Lunidata Blog di Stefano Tonelli

Chi è capitato più di una volta su questo blog conosce il mio interesse per l’argomento privacy in azienda e negli studi professionali, argomento sul quale ho, tra l’altro, aperto un blog specifico. Quest’anno tuttavia, preso da altri impegni e - soprattutto - dalla questione della nuova normativa sull’installazione degli apparati di rete, non dedicherò molto tempo a questo tema ma mi limiterò a segnalare tre link che, combinati, forniscono un quadro preciso della situazione.

Piccola parentesi sul titolo del post: qualche anno fa mi chiamò un cliente che mi disse: “Mi ha detto il commercialista che mi serve un DPS…”. Da quella frase e dalla successiva visita al cliente stesso, capii che c’era qualcosa che non funzionava nella normativa e nella sua percezione da parte degli operatori economici e dei consulenti fiscali.

In conclusione ecco i tre link di cui sopra:

La privacy in azienda. cosa si dovrebbe fare

La privacy in azienda: cosa viene fatto effettivamente

La privacy in azienda: qual è il livello di interesse degli imprenditori sul tema

privacy consulenza privacy, dpss, normativa privacy, privacy

Premetto che chiamare “Chiavetta USB” un dispositivo di memoria è per me quasi più fastidioso di utilizzare “Chiocciola” per il simbolo “@”. Perciò al posto del suddetto e irripetibile nome utilizzerò l’acronimo RUM per indicare appunto una Removable USB Memory.

Chiusa la premessa entro nel merito del post che riguarda la necessità di salvaguardare i dati presenti in una RUM proteggendoli con una password in modo da evitare che possano finire in mani sbagliate nel caso, piuttosto frequente, che una RUM venga smarrita. Per raggiungere questo obiettivo utilizzo, ormai da diverso tempo, un software chiamato Rohos Mini Drive, disponibile anche in versione free.

Rohos Mini Drive crea una partizione nascosta e criptata all’interno della RUM: per accedere ai dati della partizione è necessario digitare la password che è stata scelta al momento della creazione della partizione stessa. Il livello di crittografia è a 256bit, questo consente di utilizzare Rohos Mini Drive per salvare con una certa tranquillità le proprie password sulla RUM, magari avendo l’accortezza di criptare ulteriormente i dati con un algoritmo sofisticatissimo, tipo addizionare un determinato valore ai numeri presenti nelle password o cose del genere.

La versione free limita la dimensione della partizione a 2GB, valore più che sufficiente per salvare una tonnellata di file .txt contenenti le password, ovviamente chi intende criptare file più corposi dovrà sborsare 35,00 Euro per la versione full. Rohos Mini Drive è scariabile da questo indirizzo: http://www.rohos.com/rohos_mini.exe

tip of the day password, privacy, sicurezza dei dati, sicurezza informatica

Supponiamo che un cittadino italiano inoltri una domanda di mutuo per l’acquisto della casa ad un determinato istituto di credito e supponiamo che la persona in questione riceva pochi giorni dopo da Poste Italiane una pubblicitá che contiene l’offerta di un mutuo per la casa che, guardacaso, è per lo stesso importo e con la stessa durata del mutuo richiesto alla banca.

Supponiamo inoltre che la stessa persona chieda ad un determinato operatore telefonico l’attivazione di una linea ADSL e riceva il giorno dopo una telefonata di Telecom Italia che gli propone lo stesso servizio. Supponendo tutto ció, è legittimo pensare che le grandi spa italiane possano procurarsi facilmente i dati personali dei singoli cittadini e che li utilizzino poi con una certa disinvoltura?

Mi piacerebbe avere testimonianza di casi analoghi in quanto credo che queste prassi siano piuttosto comuni e che l’autorità garante dovrebbe fare luce su questi episodi.

privacy garante privacy, normativa privacy, poste italiane, privacy, telecom italia

Allo scopo di trattare in modo più approfondito l’argomento Privacy, soprattutto relativamente agli adempimenti e alle linee guida per aziende e professionisti, ho creato il blog www.soluzioneprivacy.it che vi invito a visitare.

