2012: cambi radicali per la privacy

di V. Frediani - L'abolizione del documento programmatico di sicurezza incombe e il concetto di Interessato è mutato. Cosa cambia in materia di ADS? Quando cominciare ad attrezzarsi?

Roma – A cavallo tra il 2011 ed il 2012 la normativa privacy ha subito modifiche radicali, che non si avevano praticamente da fine 2008, quando l’ultimo “privacy-shock” è stato imputabile all’emanazione del Provvedimento in materia di amministrazione del sistema.
Due i grandi temi degli ultimi mesi: abolizione del documento programmatico di sicurezza ( DPS ), riduzione del concetto di interessato a sola persona fisica. Contrariamente a quello che mi aspettavo, l’abolizione del DPS (ancora in Parlamento, ad oggi non passata definitivamente) non è stata accolta da tutti come una liberazione, anzi, molti responsabili dei sistemi informativi, in particolare nelle strutture più articolate, si sono lamentati di avere d’ora in poi uno strumento in meno da utilizzare come perno per ottimizzare l’organizzazione e dare continuità nella gestione dei sistemi, con la “scusa” della legge sulla privacy. La riduzione del concetto di interessato ha poi portato molti a ritenere prossimo l’abbandono dell’interesse del legislatore all’applicazione della normativa privacy nei rapporti B2B (cosa peraltro inesatta, ma ne parleremo in altra occasione…).
Molti però si sono chiesti: alla luce di tutte queste modifiche, cambia qualcosa in merito agli obblighi sull’ADS?

Amministratori di sistema: il provvedimento inapplicabile alla lettera
Come accennavo prima, il provvedimento datato 27 novembre 2008, poi entrato definitivamente in vigore un anno più tardi, ha creato non pochi problemi ed imbarazzi applicativi, obbligando moltissime realtà medio-grandi ad adottare soluzioni di registrazione degli accessi logici degli ADS appunto ai sistemi, con obbligo di conservazione per sei mesi delle registrazioni da mantenersi complete, inalterabili e con adeguate possibilità di verifica dell’integrità delle medesime. Il “mantenimento” degli obblighi consequenziali al provvedimento è stato sancito mediante l’obbligo di verifica con cadenza almeno annuale da parte del Titolare/Responsabile, in modo da controllare la rispondenza della soluzione adottata alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.
All’epoca quindi – e successivamente su ogni nuovo sistema – gli step di applicazione comportavano: mappatura dei sistemi, verifica di quali fossero destinatari dell’obbligo di adozione della soluzione di registrazione log, individuazione degli ADS interni ed esterni (e su questi verifica degli ADS in grado di loggarsi al sistema del titolare o svolgenti attività in outsourcing), individuazione del prodotto, assegnazione delle credenziali di autenticazione, avvio della registrazione, manutenzione della conservazione, relazione annuale al 15 dicembre. Riassunto in poche parole, un provvedimento che ha sconvolto letteralmente le aziende. Anche sotto il profilo economico. Provvedimento ridimensionato più volte dal Garante quando ormai però era stato emanato e costitutiva oggetto di potenziale controllo, rientrando peraltro tra le misure di sicurezza obbligatorie.

Ancora obbligatoria l’applicazione del provvedimento?
È normale dunque che ad oggi, con tutte queste modifiche, in molti si stiano ponendo la fatidica domanda: è ancora da applicarsi il provvedimento o no? Anzitutto occorre specificare che l’eventuale abolizione del DPS non impatta in modo diretto sul provvedimento, perché fine a sé stessa. Semmai, poiché molti il controllo annuale lo facevano in corrispondenza dell’aggiornamento del DPS, evidentemente dovranno riallinearsi (anche se stando alla lettera del provvedimento il controllo dovrebbe avvenire al 15 dicembre di ogni anno). Quello che invece davvero impatta è la ridefinizione del concetto di interessato. Difatti, venendo meno la persona giuridica dalla definizione (ora “interessato” è solo la persona fisica) va da sé che il provvedimento si applicherà esclusivamente sui sistemi aventi ad oggetto il trattamento di dati di “persone fisiche”. Da ciò deriva quindi una ampia riduzione della portata del provvedimento che in concreto si applicherà ad esempio: sui sistemi di gestione del personale, su quelli che hanno ad oggetto dati sensibili (sanitari, sindacali), su quelli che ovviamente hanno database di persone fisiche (chi effettua B2C, assicurazioni, banche, sistemi IP di videosorveglianza), ma che si escluderà su quei sistemi che hanno in gestione esclusivamente persone giuridiche. Quindi in effetti le cose cambiano.

