Filosofia "terra terra"

Quelli che scrivono con chiarezza hanno dei lettori, quelli che scrivono in modo ambiguo hanno dei commentatori. Albert Camus Ecco perchè i miei articoli hanno pochi commenti!!!

Le Regole del Garante per la Rottamazione dei PC

La Rottamazione dei PC usati (Raee - Rifiuti di apparecchiature elettriche ed elettroniche)e la sicurezza dei dati personali registrati sui relativi hard disk, sono sicuramente materia che interessa il Garante della Privacy, che ha recentemente consigliato di adottare le seguenti procedure...(leggi)

DPS/2007: Abbiamo adottato un nuovo criterio di valutazione dei Rischi

Per fare in modo che la valutazione dei Rischi che incombono sui dati oggetti del trattamento in azienda sia il più veritiera possibile, la Cedam srl quest'anno ha messo a punto un Questionario di Valutazione più specifico. Da tale questionario suddiviso opportunamente nelle varie aree:

• Accessi alle sedi
• Archiviazione e custodia dei documenti
• Struttura informatica - HW
• Struttura informatica - Sw
• Struttura organizzativa

viene calcolato automaticamente il rischio esistente sui vari strumenti che in azienda vengono utilizzati per trattare i dati, e cioè:

• Schedari cartacei e affini
• Computer non in rete ma in uffici presidiati
• Computer non in rete ma in uffici con presenza assidua di personale
• Computer stand alone con collegamento ad internet
• Computer stand alone senza collegamento ad internet
• Computer in rete con collegamento ad una intranet
• Computer in rete con collegamento ad internet

In seguito a tale rischio e alla tipologia degli archivi trattati, viene fissato il Rischio Complessivo Aziendale e da questo punto si parte per identificare la serie di contro-misure da mettere in essere per abbattere il rischio calcolato. Contatta i nostri uffici per ulteriori chiarimenti. Cedam srl

Il DPS (Documento Programmatico sulla Sicurezza) compie un anno

Entro il 31 marzo 2007 dovrà essere effettuato il rinnovo del DPS aggiornandone i contenuti. Quello di quest’anno è il primo rinnovo di legge da quando è entrato in vigore il D.lgs. 196/’03. Occorre quindi effettuare una serie di verifiche per controllare la corrispondenza di quanto accertato a livello previsionale il 31 marzo 2006, con quello che poi è successo effettivamente nei mesi successi. Gli scostamenti eventuali, riguardano: -) gli archivi soggetti al trattamento, -) il responsabile e gli incaricati (interni ed esterni), -) i nuovi strumenti introdotti (hardware, software, apparecchiature varie), -) la distribuzione di compiti e responsabilità. Inoltre, in base agli imprevisti riscontrati in questo anno trascorso (virus arrivati, attacchi subiti, evoluzione della tecnologia, disattenzioni varie del personale, etc…), occorrerà definire nuovamente ed in senso evolutivo rispetto all’anno precedente: -)l’analisi dei rischi che incombono sui dati, suddivisi in base alle seguenti macro riclassificazioni: -)rischi riguardanti gli operatori -)rischi riguardanti gli strumenti -)rischi riguardanti il contesto fisico-ambientale -)le misure da adottare ed eventualmente confermare o cambiare quelle attualmente in vigore -)la pianificazione per gli interventi formativi previsti per il Responsabile ed i suoi incaricati Purtroppo, il Decreto in questione, è molto chiaro in merito e non ci lascia nessuna attenuante. Qualsiasi azienda, essendovi tenuta, è obbligata non solo ad ottemperare a tutte le misure minime, ma ad implementare le misure idonee, con notevole imbarazzo da parte delle aziende nel determinare quale limite raggiungere sulla strada della sicurezza dei dati personali. Allora che facciamo? continua a leggere >>>

Le linee guida del Garante per posta elettronica e internet

I datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali. Spetta al datore di lavoro definire le modalità d'uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali. Il Garante privacy, con un provvedimento generale che sarà pubblicato sulla “Gazzetta Ufficiale”, fornisce concrete indicazioni in ordine all'uso dei computer sul luogo di lavoro. “La questione è particolarmente delicata – afferma il relatore Mauro Paissan – perché dall'analisi dei siti web visitati si possono trarre informazioni anche sensibili sui dipendenti e i messaggi di posta elettronica possono avere contenuti a carattere privato. Occorre prevenire usi arbitrari degli strumenti informatici aziendali e la lesione della riservatezza dei lavoratori”. L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell'attività lavorativa vietato dallo Statuto dei lavoratori. Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la possibilità, prevista solo in casi limitatissimi, dell'analisi del contenuto della navigazione in Internet e dell'apertura di alcuni messaggi di posta elettronica contenenti dati necessari all'azienda. Il provvedimento raccomanda l'adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta elettronica. Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre controlli successivi sui lavoratori. Per quanto riguarda Internet è opportuno ad esempio: individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa; utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti in una sorta di black list o il download di file musicali o multimediali. Per quanto riguarda la posta elettronica, è opportuno che l'azienda: renda disponibili anche indirizzi condivisi tra più lavoratori (info@ente.it; urp@ente.it; ufficioreclami@ente.it), rendendo così chiara la natura non privata della corrispondenza; valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale; preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi; metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività lavorativa. Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, ripetendosi l'anomalia, si potrebbe passare a controlli su base individuale. Il Garante ha chiesto infine particolari misure di tutela in quelle realtà lavorative dove debba essere rispettato il segreto professionale garantito ad alcune categorie, come ad esempio i giornalisti. Roma, 5 marzo 2007