Questo spazio mi consentirà inoltre di parlare dei nuovi strumenti che sto testando e mettendo a punto con l’obiettivo di permettere alle aziende e agli studi professionali di gestire la problematica Privacy in maniera corretta e a costi contenuti.

Per i più pigri è disponibile anche la newsletter!l

sicurezza informatica consulenza privacy, normativa privacy, priva, privacy

Il 31 Marzo scade, come ogni anno, il termine per la stesura del DPSS, il documento programmatico in materia di protezione e sicurezza dei dati personali. Quest’anno lascio ad altri il compito di fornire consigli utili di ordine pratico, vorrei invece ragionare più sull’impatto che la normativa Privacy ha sulle aziende e sui professionisti e su come viene vissuta quest’incombenza.

Fin dall’entrata in vigore del 2004, il DM196/03 è stato visto più come un’inutile peso che come un’opportunità per migliorare la sicurezza dei sistemi e delle procedure per il trattamento dei dati. Chi come me ha investito molto sulla propria formazione con l’obiettivo di poter fornire una buona consulenza ai propri clienti, ha dovuto poi scontrarsi con la scarsa volontà da parte dei clienti stessi di adottare le misure minime e di produrre la documentazione che la normativa prevede. Insomma, per aziende e professionisti la normativa Privacy è solo un inutile costo, da affrontare soltanto con l’obiettivo di evitare sanzioni spropositate.

Inoltre l’obiettivo principale che la legge voleva raggiungere, cioè la modifica delle comuni abitudini nei confronti del trattamento dei dati personali, non è stato neppure minimamente avvicinato. Di fatto tutti quelli che - come il sottoscritto - hanno fatto cancellare il proprio numero di telefono dagli elenchi pubblici, ricevono sempre le solite telefonate promozionali durante le ore di pranzo e cena e, di fatto, mia moglie prova sempre il solito disagio nell’inviare al lavoro il certificato medico in quanto è cosciente che, in un batter d’occhio, tutti i colleghi verranno a conoscenza del suo problemino fisico.

Da quest’anno poi, ad alimentare la sensazione di inutilità della normativa, si è aggiunta anche la necessità di tracciare gli accessi degli amministratori di sistema ai sistemi stessi. A lato pratico questa tracciatura non ha alcuna efficacia in quanto non è previsto il monitoraggio delle attività che l’amministratore ha effettuato. Si tratta quindi di un adempimento che crea solamente costi aggiuntivi senza generare alcun vantaggio per l’azienda.

Cumunque sia le leggi vanno rispettate ed è obbligatorio quindi rispettare le misure minime e produrre la documentazione necessaria, magari facendosi aiutare da uno di quei consulenti demotivati che copiaincollano le informative, così come copiaincollano da altri siti (senza chiedere il permesso) i testi per i loro pagine di presentazione sul web. Provare per credere:

Sito originale: http://www.lunidata.it/privacy.vsf
Sito clone: http://www.bit-sound.com/bit_consulting%20-%20consulenza%20privacy.asp

sicurezza informatica consulenza privacy, garante privacy, normativa privacy, privacy, software privacy

Alla fine non è arrivata la tanto attesa proroga per l’entrata in vigore delle nuove norme in termini di Privacy che prevedono la nomina dell’amministratore di sistema e la registrazione dei log di accesso. Dal 15 dicembre queste norme devono essere quindi applicate in quelle realtà dove esista un sistema sufficientemente articolato da prevedere - nei fatti - la figura dell’amministratore.