Rimappare i sistemi
Ora però il grande problema sarà capire la convenienza di fare dei passaggi a ritroso: disapplicare parzialmente il sistema di loggatura credo possa creare difficoltà simili a quelle affrontate in fase di adozione (occorrerà capire quanto siano “scindibili” i sistemi che ospitano solo dati personali). Inoltre, per molte aziende il provvedimento sull’ADS è divenuto oggetto di controllo da parte di organismi di vigilanza ai fini della 231, ed un modo per gestire soprattutto le verifiche sugli accessi, da remoto o on site, di ADS esterni alla struttura. Insomma sarebbe come ricominciare da capo, dover rimappare come e quando applicare il provvedimento. Inoltre, essendo prossima l’emanazione del Regolamento europeo che sembra che darà varie incombenze proprio sotto il profilo della sicurezza, abbandonarlo adesso o ridurlo sui sistemi in gestione potrebbe essere una mossa poco intelligente. Meglio operare forse a bocce ferme post-regolamento, spulciati i contenuti e gli obblighi imposti.

Avv. Valentina Frediani
www.consulentelegaleinformatico.it

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Pierpaolo Panico scrive:
    Io la vedo così....
    Ogni iniziativa che prevede il download legale a poco o niente è sempre ben accetta.In ogni caso, sono del parere da moltissimi anni, nel 2009 pubblicai un paper su questo, che se l'industria culturale non trova una formula vincente si faranno soffocare dal consumo spontaneo.C'è davvero chi crede di distruggere il p2p con leggi e repressione? il punto ideale di una distribuzione legale potrebbe essere, senza pensare che sia un volo pindarico senza speranza, un abbonamento a un database on demand quasi infinito, o persino darlo gratis. Si deve ragionare sui ritorni pubblicitari, Internet sta prendendo il posto delle tv generaliste e per questo si dovrebbero pensare a modelli di distribuzione gratuita con il pagamento dell'esposizione pubblicitaria.Se si ragiona in termini specifici dell'audiovisivo si dovrebbe già tenere conto che i prodotti, ma anche un'incredibile molteplicità d'informazioni e spinte alla ricerca informativa e anche commerciale, sono presenti in ogni video. Coinvolgiamo questa produzione di valore in un ritorno economico quantificabile e dividiamo i ricavi. in un modo o in un altro, si può alimentare ogni singolo ingranaggio di quest'industria a patto solo di pretendere di non massimizzare i ricavi solo in cima alla piramide economica ma di distribuirli più o meno equamente tra tutti.Comprendere il consumo e le sue motivazioni è l'unica possibilità, altrimenti, ogni cosa diviene scontro tra proibizionisti e non. La lotta alla droga con questi metodi si è visto che risultati ha ottenuto... un ritorno in questi ultimi anni dell'eroina come droga giovanile.
  • The Dude scrive:
    Bravi
    Ottima idea, che probabilmente sarà realizzata anche dalla RAI tra un paio di lustri.
  • The Dude scrive:
    Bravi
    Ottima idea, che probabilmente sarà realizzata anche dalla RAI tra un paio di lustri.
    • marco scrive:
      Re: Bravi
      Va bene essere esterofili ma qui rasentiamo il ridicolo.Cercati rai.tv e vedi se non trovi vecchi spettacoli RAI.
      • FinalCut scrive:
        Re: Bravi
        - Scritto da: marco
        Va bene essere esterofili ma qui rasentiamo il
        ridicolo.
        Cercati rai.tv e vedi se non trovi vecchi
        spettacoli
        RAI.Lasciamo perdere, non posso parlare.... magari se non usassero quello che schifo di Silverlight che oramai usano solo loro al mondo....
        • marco scrive:
          Re: Bravi
          - Scritto da: FinalCut
          - Scritto da: marco

          Va bene essere esterofili ma qui rasentiamo
          il

          ridicolo.

          Cercati rai.tv e vedi se non trovi vecchi

          spettacoli

          RAI.

          Lasciamo perdere, non posso parlare.... magari se
          non usassero quello che schifo di Silverlight che
          oramai usano solo loro al
          mondo....Se non puoi parlare perché sei intervenuto?Secondo: se non ti piace silverlight cosa vorresti usare? Forse Iplay? Che è quello che usa la BBC. Blindato per blindato cosa cambia?
          • FinalCut scrive:
            Re: Bravi
            - Scritto da: marco
            - Scritto da: FinalCut

            - Scritto da: marco


            Va bene essere esterofili ma qui rasentiamo

            il


            ridicolo.


