude un occhio su certi fatti, ma se un impiegato litiga col rettore per qualche motivo il rettore può tirare fuori i log e iniziare a chiedere "perché due anni fa ti sei scaricato questo e perché sei mesi fa ti sei scaricato quest'altro, etc. ..."
    non+autenticato
  • Quindi il punto non è la privacy dell'utente, ma se decidere o meno di schedarlo nel tempo.
    Per come la vedo io o uno o l'altro, cioé o si proibisce in toto che chiunque non sia autorizzato da un giudice non possa guardare, archiviare o in generale avere informazioni su un utente, oppure l'azienda può archiviare log di ciò che gli utenti fanno nella loro rete.
    Così com'è mi pare sia solo una presa per i fondelli sia per chi vuole più privacy sia per chi vorrebbe più controllo (sia pre che post jobs act preciso).
    non+autenticato
  • No sto dicendo una cosa diversa, hai presente quello che puoi fare con i proxy ? Per quel genere di cose devi informare prima il personale altrimenti è illegale, così come è illegale frugare nella posta del singolo dipendente,cronologia navigazione,ecc

    Poi è ovvio che essendo amministratore di sistema certe cose le eviti prima che si verifichino, di certo non ti fidi della buona fede dei dipendenti.

    Poi nel tuo esempio una volta che sai che il tizio X ha fatto come gli pareva riferisci tutto al capo per farlo licenziare ?

    Ma la domanda più bella è chi controlla il controllore,ovvero tu amministratore ?
    non+autenticato
  • - Scritto da: F Type
    > No sto dicendo una cosa diversa, hai presente
    > quello che puoi fare con i proxy ? Per quel
    > genere di cose devi informare prima il personale
    > altrimenti è illegale, così come è illegale
    > frugare nella posta del singolo
    > dipendente,cronologia
    > navigazione,ecc

    Fosse per me io lo renderei legale, purche' quello che trovano valga in entrambe le direzioni.

    > Poi è ovvio che essendo amministratore di sistema
    > certe cose le eviti prima che si verifichino, di
    > certo non ti fidi della buona fede dei
    > dipendenti.
    >
    > Poi nel tuo esempio una volta che sai che il
    > tizio X ha fatto come gli pareva riferisci tutto
    > al capo per farlo licenziare ?

    Dipende da chi e' il tizio X.

    > Ma la domanda più bella è chi controlla il
    > controllore,ovvero tu amministratore
    > ?

    Certamente.
    Il sistemista e' colui che detiene il potere assoluto, e' colui che stabilisce quando e' giorno e quando e' notte (potendo cambiare l'ora del server), e' colui che fa le leggi, procura o distrugge le prove.
  • - Scritto da: panda rossa
    > Il sistemista e' colui che detiene il potere
    > assoluto, e' colui che stabilisce quando e'
    > giorno e quando e' notte (potendo cambiare l'ora
    > del server), e' colui che fa le leggi, procura o
    > distrugge le
    > prove.

    In un'azienda sottoposta a revisione informatica avresti non pochi problemi sai ?
  • - Scritto da: aphex_twin
    > - Scritto da: panda rossa
    > > Il sistemista e' colui che detiene il potere
    > > assoluto, e' colui che stabilisce quando e'
    > > giorno e quando e' notte (potendo cambiare
    > l'ora
    > > del server), e' colui che fa le leggi,
    > procura
    > o
    > > distrugge le
    > > prove.
    >
    > In un'azienda sottoposta a revisione informatica
    > avresti non pochi problemi sai
    > ?

    ISO 9001 passata a pieni voti!
  • - Scritto da: panda rossa
    > - Scritto da: aphex_twin
    > > - Scritto da: panda rossa
    > > > Il sistemista e' colui che detiene il
    > potere
    > > > assoluto, e' colui che stabilisce
    > quando
    > e'
    > > > giorno e quando e' notte (potendo
    > cambiare
    > > l'ora
    > > > del server), e' colui che fa le leggi,
    > > procura
    > > o
    > > > distrugge le
    > > > prove.
    > >
    > > In un'azienda sottoposta a revisione
    > informatica
    > > avresti non pochi problemi sai
    > > ?
    >
    > ISO 9001 passata a pieni voti!