Il Garante della Privacy ha infatti chiarito che:

Le prescrizioni non si applicano a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso.

normative amministratore di sistema, consulenza privacy, normativa privacy, privacy, privacylab, software privacy

Ho partecipato la scorsa settimana a un interessante seminario sulle nuove normative Privacy che riguardano gli amministratori dei sistemi IT. Le informazioni principali che ho acquisito sono:

Nomina - Le aziende devono nominare un amministratore di sistema solo nel caso che questa figura esista veramente, cioè il piccolo ufficio con 2/3 PC, dove gli utenti hanno gli stessi diritti di accesso, non deve nominare l’amministratore di sistema. Nel caso l’amministratore sia un esterno è necessario impostare un rapporto di affidamento dati con l’azienda esterna, la quale dovrà poi indicare quali siano i suoi incaricati aventi il ruolo di amministratore.

Scadenza - Il termine per la nomina dell’amministratore di sistema è fissato al 15 dicembre 2009, considerato che il 14 dicembre è la data di discussione del decreto milleproroghe, è probabile sia stato scelto il 15 per avere la possibilità di effettuare un’ulteriore proroga, la quale probabilmente ci sarà, diversamente a quanto avevo indicato nel mio articolo precedente.

Registrazione LOG - La registrazione dei log deve essere effettuata con una procedura che non ne permetta l’alterazione e che assicuri la correttezza di date e orari. I log da registrare sono solamente quelli di login e logout dell’amministratore del sistema.

Dal punto di vista tecnico il problema è notevolmente semplificato rispetto a quello che sarebbe stato necessario affrontare per la registrazione di tutti i log relativi agli accessi al sistema e a cartelle e file, effettuati dai singoli operatori: in questo caso gli spazi necessari per l’archiviazione di 6 mesi di log sarebbero stati enormi. Dal punto di vista operativo, invece, considerato che quasi sicuramente ci sarà una proroga, il consiglio è di evitare allarmismi e di pianificare con calma e attenzione l’adeguamento dell’IT aziendale alla nuova normativa.

normative amministratore di sistema, normativa privacy, privacy, software privacy

Parliamo ancora di Privacy considerato che siamo al 31 di marzo cioè nel giorno di scadenza del DPSS annuale. Ho trovato decisamente interessante l’articolo di oggi su Lineaedp che vi consiglio di leggere e che si può sintetizzare nelle parole dell’avvocato Valentina Frediani che dice: “la Privacy va vista come un valore aggiunto perché stimola la protezione del dato aziendale“.

Il concetto è in linea con quanto scritto sul nostro sito web: ” [...] la normativa, per quanto complessa e in alcuni aspetti troppo restrittiva, offre un importante spunto per migliorare la situazione aziendale in termini soprattutto di procedure informatiche [...]“.

Del resto vediamo spesso all’interno di aziende e studi professionali, situazioni di scarsa attenzione in materia di Privacy, situazioni che potrebbero creare notevoli danni economici oltre che comportare problemi di rilevanza penale. Adeguare i propri comportamenti e creare un regolamento interno per l’utilizzo degli strumenti informatici sono le due opzioni a basso costo (praticamente a costo zero la prima) che risultano indispensabili per la corretta gestione dei dati e del sistema informatico aziendale.

sicurezza informatica consulenza privacy, dpss, normativa privacy, privacy, scadenza 31 marzo

La E. Ferrari sas organizza il seminario gratuito “Lezioni di Privacy”, in collaborazione con Pico srl, al termine del quale verrà rilasciato un attestato valido per la formazione del Responsabile e degli Incaricati ai fini del Dlgs 196/2003.

Il seminario si svolgerà il 20/03 presso il S. Caterina Park Hotel a Sarzana (SP). Consiglio caldamente di registrarsi e partecipare a questo evento in quanto le informazioni fornite sono decisamente molto interessanti e vengono solitamente esposte in modo veramente brillante da figure altamente specializzate in questa delicata materia. Il sito per registrarsi è http://e-ferrari.it/blog.

corsi e buffet dpss, misure minime, normativa privacy, privacy