jump to navigation

Spettacolare! Ecco il diritto all’oblio (alla -1)! venerdì 30 maggio 2014

Posted by andy in privacy.
Tags: , , ,
add a comment

Leggo la notizia dell’apertura di Google al diritto all’oblio.

Ovviamente non poteva rifiutare un trattamento delle informazioni degli utenti conforme alla normativa europea, pena l’essere sfrattata dai territori dell’unione.

Gli aspetti che hanno dello sensazionale direi che sono due:

  1. Google rimuoverà i collegamenti indesiderati (occorre quindi elencarli tutti), ma non parla di rimuovere i contenuti;
  2. per rimuovere tali collegamenti, Google si farà dare una serie di informazioni che ancora non possiede:
    • le proprie generalità reali (così potrà associare gli account, anche non identificativi, a delle identità reali);
    • una copia CHIARA E LEGGIBILE del documento di identità (così lo potrà associare alla nostra identità in Rete, ormai non più pseudonima);
    • nel caso si agisca per conto di un terzo, verrà stabilita una relazione di autorità legale tra richiedente e titolare delle pagine da rimuovere;
    • per ogni URL, dovrà essere fornita una chiara motivazione, di fatto aggiungendo un livello semantico al contenuto;

NOTA: il documento d’identità verrà rimosso dopo un mese dopo la chiusura della pratica, << a meno dei casi previsti dalla legge>>

Qui il modulo di richiesta: https://support.google.com/legal/contact/lr_eudpa?product=websearch

Perché è importante la pervasiva raccolta di informazioni giovedì 24 ottobre 2013

Posted by andy in Information Security, privacy.
Tags: , , , ,
add a comment

Lo scandalo Datagate ha svelato fino a che punto sia giunta la pervasività della raccolta delle informazioni svolta dalla NSA (e presumibilmente anche da parte di molte altre agenzie pubbliche e private).

Spesso mi sento chiedere a che titolo qualcuno potrebbe voler intercettare le comunicazioni anche del più ‘insignificante’ dei cittadini: che interesse potrebbero avere gli americani (o chiunque altro) a sapere con chi parlo, a chi scrivo, dove vado …?

Il problema nella raccolta delle informazioni è che il loro valore è tanto maggiore quanto è più completa.

Le reti di relazioni, le sequenze degli eventi e delle comunicazioni (senza contare i loro contenuti) sono fondamentali.

Faccio un paio di esempi banali, tanto per dare un’idea.

Se Paperino telefona a Pippo (entrambe persone integerrime), e questi parlano di fare un regalo al Commissario Basettoni, non si evidenzia niente degno di nota.
Ma se la mia raccolta di informazioni mi porta ad intercettare anche le telefonate tra Pippo e Gambadilegno (noto o potenziale terrorista), allora l’interpretazione che si può dare ai discorsi tra i primi due cambia molto, così come la valutazione sulla loro integrità.

Altro esempio: intercetto tutte le e-mail tra due persone, ma non le telefonate (è un esempio: potrebbe trattarsi di ‘pizzini’).
Il Commissario Basettoni scrive a Topolino una mail in cui afferma di non avere intenzione di mettere Gambadilegno in prigione (o di non voler muovere guerra contro Paperopoli).
Tuttavia gli aveva preventivamente telefonato avvisandolo di interpretare al contrario ogni sua affermazione via e-mail.

Come vedi soltanto se hai un quadro completo delle relazioni e delle comunicazioni puoi comprendere veramente ciò che sta accadendo.

Per non parlare poi del furto della proprietà intellettuale, delle informazioni commerciali strategiche, dello spionaggio industriale (vi ricorda nulla la vicenda Boing vs. Airbus …?).

Intercettazioni: e ancora ci stupiamo? giovedì 24 ottobre 2013

Posted by andy in Information Security, Internet e società, privacy.
Tags: , , , , , ,
add a comment

Datagate: anche il governo italiano è spiato.

È da anni che sappiamo di Echelon.

Il nostro stato (leggi DigitPA, ex CNIPA), invece che lavarsi i panni sporchi in casa (leggi: Telecom), appalta tutto fuori, e casualmente a chi? a BT (British Telecom), che è pappa e ciccia con gli USA nei programmi di spionaggio.