    'azzo c'entra l'ISO 9001 con la revisione informatica ?
  • "La paura di un'apertura indiscriminata a sistemi di controllo dei dipendenti, anche a distanza - a seguito del Jobs Act - appare oggi ancor meno motivata."

    Anche in questo articolo la sig.ra Frediani ha dovuto aggiungere un po' di propaganda renziana, come al suo solito.

    Il Garante ha intelligentemente basato la sentenza quasi unicamente sulla legge 196/2003, e poi, in via residuale, ha dato un'interpretazione fortunatamente molto, molto restrittiva del nuovo art. 4 dello Statuto del Lavoratori, quasi a voler sanare il contrasto tra le due norme.

    A me va bene, però faccio notare che purtroppo il Garante è solo un'organo amministrativo, non un giudice, e sfortunatamente in tribunale quest'interpretazione potrebbe non reggere. Se e quando in una sentenza della Cassazione passeranno questi principi allora saremo più tranquilli. Fino ad allora, il nuovo art.4 dello statuto dei lavoratori rimane comunque un'emerita porcheria.
    non+autenticato
  • Effettivamente era un po' che non c'erano articoli dell'avvocato piddino qui su PI. Ho il vago presentimento che in vista del referendum ce ne saranno tanti altri.
    non+autenticato
  • - Scritto da: La redazione con i controlli a campione
    > Effettivamente era un po' che non c'erano
    > articoli dell'avvocato piddino qui su PI. Ho il
    > vago presentimento che in vista del referendum ce
    > ne saranno tanti
    > altri.

    Tanto gli utenti del forum voteranno compatti NO.
  • - Scritto da: prova123
    > E' una questione di serietà!
    >
    > http://www.today.it/politica/renzi-referendum-dimi

    La solita panzana renziana.

    Oggi, avendo compreso che perde, ha messo le mani avanti.

    http://www.ansa.it/sito/notizie/politica/2016/09/2...
  • - Scritto da: panda rossa

    > Tanto gli utenti del forum voteranno compatti NO.
    Questo francamente non lo so.
    Personalmente io voterò CONVINTAMENTE NO ma sapere cosa votano gli utenti di PI non mi farebbe convincere a cambiare idea ne in un senso ne in un altro se uno non pensa o non sa pensare con la SUA testa e "pensa di seguire l'onda" come un babbeo è meglio che non voti.

    La gente che "segue l'onda" fa più danni della peronospera e le conseguenze le paghiamo tutti.

    Quindi ho tutto il rispetto possibile per chi non la pensa come me ma nessunissimo rispetto per chi invece di pensare si fa menare per il naso dal branco.
    non+autenticato
  • - Scritto da: Votare da soli
    > - Scritto da: panda rossa
    >
    > > Tanto gli utenti del forum voteranno
    > compatti
    > NO.
    > Questo francamente non lo so.
    > Personalmente io voterò CONVINTAMENTE
    > NO
    ma sapere cosa votano gli utenti
    > di PI non mi farebbe convincere a cambiare idea
    > ne in un senso ne in un altro se uno non pensa o
    > non sa pensare con la SUA testa e "pensa di
    > seguire l'onda" come un babbeo è meglio che non
    > voti.

    Eh no! Questo e' un referendum senza quorum.
    Se non voti e' come se votassi SI.
    Quindi meglio votare NO che non votare affatto.

    > La gente che "segue l'onda" fa più danni della
    > peronospera e le conseguenze le paghiamo
    > tutti.
    >
    > Quindi ho tutto il rispetto possibile per chi non
    > la pensa come me ma nessunissimo
    > rispetto
    per chi invece di pensare si
    > fa menare per il naso dal
    > branco.

    E qui ci vuole una bella foto esplicativa.
    Clicca per vedere le dimensioni originali
  • Io mi aspettavo anche i commenti di chi è apertamente contro Renzi. Nonostante siate smentiti con un fatto avete ancora da ridire. Come previsto.
    non+autenticato
  • - Scritto da: Luca
    > Io mi aspettavo anche i commenti di chi è
    > apertamente contro Renzi. Nonostante siate
    > smentiti con un fatto avete ancora da ridire.
    > Come
    > previsto.