Si aprono le porte del tribunale per il "Genio" italiano delle truffe on-line

Sono stati gli stessi agenti della Polizia postale ad affibbiarli il soprannome di “Genio” così da distinguerlo dai comuni truffatori, visto che E.Z. 27enne studente del Politecnico di Torino residente ad Ivrea, di comune proprio non aveva nulla grazie alla capacità di forzare i sistemi di sicurezza delle grandi banche italiane come se niente fosse.Una capacità dimostrata in prima persona direttamente. >>>

Privacy in azienda: i limiti del garante

Riepiloghiamo per chi non avesse tempo di leggersi tutte le disposizioni in merito, alcuni passaggi importanti: Il garante per la privacy fissa i paletti per la protezione dei dati personali in azienda. Con un documento di una ventina di pagine, stabilisce in via generale che “Le informazioni di carattere personale possono essere trattate dal datore di lavoro nella misura in cui siano necessarie per dare corretta esecuzione al rapporto di lavoro; talvolta, sono anche indispensabili per attuare previsioni contenute in leggi, regolamenti, contratti e accordi collettivi. In ogni caso, deve trattarsi di informazioni pertinenti e non eccedenti e devono essere osservate tutte le disposizioni della vigente disciplina in materia di protezione dei dati personali che trae origine anche da direttive comunitarie”. Poi scende nel dettaglio e in sintesi stabilisce >>>

Navigare su Internet per motivi personali in azienda non è motivo di licenziamento

Il Tribunale di Perugia, con ordinanza, ha reintegrato nel posto di lavoro un dipendente che era stato licenziato, in quanto si era collegato numerosissime volte a internet, a fini personali, avvalendosi del PC messogli a disposizione dall’azienda. Il Tribunale ha ritenuto che il comportamento del lavoratore è stato scorretto, ma di per sé non è stato di gravità tale da giustificare il licenziamento. La datrice di lavoro, infatti, non ha mai contestato al lavoratore né un calo di rendimento né il fatto di aver procurato danni all’azienda. A seguito del reclamo presentato dalla datrice di lavoro, il Tribunale di Perugia, in composizione collegiale, ha confermato il provvedimento e ha ritenuto che «poiché la condotta addebitata al lavoratore è solamente quella dell’uso (sia pure smodato) del PC per finalità personali, occorre evidenziare che una simile condotta – pur sicuramente illecita – non integra nemmeno giustificato motivo di licenziamento, dal momento che (art. 50 CCNL) l’uso di strumenti aziendali per un lavoro (ipotesi senz’altro estendibile all’uso attuato per svago) estraneo all’attività dell’azienda costituisce illecito disciplinare che legittima unicamente la sospensione dal lavoro e dalla retribuzione».

Etica della sicurezza.

La soluzione è un modello collaborativo che esca dai confini dell'azienda.Dall'epoca "cavalleresca" degli hacker alla ricerca del gesto éclatante,siamo passati alla criminalità organizzata che vede nella rete un campod'azione particolarmente allettante. Alla vulnerabilità per gli attacchi siassocia una vulnerabilità dovuta alla complessità di un vero e proprioecosistema fatto di milioni di macchine e milioni di utenti con l'aggiuntadella totale mobilità. É difendibile un sistema simile? Quali sono iprincipi della sicurezza che rimangono validi e quali i miti da sfatare?Quali cambiamenti dopo l'11 settembre e, soprattutto, quali strategieadottare per difendere il valore dell'informazione? Sappiamo per certo chel'informazione è un bene prezioso e che potrà essere difeso solo con unosforzo collaborativo che superi l'egoismo dei singoli e consideri la rete unpatrimonio comune. >>>

Truffa al Bancomat: ecco il funzionamento della "lingua di serpente" (Video)

Un nome singolare per una truffa d’annata. Realizzabile in molti modi, consiste in un blocco fittizio della carta bancomat, in modo da far credere all’ignara vittima il ritiro della stessa, non prima che un distinto signore, con la scusa di rendersi utile la inviti a ri-digitare nuovamente il codice PIN.A questo punto mentre la vittima si allontana dalla banca sconsolata ed arrabbiata per la trafila burocratica che dovrà affrontare >>>

Rapporto McAfee sulla criminologia virtuale: il crimine organizzato e internet

Il mondo sta cambiando grazie al progresso tecnologico e con lui anche la criminalità. Se il 2005 è stato un anno di transizione con il passaggio dal ragazzino esperto di informatica a vere e proprie bande criminali, il 2006 invece ha segnato il "boom" del cybercrime aumentato a livello mondiale più delle altre forme di crimine. McAfee nel rapporto 2006 analizza, con casi reali, questo nuovo fenomeno che a quanto pare è solo all’inizio. >>>