In particolare oltre che ad assegnargli l’appalto nazionale per la RUPA (Rete Unitaria della Pubblica Amministrazione, ora SPC – Sistema Pubblico di Connettività e Cooperazione) gli abbiamo appaltato anche quella internazionale (RIPA – Rete Internazionale della Pubblica Amministrazione).

E ci stupiamo ancora che all’estero qualcuno controlli le nostre comunicazioni …?

Il Crowdsourcing ed il giornalismo investigativo di massa giovedì 24 novembre 2011

Posted by andy in Internet e società, privacy.
Tags: , , , , , , ,
add a comment

Sono rimasto stupefatto dalla fantasia di un giornale (il Guardian inglese) e dall’ennesima manifestazione delle incredibili opportunità della Rete.

Mi riferisco in particolare alla notizia che ho appreso qui, in merito ad un’indagine giornalistica portata avanti con e grazie al supporto della Rete.

Il tema è semplice: vi erano sospetti che alcuni parlamentari si facessero più o meno regolarmente rimborsare spese non lecite.

Il problema è che quando sono state chieste, per trasparenza, le evidenze delle spese sostenute, il governo ha reso si disponibili circa mezzo milione di documenti, tra ricevute e non, ma in forma digitalizzata invece che sintetica (immagini invece che testo), e quindi praticamente non analizzabile attraverso strumenti informatici; l’approccio del Governo è stato denominato ‘BlackoutGate’ proprio per le enormi proporzioni del tentativo di insabbiamento dell’indagine.’

L’obiettivo era evidentemente quello di far desistere chiunque dall’analisi dei contenuti, vista l’immane quantità di lavoro necessaria.

La mirabile idea del Guardian è stata quella di utilizzare la Rete ed i suoi cittadini per affrontare in modo massivo l’analisi dei documenti; ha quindi fatto ricorso a quello che viene definito come ‘crowdsourcing’, ovverosia outsourcing di massa, pubblicando online il gioco ‘Investigate Your MP’s Expenses‘, il cui obiettivo è di analizzare e catalogare tutti i documenti forniti dal Governo e segnalare tutti quelli potenzialmente anomali ed illeciti.

L’obiettivo del gioco è quello di apparire e salire nella classifica dei ‘top segnalatori’ di spese non giustificate.

Il gioco è stato definito come il primo progetto al mondo di giornalismo investigativo massively multiplayer.

Ad oggi, circa la metà dei documenti è stata analizzata da circa 30.000 persone, e di risultati sulle anomalie vengono pubblicati ed aggiornati on-line.

Grazie all’indagine, già una trentina di parlamentari ha già rassegnato le dimissioni o ha annunciato di ritirarsi a fine legislatura, ed alcuni procedimenti giudiziari sono già stati avviati dalla magistratura per i reati già accertati.

Ulteriore aspetto, particolarmente interessante dato il periodo di crisi, è il recupero del maltolto da parte della pubblica amministrazione, per un importo già accertato ad oggi di oltre un milione di sterline.

La morale? È semplice: Internet = trasparenza.

Nessuno strumento nella storia dell’uomo ha dato così tanto potere ai cittadini di controllare i propri amministratori.

La ‘potenza di calcolo’ dei cittadini in Rete è superiore a qualsiasi tentativo di ostacolamento, senza contare le grandi opportunità per la diffusione di documenti ed informazioni che si vorrebbero tenere gelosamente segrete (leggi: WikiLeaks).

Contenuti Internet ‘a due velocità’ lunedì 21 novembre 2011

Posted by andy in Internet e società, privacy.
Tags: , , , , ,
add a comment

Il W3C (il consorzio che stabilisce gli standard del World Wide Web) ha pubblicato la prima bozza di un nuovo framework per la gestione della privacy degli utenti. Anche per l’ENISA (European Network and Information Security Agency) l’eccessivo logging online fa male alla vita delle persone.

la moderna pratica di logging ubiquo dei siti e servizi web in un vero e proprio incubo da “tracciamento di vita” online.

La crescente sensibilità ed attenzione alla privacy, soprattutto in Europa, sta portando i produttori di browser ed il W3C alla definizione delle modalità per gestire la Tracking Preference Expression, ovverosia un set di standard mediante i quali esprimere le proprie preferenze in merito alle pratiche di tracciamento da parte dei siti, e la Tracking Compliance and Scope Specification per la definizione di preferenze “Do Not Track” e le relative pratiche che i siti web dovranno (o almeno dovrebbero) adottare per rispettarle.

