Sono passati quasi tre anni da quando il decreto 196 del 30 giugno 2003 è stato emanato. Per chi ha la memoria corta diciamo che si tratta del famoso “Codice sulla privacy”; ovvero quella normativa che avrebbe dovuto regolamentare la detenzione dei database degli utenti da parte delle aziende.
Mi chiamo Stefano e faccio parte di una piccola società d’informatica che, tra le altre cose, ha aiutato chi ha cercato di adeguarsi alla normativa. Nell’ultimo anno mi sono imbattuto nelle situazioni più diverse e ammetto di essere veramente demoralizzato. In particolare vorrei attirare la vostra attenzione su alcune conseguenze che, l’errata o approssimativa lettura della legge, ha creato.
L’informativa-spam
Moltissime aziende hanno iniziato a inviare a tutti i loro clienti e fornitori lettere d’informativa, da restituire firmate per l’accettazione del trattamento dati. In realtà il consenso scritto non è necessario per i normali dati atti a finalità commerciali. Ma poi qualcuno inizia a pensare che se lo fanno anche le banche un motivo c’è, e anche lui inizia. Spedisce altri fax, magari sostituendo l’intestazione della banca con la sua, poi manda le risposte, ma intanto ne arrivano ancora, e ancora, e ancora…
La foresta dei post-it
Provate a dire vostri dipendenti che la loro password-nome-del-gatto non va bene perché deve contenere tutta la tabella ASCII e dopo una settimana scoprirete che, appesi a tutti i monitor dell’azienda, sono comparsi misteriosi post-it. Ma non era forse più semplice cambiare ogni mese il nome al gatto?
La busta infernale
È stata messa nella cassaforte ignifuga con tutte le password, ma alle 9.20 l’impiegato A ha dimenticato la sua vecchia pass; apri la cassetta, apri la busta, trova la pass, risigilla la busta, richiudi la cassetta. Alle 10.20 arriva il tecnico che deve far manutenzione al server; apri la cassetta, la busta etc… Alle 12.10 c’è chi va in pausa pranzo lasciando aperto sul desktop un documento che serviva al capo; apri la cassetta… Alle 14 torna a chiedere la pass il tecnico che ha riavviato il server, alle 14.20 parte uno screensaver sul PC di A dove sta lavorando B perchè nel suo ufficio stanno imbiancando etc…
Vi assicuro che dopo una settimana la situazione è: cassetta sempre aperta, fotocopie del foglio di pass sparse sulla scrivania, impiegato B che conosce la pass di A, C e D ma non la sua, busta spedita per errore alla filiale in Guatemala etc…
Nessuno ha detto a questa gente che esiste una pass di supervisore?
I vampiri della privacy
Si sono create un sacco di società che vendono la privacy come software, abbonamenti, o come fascicoli prestampati di centinaia di pagine. Molto spesso queste società non si preoccupano di operare l’ “adeguamento” e quindi lasciano il cliente nella stessa identica situazione di prima e con in mano una dichiarazione falsa, perché non implementata.
La misteriosa lettera d’incarico
Vai nella ditta XYZ a ottimizzare un DB e chiedi di farti firmare la lettera d’incarico con aria non curante. Non ottenendo alcuna risposta, sollevi lo sguardo dal monitor e noti che il viso del oggi-responsabile-ieri-fattorino ha assunto la stessa espressione di Sid dell’Era Glaciale…
Mah, che altro dire… Vi lascio l’indirizzo della pagina che ho creato con qualche FAQ sulla privacy e i relativi riferimenti alla normativa, sperando che possa servire a chi è ancora in alto mare.
Stefano Zanola
Nota
Sulla questione del Codice della privacy, sugli adeguamenti richiesti e sul Documento programmatico sulla Sicurezza sono disponibili su Punto Informatico diversi approfondimenti a questo indirizzo