Maggiori garanzie sul posto di lavoro: le linee guida del Garante privacy

Alcune indicazioni dal garante sull'uso dei molti dati che con le nuove tecnologie le aziende acquisiscono e mantengono sui propri dipendenti. >>>

Microsoft: Obbligatoria l'autenticazione online anche per Microsoft Office. Per le copie pirate scattano limitazioni

Volete scaricare, installare ed usare un funzione extra in Microsoft Office? Preparatevi allora a dover verificare che la vostra copia della suite di produttività sia autentica. Secondo quanto riporta PcWorld.com, Microsoft renderà obbligatoria l'adesione al programma Office Genuine Advantage (introdotto già ad Aprile come pilota) a partire dalla giornata di oggi. L'autenticazione sarà anche necessaria per usare i template (modelli) presenti su Office Online mentre il download degli aggiornamenti per Office (Office Update) necessiterà di una verifica di autenticità solo a partire da Gennaio prossimo. >>>

Il virus più pericoloso e tenace di Ottobre? Si chiama Stratio

L’allarme virus sul Web non tende a calare. Mese dopo mese, nonostante gli incessanti inviti agli utenti di installare antivirus aggiornati sul proprio Pc, risulta sempre infinita la lista dei codicilli che mirano a sottrarre furtivamente dati sensibili o a danneggiare, anche fisicamente, i computer. Sophos, società leader nel settore della sicurezza informatica, ha reso nota la classifica dei malware e dei falsi allarmi che hanno dominato la scena nel mese di ottobre 2006, causando problemi agli utenti di tutto il mondo. Leggi >>>

Il 50% delle imprese italiane con almeno 10 addetti ha problemi di virus

Secondo quanto riportato dall’annuario statistico dell’ISTAT relativo al periodo 2002-04, emergerebbe come il nostro paese abbia preso una sempre maggiore dimestichezza con il mondo digitale e con la rete Internet. Tale approccio sarebbe particolarmente sensibile nell’ambito aziendale, dove il 91,7% delle aziende utilizza un collegamento internet, e fra questi l’88,9% utilizza la posta elettronica. Leggi >>>

Cosa succede se si lascia il computer acceso di notte a casa?

Si subiscono almeno 50 attacchi Molti utenti Internet lasciano il proprio computer acceso anche di notte per svariati motivi con attivo il proprio collegamento internet. Ma cosa succede quando si va a dormire? >>>

Non è reato spiare le email dei dipendenti. Il tribunale: i pc appartengono all’azienda.

Assolto un dirigente che era entrato nella casella di una impiegata e aveva scoperto corrispondenza privata con un collega. >>>

Possono utilizzare la vs email, reperita su internet, per inviarvi offerte commerciali?

Possono utilizzare la vs email, reperita su internet, per inviarvi offerte commerciali o roba simile non richiesta? Ecco il parere del Garante…. >>>

Intercettazioni legali: Garante privacy ai gestori, proteggete i dati o rischiate il blocco

Il Garante ha ordinato ai gestori telefonici di ultimare entro e non oltre 90 giorni l'adozione delle misure di sicurezza imposte per mettere in sicurezza i dati personali e i flussi informativi riguardo alle attività svolte per le intercettazioni disposte dalla magistratura. Scaduto questo ulteriore termine, l'Autorità potrà vietare, ai gestori che non risulteranno in regola, le operazioni di trattamento dei dati riferite alle attività in materia di intercettazioni. >>>

Licenziato chi diffonde password

La Cassazione ha ritenuto la sanzione legittima (ANSA)-ROMA, 14 SET - Per la Cassazione e' legittimo il licenziamento di un dipendente che ha dato ad un ex collega la sua password della rete aziendale. La password veniva utilizzata per connettersi dall'esterno alla rete informatica anche se come utente ordinario e quindi 'non poteva interagire col sistema, non aveva accesso ai programmi, ne' poteva fare copia di files'. Ad essere licenziato e' stato Maurizio M., ex dipendente del polo tecnologico di Avezzano della Micron Technology Italia.

SEMPLIFICAZIONI PER I MEDICI DI BASE

In collaborazione con i rappresentanti di categoria dei medici dimedicina generale e dei pediatri, il Garante ha messo a punto un modellodi informativa semplificata che faciliterà il rispetto delle norme sullaprivacy da parte dei medici di base al momento di informare gliassistiti sull'uso che verrà fatto dei loro dati e sui diritti lororiconosciuti dalla legge. Il modello di informativa, elaborato dopo averascoltato le osservazioni formulate dalle categorie di mediciconsultate, intende valorizzare il rapporto personale tra medici di baseed assistiti, e riguarderà anche trattamenti effettuati da altre figuresanitarie correlate, come il sostituto del medico o del pediatra, lospecialista, il farmacista. Nel modello sono indicati gli elementiessenziali che devono essere forniti una tantum agli assistiti. Ipazienti devono sapere, in particolare, che senza il loro specificoconsenso il medico non può rendere noto a familiari o conoscenti le lorocondizioni di salute, e chedevono essere specificamente informati di usi che presentino rischiparticolari (sperimentazione controllata di medicinali, teleassistenza otelemedicina). In qualunque momento gli assistiti possono verificarecome sono stati acquisiti i loro dati, se sono esatti e ben custoditi. Imedici possono informare i pazienti a voce, per iscritto o affiggendo iltesto dell'informativa nella sala d'attesa dell'ambulatorio. Il provvedimento del Garante rientra nel processo di semplificazione chel'Autorità sta portando avanti al fine di consentire una più agevole ed effettiva applicazione della normativa sulla privacy. Leggi il provvedimento >>>