            Cercati rai.tv e vedi se non trovi vecchi


            spettacoli


            RAI.



            Lasciamo perdere, non posso parlare.... magari
            se

            non usassero quello che schifo di Silverlight
            che

            oramai usano solo loro al

            mondo....
            Se non puoi parlare perché sei intervenuto?Perché conosco entrambe le società e come ragionano...
            Secondo: se non ti piace silverlight cosa
            vorresti usare? Non voglio mondezza M$ sul mio Mac, ok?
            Forse Iplay? Che è quello che usa
            la BBC. Blindato per blindato cosa
            cambia?No, se deve essere "un equivalente digitale dell'acquisto di un DVD" voglio un h264 senza DRM, altrimenti si attaccano e tirano forte...(apple)(linux)
          • uno qualsiasi scrive:
            Re: Bravi

            No, se deve essere "un equivalente digitale
            dell'acquisto di un DVD" voglio un h264 senza
            DRM, altrimenti si attaccano e tirano
            forte...Mentre vuoi imporre il drm agli altri:http://punto-informatico.it/b.aspx?i=3080072&m=3081070#p3081070due pesi e due misure, come al solito.
          • FinalCut scrive:
            Re: Bravi
            - Scritto da: uno qualsiasi

            No, se deve essere "un equivalente digitale

            dell'acquisto di un DVD" voglio un h264 senza

            DRM, altrimenti si attaccano e tirano

            forte...

            Mentre vuoi imporre il drm agli altri:
            http://punto-informatico.it/b.aspx?i=3080072&m=308

            due pesi e due misure, come al solito.Anche un DRM come quello di Mac App Store mi starebbe bene. Se i film fossero "firmati" dal DRM con il mio nome e potessi vederle ovunque io voglia per me non c'è problema.Non sopporto quello di iTunes sui movie perché è troppo aggressivo. Proibirti di vedere un film su una vecchia TV o poterlo portare a casa di amici per una sera in allegria non è una cosa accettabile.(apple)(linux)
      • Sgabbio scrive:
        Re: Bravi
        - Scritto da: marco
        Va bene essere esterofili ma qui rasentiamo il
        ridicolo.
        Cercati rai.tv e vedi se non trovi vecchi
        spettacoli
        RAI.Scusam ma la soluzione rai non è interpolabile. Silverlight che usano con ostentazione, non solo gira bene solo su windows, ma su linux manco puoi usare il loro sito :(Poi sinceramente, oltre a vedere il XXXX su Gabriella passion, ho poco interesse nei programmi fatti dalla rai.
        • marco scrive:
          Re: Bravi
          - Scritto da: Sgabbio
          - Scritto da: marco

          Va bene essere esterofili ma qui rasentiamo il

          ridicolo.

          Cercati rai.tv e vedi se non trovi vecchi

          spettacoli

          RAI.

          Scusam ma la soluzione rai non è interpolabile.
          Silverlight che usano con ostentazione, non solo
          gira bene solo su windows, ma su linux manco puoi
          usare il loro sito
          :(
          Poi sinceramente, oltre a vedere il XXXX su
          Gabriella passion, ho poco interesse nei
          programmi fatti dalla
          rai.io ho risposto a uno xenofilo che contesta che la rai farà fra un paio di lustri ciò che la BBC fa adesso e tu mi dici che anche se c'è tu non lo puoi vedere. Preferisco la posizione di Finalcut qui sopra che SCEGLIE di non installare monnezza, alla tua che dici non essere possibile vedere su una sistema operativo che, purtroppo, e installato su una minoranza di sistemi. Fai aumentare la base linux installata e avrai anche lo streaming su linux.P.S. se l'unica cosa che ti interessa in TV è un XXXX vai di playboy e ne hai libera scelta però preferirei averne l'originale; non sono attirato dall'onanismo televisivo.
      • The Dude scrive:
        Re: Bravi
        - Scritto da: marco
        Va bene essere esterofili ma qui rasentiamo il
        ridicolo.
        Cercati rai.tv e vedi se non trovi vecchi
        spettacoli
        RAI.Capisci la differenza tra SCARICARE e STREAMING? Lo hai letto l'articolo? Certo che li trovo i vecchi spettacoli, dai tempi di Teche, ma non me li posso scaricare. Almeno, non che io sappia.
Chiudi i commenti