    Che cos'e' questa puzza di PD che si sente?
    Sei stato tu?
  • Pensa, c'è gente che vorrebbe anche discutere di queste cose, ma appena si dice "mah, non ci vedo tutto sto male" si è bollati come piddini, ecc ecc.
    Stammi bene, va.
    non+autenticato
  • - Scritto da: Luca
    > Pensa, c'è gente che vorrebbe anche discutere di
    > queste cose,

    Questo e' il forum di Punto Informatico.

    > ma appena si dice "mah, non ci vedo
    > tutto sto male" si è bollati come piddini, ecc
    > ecc.

    Se non ci vedi tutto sto male i casi sono due: o sei cieco, o sei piddino.
    (potrebbero anche valere entrambe le circostanze).

    > Stammi bene, va.

    Salutami l'ex sindaco Marino, che dicevate fosse il piu' onesto della banda.
  • Bello questo tecnocontrollo,strano che non abbiano tirato in ballo il terrorismo..

    Comunque il MAC address lo puoi cambiare...
    non+autenticato
  • intendi dissimulare? Cambiare non proprio...
    non+autenticato
  • - Scritto da: Re fresh
    > intendi dissimulare? Cambiare non proprio...

    Quanto basta.
  • - Scritto da: panda rossa
    > - Scritto da: Re fresh
    > > intendi dissimulare? Cambiare non proprio...
    >
    > Quanto basta.

    Si e voglio vedere come fa a farlo un utente...
    non+autenticato
  • - Scritto da: Max
    > - Scritto da: panda rossa
    > > - Scritto da: Re fresh
    > > > intendi dissimulare? Cambiare non
    > proprio...
    > >
    > > Quanto basta.
    >
    > Si e voglio vedere come fa a farlo un utente...

    Cosi':
    Clicca per vedere le dimensioni originali
  • Si ma devi essere amministratore della macchina per farlo. E normalmente, se le cose sono fatte bene, un utente non dovrebbe esserlo...
    Nemmeno un sistemista dovrebbe essere amministratore della propria macchina, se vogliamo vederla tutta.
    non+autenticato
  • - Scritto da: Max
    > Si ma devi essere amministratore della macchina
    > per farlo. E normalmente, se le cose sono fatte
    > bene, un utente non dovrebbe
    > esserlo...
    > Nemmeno un sistemista dovrebbe essere
    > amministratore della propria macchina, se
    > vogliamo vederla
    > tutta.

    Queste sono policy interne che non hanno valore in un eventuale processo.

    L'azienda puo' sempre affermare che le policy di sicurezza vengono adottate, ma signora mia, stiamo parlando di windows, ed escalare privilegi utilizzando vulnerabilita' e' pratica comune.
  • - Scritto da: panda rossa
    >
    > Queste sono policy interne che non hanno valore
    > in un eventuale
    > processo.

    Non sono policy interne ma semplicemente delle best practices che utilizza chiunque sappia cosa sta facendo.

    >
    > L'azienda puo' sempre affermare che le policy di
    > sicurezza vengono adottate, ma signora mia,
    > stiamo parlando di windows, ed escalare privilegi
    > utilizzando vulnerabilita' e' pratica
    > comune.

    Questo se non aggiorni i sistemi, altra best practice che andrebbe sempre adottata.

    Ma in ogni caso, secondo te un utente di una azienda sa come fare escalation di privilegi? E questo per "spoofare" il MAC address?
    Dai su fai il bravo...Occhiolino
    non+autenticato
  • - Scritto da: Max
    > - Scritto da: panda rossa
    > >
    > > Queste sono policy interne che non hanno
    > valore
    > > in un eventuale
    > > processo.
    >
    > Non sono policy interne ma semplicemente delle
    > best practices che utilizza chiunque sappia cosa
    > sta
    > facendo.