Interventi di semplificazione in materia di privacy per le PMI

In materia di privacy il numero di adempimenti e i dubbi interpretativi che le imprese incontrano nella loro attività quotidiana sono ancora troppo elevati. Da alcune nostre stime, seppur di massima, una sola giornata dedicata agli adempimenti relativi alla privacy costa complessivamente a tutto il sistema industriale ben 400 milioni di Euro. E’ quindi chiara l’esigenza di ricercare efficaci semplificazioni intervenendo con decisione per eliminare gli obblighi imposti privi di natura sostanziale ai fine dell’effettiva tutela della riservatezza. A tal fine abbiamo individuato, grazie alle segnalazioni provenienti dal territorio, alcune proposte di semplificazione. Per la loro attuazione è richiesto l’intervento operativo da parte dell’Autorità Garante e, in alcuni casi, la condivisione e la collaborazione del Garante stesso per l’avvio di un’attività legislativa di modifica (prevista peraltro dalla delega all’art. 5 - legge 246/05 – da attuare entro maggio del 2007). >>>

Uso di internet sul posto di lavoro

(tratto da microsoft.com) Come va regolamentato l’uso di Internet sul posto di lavoro? La risposta non è semplice perché, su questo terreno, entrano in conflitto due interessi, ugualmente tutelati dall’ordinamento, ma in sostanziale contrasto tra loro. Da una parte esiste il diritto del datore di lavoro di evitare che il dipendente abusi di uno strumento che gli viene messo a disposizione solo per eseguire i compiti che gli sono assegnati. Attraverso il computer d’ufficio possono essere commessi reati e possono essere prodotti danni per i quali, a norma di legge, lo stesso imprenditore sarebbe responsabile per omesso controllo. Dall’altra parte entra in gioco la pretesa del lavoratore di non essere sottoposto a controlli a distanza che riducano la sua dignità o limitino la sua libertà. >>>

Chi naviga in ufficio non può essere licenziato, ma il computer può essere controllato

Chi naviga in ufficio non può essere licenziato, sia in Italia che negli Stati Uniti. Per quanto riguarda gli Stati Uniti lo afferma una recente sentenza di un giudice amministrativo chiamato a risolvere la vicenda di un impiegato del Dipartimento per l'educazione di New York, accusato dai suoi superiori di passare troppe ore a navigare sul web in siti di informazione, viaggi, ecc. >>>

Garante: no a e-mail pubblicitarie senza consenso

Non si possono inviare e-mail per pubblicizzare un prodotto o un servizio senza prima aver ottenuto il consenso del destinatario, anche quando si tratta solo del primo invio. Lo ha ribadito il Garante con una decisione su un ricorso presentato da un persona che aveva ricevuto posta elettronica indesiderata da parte di una società di prodotti informatici che opera in Internet. L'interessato, infastidito dalla e-mail sgradita, si era rivolto alla società per chiedere, tra l'altro, la cancellazione dei propri dati dall'archivio della società e di adottare misure affinché non si ripetessero in futuro altri invii. Non avendo ricevuto adeguato riscontro, ha presentato ricorso al Garante. E il Garante gli ha dato ragione, imponendo alla società di cancellare dal data base i suoi dati personali. La società si era giustificata spiegando che quel primo invio era volto solo a richiedere il consenso per il successivo inoltro di comunicazioni commerciali. Nella sua decisione l'Autorità ha spiegato che occorre ottenere sempre il consenso del destinatario prima di effettuare qualunque uso dell'indirizzo di posta elettronica se l'invio è per fini di pubblicità emarketing. L'azienda che aveva sbagliato è stata condannata a pagare.....>>>

Sms per propaganda elettorale: necessario il consenso dei destinatari - dal Garante

Senza il consenso specifico dei destinatari i partiti, le liste e i candidati alle elezioni non possono inviare messaggi di propaganda via cellulare o via e-mail. Lo ribadisce il Garante per la privacy dando conto dell'esito dell'indagine compiuta sull'invio di sms nel corso della recente campagna elettorale politica. Gli accertamenti avviati dopo il voto del 9 e 10 aprile scorsi sono stati svolti con la collaborazione anche del servizio polizia postale e delle comunicazioni e hanno riguardato sia la forza politica committente (Forza Italia), sia le società di servizi telematici che avevano inviato i messaggi. Per molti cittadini che avevano segnalato il fatto al Garante, fornendo i propri dati ed indicando il mittente del messaggio elettorale, è risultato che gli stessi segnalanti avevano in precedenza sottoscritto contratti con i quali avevano accettato espressamente la ricezione di messaggi promozionali anche di tipo politico in cambio di una "ricarica" del credito sul proprio cellulare. L'Autorità non ha quindi ravvisato in questi casi la sussistenza degli estremi del fatto illecito di "spamming" via telefono. Alcune formule di informative o di consenso non erano tuttavia integralmente conformi alla disciplina vigente, e il collegio del Garante ha impartito le dovute prescrizioni alle società. L'Autorità sottolinea il ruolo e le responsabilità del committente, quando questi si avvale di soggetti esterni che inviano note per posta, messaggi telefonici o e-mail. Con l'occasione, anche in relazione alle prossime consultazioni elettorali, il Garante ritiene doveroso richiamare nuovamente l'attenzione sulle garanzie per i cittadini stabilite nel provvedimento generale in materia di utilizzo dei dati personali a fini di propaganda elettorale del 7 settembre 2005. L'Autorità, in particolare, ribadisce le regole da rispettare quando si utilizzano strumenti di comunicazione elettronica. A meno che i dati personali siano stati forniti direttamente dall'interessato, è infatti necessario acquisire il preventivo consenso del destinatario per l'invio di sms, e-mail, mms, per telefonate preregistrate e fax. Stesso discorso nel caso si utilizzino dati raccolti automaticamente su Internet o ricavati da forum o newsgroup, liste abbonati ad un provider, dati presenti sul web per altre finalità. I cittadini devono essere informati sull'uso che si fa dei loro dati. Roma, 19 maggio 2006

Ha senso inserire un disclaimer alla fine delle nostre e-mail?

È divenuta ormai una consuetudine (o una moda!) inserire nelle e-mail che si inviano, un disclaimer nel quale all’incirca viene scritto: “E’ fatto obbligo al ricevente l’e-mail a lui non destinata di darne avviso al mittente” oppure “Leggere la posta non destinata a Lei può comportare una violazione della segretezza della corrispondenza, perseguibile penalmente”. Ma sono veramente validi messaggi di questo genere? Che tipo di conseguenze giuridiche possono avere? >>>

Proposta di servizio riguardante l’Informativa

La Cedam srl, al fine di aiutare i propri clienti nell’adempimento previsto dall’art.13 del D.Lgs. 196/2003, (Informativa agli interessati al trattamento dei dati, leggi ad esempio: clienti, fornitori, agenti, etc…etc…), ha pensato, per i clienti che non dispongono di un proprio sito web, di ospitare tale informativa sul proprio sito per ciascun cliente che ne faccia richiesta. Con tale iniziativa, il cliente Cedam acquisirà notevoli vantaggi, ad esempio potrà:

evitare di stampare le informative per ciascun cliente / fornitore / agente / etc…( presente e futuro ),

eliminare l’invio di eventuali lettere / fax / raccomandate,

recuperare tempo e risorse informare gli interessati in modo più facilmente rintracciabile. >>>

Privacy, il Dps nel bilancio

Autore: Antonio Ciccia Fonte: Italia Oggi pag: 34 mart. 21/03/2006 Privacy: il Documento programmatico della sicurezza deve essere adottato entro il 31 marzo, e il titolare del trattamento deve riferire, nella relazione accompagnatoria del bilancio d'esercizio, dell'avvenuta redazione o aggiornamento del Dps. L'allegazione del Dps al bilancio non è richiesto, ma è prudente farlo.

I Garanti della privacy UE si pronunciano su antispam ed antivirus

Il provider può effettuare la scansione automatizzata della posta elettronica alla ricerca di virus o spam senza il consenso dell'utente o dell'abbonato ma ha l'obbligo di richiederlo se lo scopo dello screening è quello di individuare contenuti potenzialmente illegali, (ad esempio file a carattere pornografico o a contenuto razzista). Queste, in sintesi, le indicazioni che le Autorità europee per la protezione dei dati personali hanno fornito in un documento (Parere 2/2006, disponibile in lingua inglese cliccando qui) approvato recentemente a Bruxelles nell'ambito del Gruppo di lavoro che le riunisce.La notizia viene resa nota direttamente sul sito ufficiale del nostro Garante della Privacy in cui si spiega come l'obiettivo del documento sia quello di fornire alcune prime indicazioni agli operatori del settore su tutta una serie di attività che mirano a ridurre prassi dannose e intromissioni nella comunicazione elettronica, ma che possono tuttavia configurarsi esse stesse come un'interferenza nella libertà di comunicazione per le caratteristiche che vengono ad assumere. Sempre sul sito del Garante si legge: "La scansione effettuata al fine di individuare virus è lecita perché si tratta di una finalità che rientra negli obblighi di sicurezza imposti dalla direttiva 2002/58 e dalle norme nazionali e non richiede il consenso dell'utente. Tuttavia, ciò non esime il provider dall'obbligo di informare adeguatamente l'utente sulla natura dell'attività svolta (ad esempio, nell'ambito delle condizioni contrattuali previste per il servizio), di non rivelare a chiunque il contenuto della comunicazione e, qualora la scansione anti-virus sia effettuata sotto forma di scansione del contenuto dei messaggi, di limitare l'analisi esclusivamente alla ricerca di possibili virus".Per quanto riguarda l'analisi antispam effettuata dal provider Internet, i Garanti UE assimilano tale attività all'attivazione di misure di sicurezza poiché lo spam ostacola l'uso della posta elettronica da parte dell'utente.Esiste però il rischio di "falsi positivi" ossia che il provider filtri o cancelli messaggi di posta elettronica che spam non sono. I provider, quindi, dovrebbero consentire ai singoli utenti di disabilitare eventualmente i filtri antispam e di stabilire quali messaggi debbano essere filtrati. "La scansione a scopo di ricerca di specifici contenuti potenzialmente illeciti deve essere, invece, configurata come una vera e propria intercettazione delle comunicazioni", si specifica inoltre sul sito del Garante. "Essa può essere effettuata solo dalla autorità giudiziaria e dalle forze di polizia; se effettuata dai provider, è invece necessario che via sia stata una espressa manifestazione di volontà dell'utente interessato al controllo. Questo tipo di screening, dunque, non può rientrare negli obblighi standard dei provider e deve essere offerto, eventualmente, quale servizio a valore aggiunto." (articolo tratto da: ilsoftware.it)