    Le best practices vanno proposte al responsabile della sicurezza il quale puo' sbattersene o trasformarle in policy.
    Per qualunque iniziativa presa all'interno dell'azienda, nella migliore delle ipotesi non verra' riconosciuto alcun merito; nella peggiore E' COLPA TUA!

    > >
    > > L'azienda puo' sempre affermare che le
    > policy
    > di
    > > sicurezza vengono adottate, ma signora mia,
    > > stiamo parlando di windows, ed escalare
    > privilegi
    > > utilizzando vulnerabilita' e' pratica
    > > comune.
    >
    > Questo se non aggiorni i sistemi, altra best
    > practice che andrebbe sempre
    > adottata.

    Vedi sopra.

    > Ma in ogni caso, secondo te un utente di una
    > azienda sa come fare escalation di privilegi? E
    > questo per "spoofare" il MAC address?
    >
    > Dai su fai il bravo...Occhiolino

    Ma hai capito il mio discorso?
    Non ho mica detto che un utente sa o puo'.

    Ho solo detto che in un eventuale processo contro le major, e' possibile smontare le accuse dimostrando che non e' possibile determinare l'utente sulla base di IP, MAC ADDRESS o altro.
  • - Scritto da: panda rossa
    > L'azienda puo' sempre affermare che le policy di
    > sicurezza vengono adottate, ma signora mia,
    > stiamo parlando di windows, ed escalare privilegi
    > utilizzando vulnerabilita' e' pratica
    > comune.

    Ecco che torna in auge il tuo fantomatico exe che "escala" i privilegi.

    Piantala con 'sta cazzata che fai solo ridere.
  • - Scritto da: aphex_twin
    > - Scritto da: panda rossa
    > > L'azienda puo' sempre affermare che le
    > policy
    > di
    > > sicurezza vengono adottate, ma signora mia,
    > > stiamo parlando di windows, ed escalare
    > privilegi
    > > utilizzando vulnerabilita' e' pratica
    > > comune.
    >
    > Ecco che torna in auge il tuo fantomatico exe che
    > "escala" i
    > privilegi.
    >
    > Piantala con 'sta cazzata che fai solo ridere.

    Ok. Prendiamo atto che windows e' un sistema sicuro ed escalare i privilegi e' impossibile.
  • Dopo questa sacrosanta sentenza, non sara' piu' possibile associare una persona all'IP neppure dai computer aziendali.

    Una schiacciante vittoria delle persone contro lo strapotere delle major alle quali non rimane che fare incetta di maalox per contrastare il travaso di bile.
  • - Scritto da: panda rossa
    > Dopo questa sacrosanta sentenza, non sara' piu'
    > possibile associare una persona all'IP neppure
    > dai computer aziendali.
    >
    > Una schiacciante vittoria delle persone contro lo
    > strapotere delle major alle quali non rimane che
    > fare incetta di maalox per contrastare il travaso
    > di bile.

    Ma cosa c'entrano le major, in quessto caso?
    E' una sentenza tutta italiana, che mette dei paletti allo spionaggio elettronico del lavoratore, introdotto dal jobs act. Niente a che vedere con la tutela del diritto d'autore.
    Izio01
    4239
  • - Scritto da: Izio01
    > - Scritto da: panda rossa
    > > Dopo questa sacrosanta sentenza, non sara' piu'
    > > possibile associare una persona all'IP neppure
    > > dai computer aziendali.
    > >
    > > Una schiacciante vittoria delle persone contro
    > lo
    > > strapotere delle major alle quali non rimane che
    > > fare incetta di maalox per contrastare il
    > travaso
    > > di bile.
    >
    > Ma cosa c'entrano le major, in quessto caso?

    Metti che arrivi in azienda una denuncia perche' le major sostengono che da un IP aziendale sono stati scaricati pochi TB di film.

    Gli si puo' rispondere con una foto di Rocco Siffredi con la scritta "Attaccatevi a sta cippa!"

    > E' una sentenza tutta italiana, che mette dei
    > paletti allo spionaggio elettronico del
    > lavoratore, introdotto dal jobs act. Niente a che
    > vedere con la tutela del diritto
    > d'autore.