Novità nel decreto mille proroghe

Il Parlamento ha approvato una norma apparentemente complicata, che, con l'insopportabile linguaggio dei giuristi, afferma: il secondo comma dell'articolo 58 del D.lgs 206/2005 si applica in deroga al D.lgs 196/2003.Sembra complicato, ma vuole dire una cosa molto semplice: le norme contenute nell'articolo del Codice del Consumo dedicato alle tecniche di comunicazione a distanza prevalgono sul Codice sulla tutela dei dati personali. Cosa vuol dire? Vuol dire che le aziende se vogliono comunicare con un consumatore devono avere il suo consenso preventivo espresso se desiderano contattarlo per telefono, per posta elettronica, via fax o sms. Ma se utilizzano strumenti di comunicazioni diversi da questi (ergo se gli scrivono un messaggio postale) possono farlo fino a quando il destinatario non si sia dichiarato espressamente contrario. E questo indipendentemente dalla fonte del dato, dall'ambito di comunicazione, dalla modalità di utilizzo.In pratica il legislatore ha stabilito che le aziende sono libere di contattare il consumatore con messaggi postali indirizzati fino a quando questi non si dichiari espressamente contrario. La ragione di questa decisione va cercata, credo, nel fatto che gli strumenti di comunicazione a distanza non sono tutti uguali: alcuni sono più invasivi degli altri. Rispondere al telefono, aprire un messaggio di posta elettronica, ricevere un fax, sono tutte situazioni diverse dal ritrovare nella propria casella postale una busta. Inoltre l'indirizzo di una persona è un dato, per così dire, ad evidenza pubblica: è un fatto posto sotto gli occhi di tutti; cosa che non si può dire per l'indirizzo di posta elettronica, per il numero di telefono e per il fax.

PRIVACY: VIETATO SPIARE NAVIGAZIONE WEB DEL DIPENDENTE

ROMA - Spiare i siti visitati da un dipendente nella sua navigazione web e' illecito: lo ha stabilito il Garante per la privacy che ha vietato a una societa' l' uso dei dati relativi alla navigazione in Internet di un lavoratore che, pur non essendo autorizzato, si era connesso alla rete da un computer aziendale. Secondo il Garante ''l'uso indebito del computer puo' essere contestato senza indagare sui siti visitati'' e il datore di lavoro non puo' monitorare la navigazione in Internet del dipendente. nel caso preso in esame, il datore di lavoro, dopo aver sottoposto a esame i dati del computer, aveva accusato il dipendente di aver consultato siti a contenuto religioso, politico e pornografico, fornendone l'elenco dettagliato. Per contestare l'indebito utilizzo di beni aziendali, afferma il Garante nel suo provvedimento, sarebbe stato in questo caso sufficiente verificare gli avvenuti accessi a Internet e i tempi di connessione senza indagare sui contenuti dei siti. Insomma, altri tipi di controlli sarebbero stati proporzionati rispetto alla verifica del comportamento del dipendente. ''Non e' ammesso spiare l' uso dei computer e la navigazione in rete da parte dei lavoratori'', commenta Mauro Paissan, componente del Garante e relatore del provvedimento. ''Sono in gioco la liberta' e la segretezza delle comunicazioni e le garanzie previste dallo Statuto dei lavoratori. Occorre inoltre tener presente che il semplice rilevamento dei siti visitati puo' rivelare dati delicatissimi della persona: convinzioni religiose, opinioni politiche, appartenenza a partiti, sindacati o associazioni, stato di salute, indicazioni sulla vita sessuale''. Nel caso sottoposto al giudizio del Garante, dopo una prima istanza, senza risposta, rivolta alla societa', il lavoratore aveva presentato ricorso al Garante contestando la legittimita' dell' operato del datore di lavoro. La societa' aveva allegato alla contestazione disciplinare notificata al lavoratore, in seguito licenziato, numerose pagine dei file temporanei e dei cookies originati sul suo computer dalla navigazione in rete, avvenuta durante sessioni di lavoro avviate con la password del dipendente. Da queste pagine, copiate direttamente dalla directory intestata al lavoratore, emergevano anche diverse informazioni particolarmente delicate che la societa' non poteva raccogliere senza aver prima informato il lavoratore. Sebbene infatti i dati personali, spiega l'ufficio del Garante, siano stati raccolti nel corso di controlli informatici volti a verificare l'esistenza di un comportamento illecito, le informazioni di natura sensibile, in grado di rivelare ad esempio convinzioni religiose e opinioni sindacali o politiche, potevano essere trattate dal datore di lavoro senza consenso solo se indispensabili per far valere o difendere un diritto in sede giudiziaria. Indispensabilita' che non e' emersa dagli elementi acquisti nel procedimento. Illecito anche il trattamento dei dati relativi allo stato di salute e alla vita sessuale. Secondo il Codice della privacy infatti tale tipo di trattamento puo' essere effettuato senza consenso solo se necessario per difendere in giudizio un diritto della personalita' o un altro diritto fondamentale. La societa' in questo caso intendeva invece far valere diritti legati allo svolgimento del rapporto di lavoro. >>>

Rischio ai massimi livelli. La Privacy non è solo il DPS.

La Privacy non è solo il DPS. Nelle aziende si sta diffondendo l'allarme relativo all'offerta di servizi per il D.Lgs.196/03 inadeguati ed insufficienti. Avvocati, commercialisti, consulenti ISO, rivenditori informatici dell'ultima ora si sono buttati nell'affare per arrotondare il bilancio. Timidi tentativi di offrire un servizio apparentemente completo, possono essere individuati in quelle realtà private che pubblicizzano l'intervento di più figure professionali specializzate per giustificare tariffe inadeguate. Se ritieni opportuno verificare la tua situazione, chiamaci, da 28 anni ci occupiamo di sicurezza.

DPS - Diem Proferre Semper

Non capite il latino? Non importa basta dire "Dps" e chiunque capirebbe che stiamo parlando di "prorogare i temini". In effetti ora che ci penso DPS sta per:

• Documento Programmatico sulla Sicurezza,
• oppure Diem Proferre Semper?

io, mi sto sempre più convincendo che i latini abbiano ragione, specialmente questa volta.

E' l'ennesima proroga che il Consiglio dei Ministri concede ad una legge che partita male, stenta ad avviarsi. Naturalmente le risate di coloro che non hanno ottemperato ai requisiti richiesti dal D.Lgs. 196/03 si sentono ovunque, tanto da coprire i nascenti fuochi di artificio natalizi. L'avevano definito "l'odiato DPS", ma come si fa ad odiare qualcosa che ti fa sorridere spesso e volentieri?

Armiamoci di santa pazienza e cerchiamo di resistere ancora qualche mese alle e-mail di coloro che vogliono fare business di massa su questo argomento. Se mi permettete, vorrei darvi un consiglio, quello di non cadere nel solito errore, e cioè di occuparvi del fantomatico DPS nell'ultima settimana della prossima scadenza del 31.03.2006. Provate a redigerlo sin da dopo le festività natalizie; esercitatevi ad identificare i probabili rischi che incombono sui vostri dati. Fatelo da soli o in compagnia di qualche consulente, ma l'importante è che vi concentriate sulle cose veramente importanti, non solo sugli aspetti esteriori.Così facendo alzerete la vostra cultura in merito e deciderete da soli se al tavolo della privacy volete fare un pranzo completo oppure assaggiare solo qualche stuzzichino.

Soprattutto ricordate sempre che la tutela dei dati personali in azienda, non è una legge che fa vendere Windows a Bill Gates, ma è un progetto che rientra nella sfera organizzativa e riguarda l'azienda nella sua totalità; cercate di non cascare in questo tranello.

DPS e concetto di "data certa"

Premessa: Non è scritto da nessuna parte che il DPS deve essere redatto con data certa. Il concetto di "data certa", il D.Lgs. 196/03 lo cita solo per alcune misure minime di sicurezza e non certamente per il Dps. Però se avete provato a leggere un pò di newsletter sull'argomento, l'Italia che parla su Internet, si è divisa a seguito della poca chiarezza del famoso decreto in questione. Qualcuno asserisce che il DPS va redatto con data certa, altri che non serve affatto. Voi cosa volete fare? Nel caso che scegliate la seconda corrente di pensiero, non dovete fare niente; invece per dare al vostro DPS una data certa, occorre seguire le indicazioni che il Garante ha utilizzato in alcuni casi simili, e cioè il ricorso all'art. 2704 del codice civile che prevede: il ricorso alla "autoprestazione" presso gli uffici postali " (cioè auto-spedizione al proprio indirizzo) prevista dall'art. 8 del dlg. 22 luglio 1999, n. 261, con apposizione del timbro postale direttamente sul documento DPS che deve essere presentato come corpo unico, anziché essere apposto sull'involucro esterno (o busta) che lo contiene.