    La sentenza dice che non si deve poter risalire all'utente dall'IP aziendale e dal punto di vista pratico gli unici soggetti che pretendono di risalire all'utente partendo da un IP sono le major.
  • dov'é leguleio????
    non+autenticato
  • - Scritto da: Re fresh
    > dov'é leguleio????

    Sparito da tempo.
    Non e' stato in grado di affrontare il forum di PI e ha abbandonato il campo.
  • Un forum... ad eliminazioneSorride
    non+autenticato
  • - Scritto da: Re fresh
    > Un forum... ad eliminazioneSorride

    Il miglior MMORPG testuale dal 1996, forse l'unico in rete!
  • - Scritto da: panda rossa
    > - Scritto da: Re fresh
    > > Un forum... ad eliminazioneSorride
    >
    > Il miglior MMORPG testuale dal 1996, forse
    > l'unico in
    > rete!
    cmq, se a qualcuno interessa, e' andato ad inquinare l'universo mondo via Disqus (il nickname e' lo stesso)...
    non+autenticato
  • - Scritto da: panda rossa
    >
    > Metti che arrivi in azienda una denuncia perche'
    > le major sostengono che da un IP aziendale sono
    > stati scaricati pochi TB di
    > film.
    > Gli si puo' rispondere con una foto di Rocco
    > Siffredi con la scritta "Attaccatevi a sta
    > cippa!"
    >
    > La sentenza dice che non si deve poter risalire
    > all'utente dall'IP aziendale e dal punto di vista
    > pratico gli unici soggetti che pretendono di
    > risalire all'utente partendo da un IP sono le
    > major.

    Ma manco per l'anima. La sentenza dice che non puoi usare quei dati per scopi di tracciamento e monitoraggio, ma li puoi raccogliere e conservare.
    Difatti "Per tali motivi appare assolutamente condivisibile la decisione dell'Autorità Garante che ha vietato all'Ateneo - con effetto immediato - l'ulteriore utilizzo dei dati raccolti con trattamento illecito, imponendone tuttavia la conservazione per tutela dei diritti in sede giudiziaria e per eventuali azioni della magistratura"

    Il passo "imponendone tuttavia la conservazione per tutela dei diritti in sede giudiziaria e per eventuali azioni della magistratura" sta proprio a dire l'esatto contrario di quello che dici tu nel tuo esempio: una major ti fa causa, e tu li puoi usare per difenderti nelle sedi opportune.

    Pertanto puoi monitorare il traffico ma non puoi usare quei dati per identificare le persone per scopi tuoi interni, come richiami, licenziamenti ecc.
    non+autenticato
  • - Scritto da: Max
    >
    > Ma manco per l'anima. La sentenza dice che non
    > puoi usare quei dati per scopi di tracciamento e
    > monitoraggio, ma li puoi raccogliere e
    > conservare.
    >
    > Difatti "Per tali motivi appare assolutamente
    > condivisibile la decisione dell'Autorità Garante
    > che ha vietato all'Ateneo - con effetto immediato
    > - l'ulteriore utilizzo dei dati raccolti con
    > trattamento illecito, imponendone tuttavia la
    > conservazione per tutela dei diritti in sede
    > giudiziaria e per eventuali azioni della
    > magistratura"
    >
    > Il passo "imponendone tuttavia la conservazione
    > per tutela dei diritti in sede giudiziaria e per
    > eventuali azioni della magistratura" sta proprio
    > a dire l'esatto contrario di quello che dici tu
    > nel tuo esempio: una major ti fa causa, e tu li
    > puoi usare per difenderti nelle sedi opportune.
    >
    >
    > Pertanto puoi monitorare il traffico ma non puoi
    > usare quei dati per identificare le persone per
    > scopi tuoi interni, come richiami, licenziamenti
    > ecc.

    Anch'io avevo capito così, però non è il mio campo e quindi non mi fido troppo di quello che capisco io.
    Izio01
    4239
  • Ma è logico, non è stato fatto altro che ribadire quello che è già noto nelle aziende, ossia che non si possono "spiare" i dipendenti per effetto della loro privacy, ma si possono raccogliere dati per monitoraggio e auditing.
    non+autenticato