Rilascio attestato agli incaricati del trattamento

In base a quanto richiesto nell'art 19.6 dell' allegato B: gli incaricati al trattamento dei dati devono essere edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. Per dimostrare che questa attività è stata svolta effettivamente ed efficacemente, la Cedam srl, ha pensato di rilasciare un' attestato ai diretti interessati, previo superamento di un test, messo online sul sito al seguente indirizzo: http://www.cedamweb.it/rcristallo/test/privacy1.htm

Hai ricevuto via email i costi della nostra soluzione?

Ti abbiamo inviato via email l'offerta dei nostri servizi relativamente agli adempimenti del D.Lgs.196/03. Era evidenziato il costo della soluzione una tantum, il canone di manutenzione annuale. In piu', per solo i clienti che utilizzano software applicativo Cedam di Contabilità, o fatturazione, o magazzino, era evidenziato un costo aggiuntivo per l'autenticazione degli utenti che possono accedere agli archivi. Quest'ultimo costo, non riguarda i clienti che utilizzano il pacchetto Esatto della Esa Software.

Hai ricevuto via email le tabelle da riempire?

Abbiamo provveduto ad inviare a tutti i nostri clienti, via email, 10 tabelle da compilare a cura del cliente. Esse sono: tab 1 - il titolare del trattamento tab 2 - le sedi tab 3 - i locali tab 4 - le ubicazioni tab 5 - i soggetti incaricati del trattamento tab 6 - le applicazioni tab 7 - gli strumenti tab 8 - installazione delle applicazioni tab 9 - gli archivi tab 10 - supporti Cominciate a compilare questi dati e subito dopo inviateceli, li esamineremo in ufficio e se saranno ok, verremo da voi in ufficio per stampare il DPS da far timbrare all'ufficio postale entro il 31.12.2005. Inutile sottolineare, che prima ce li invierete e prima verremo a trovarvi in azienda per il resto degli adempimenti

Considerazioni personali

Consapevole che il D.Lgs. 196/2003 ha coinvolto le imprese a livello di responsabilità addirittura penale, la C.E.D.AM. per ulteriore tranquillità dei Titolari e Responsabili dei vari trattamenti pensa di fare cosa gradita, sottoponendo all’attenzione di tutti i propri clienti e non, alcune disposizioni del testo unico in questione, che più delle altre meritano una riflessione: Il D.Lgs. 196/2003, a tutti noto come “Codice della Privacy” cita in materia : • MISURE MINIME • obbligo di adottare e descrivere le misure di sicurezza per la protezione "delle aree e dei locali, rilevanti ai fini della custodia dei dati ed accessibilità" (punto 19.4 All. B) • MISURE IDONEE • il codice non dice di fatto che devono essere adottate le misure minime (sanziona l'omessa adozione art. 169), ma obbliga ad adottare misure idonee (art.31). Ne discende che l’adozione di tali misure non può essere considerato un obiettivo da raggiungere, ma, piuttosto, un punto di partenza. · L’art. 15 del D.L.vo 196/2003 prevede espressamente che chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del Codice Civile. · L’art.2050 del Codice Civile richiamato dal primo comma prevede che chiunque cagiona danno ad altri… …è tenuto al risarcimento se non prova di aver adottato tutte le misure idonee ad evitare il danno. In pratica il legislatore ha esteso a chi tratta dati personali (indipendentemente dalle modalità di trattamento) la responsabilità aggravata prevista per coloro che esercitano attività pericolose. Si tratta dell’inversione dell’onere della prova, in altri termini non è chi lamenta un danno che deve fornire la prova della responsabilità, ma è colui il quale è chiamato a risarcire il danno che deve fornire la prova liberatoria. Secondo la prevalente interpretazione la prova liberatoria consiste nella prova di aver adottato tutte le misure offerte dalla tecnica a propria disposizione secondo le circostanze del caso. Secondo la Corte di Cassazione la responsabilità per il danno si ha sia che il soggetto svolga personalmente l’attività pericolosa (nel caso specifico il trattamento di dati) sia che questa venga fatta svolgere da altre persone sotto il suo controllo. Ciò significa che il Titolare o, se nominato, il Responsabile, risponde comunque dei danni prodotti dagli incaricati che operano sotto il proprio controllo. Dall’esame di tutto ciò, emerge quanto grave sia la responsabilità civile e come la prova liberatoria sia legata esclusivamente all’adozione di idonee misure di sicurezza e non alle misure minime di sicurezza. Quindi, con l’intendo di fornire al futuro verificatore (sperando che non venga mai) una testimonianza più che credibile, che scagioni il Titolare del Trattamento da ogni eventuale accusa, la Cedam srl, ha pensato di realizzare una serie di Moduli aggiuntivi, non previsti nelle misure Minime del D.Lgs. 196/2003, per supportare e monitorare alcune attività strategiche ai fini della sicurezza. Con la opportuna compilazione di questi Moduli, sarà più facile dimostrare, ai sensi dell’inversione della prova, di non aver recato danno ad alcuno. Non mettetevi "sotto scopa", non vale la pena rischiare euro 30.000 o 2 anni di galera. Adeguarsi costa molto ma molto meno.