Di fatto, il mercato sta catalizzando degli anticorpi per proteggersi da un’eccessiva contaminazione da ‘loggers’.

D’altra parte il mercato ed i produttori, utenti e servizi on-line hanno sempre vissuto di una crescente simbiosi: l’uno non ha scopo senza l’altro.

Occorre anche aggiungere che ormai la quasi totalità dei servizi online vengono fruiti gratuitamente (limitando l’accezione al solo pagamento in valuta); ovviamente i miliardi di dollari che occorrono per sostenere lo sviluppo ed i costi delle infrastrutture che supportano tali servizi provengono dai profitti derivanti dal possesso, analisi e vendita dell’unico vero bene raccolto e gestito: l’informazione sugli utenti e sulle loro preferenze ed abitudini.

Qualsiasi pratica volta quindi a limitare la raccolta di informazioni sugli utenti porterà quindi a limitare i profitti, e quindi i budget a supporto dello sviluppo dei servizi e del mantenimento delle necessarie infrastrutture.

Ma difficilmente il mercato accetterà facilmente tagli ai propri profitti, e quindi tenderà a muoversi in modo da contrastare la potenziale riduzione dei dati che potranno essere raccolti.

Come motivare gli utenti ad acconsentire la propria profilazione?

Personalmente mi immagino una possibile evoluzione simile a quella ipotizzata per la ‘Internet a due velocità‘, ovverosia la pratica di privilegiare il traffico destinato verso siti paganti e penalizzare quello verso siti comuni (non paganti), con tutte le implicazioni del caso, tra cui le notevoli possibilità per lo sviluppo di pratiche di concorrenza sleale tra provider, a tutto di scapito dell’utente.

Mutuando quindi il concetto, vaticino una Internet con contenuti a due velocità, inteso ovviamente non nel senso della banda garantita, ma della quantità di informazione e di servizi accessibili.

In pratica succederà che chi espone i contenuti lo farà in modo condizionato: più ti lasci tracciare, più contenuti ti consento di consultare.

Tutto sommato qualcosa di analogo è già stato fatto in passato con la pubblicità, e penso che verrà ripreso a causa di tutti i filtri utilizzati nei browser: contenuti in cambio di pubblicità.

Do ut des, insomma: se vuoi contenuti a valore aggiunto, quali giochi, musica, film, notizie, etc. dovrai accettare che i tuoi contenuti vengano tracciati, e possibilmente non filtrare la pubblicità che cercano di propinarti.

Provvedimento del Garante sugli amministratori di sistema: troppa teoria e nessuna pratica martedì 9 giugno 2009

Posted by andy in Internet e società, Miglioramento, privacy.
Tags:
add a comment

Ho letto molti commenti sul tema.
Mi sono stupito della consultazione del Garante dopo aver fatto la legge, ma … ben venga; il tema è spinoso e prima lo si sviscera e meglio è.

Il problema che permane però, a parer mio, e che nessuno credo abbia ancora affrontato, è quello della correlazione tra l’impatto dell’attuazione del provvedimento sulle aziende rispetto alle capacità ed ai benefici.

I requisiti posti dal Garante non sono ‘scalabili’: sono un ‘tutto o niente’, e il niente è male per la legge.

Con ‘niente’ non intendo lo stare a guardare e girare i pollici: intendo invece adottare misure e spendere soldi per ottenere qualcosa che, di fatto, non risolve il problema.

Manca una prospettiva, e manca la definizione degli obiettivi.

Provo ora a sintetizzare un po’ dei problemi che si sono incontrati, per poi passare ad una proposta costruttiva.

I principali problemi che il provvedimento solleva sono:
1. L’amministratore di sistema viene caricato di responsabilità anche penali;
2. L’amministratore di sistema, nella maggior parte dei casi, non ha le competenze per affrontare il problema in modo risolutivo;
3. L’amministratore di sistema, in generale, non viene pagato per le responsabilità che ci si aspetta egli si assuma;
4. L’amministratore di sistema, in generale, non ha potere decisionale né di spesa per quanto riguarda l’implementazione delle soluzioni che ritiene necessarie;
5. Le aziende sono realtà che possono essere Telecom, banche, il Ministero della Giustizia, ma anche imprese a conduzione familiare, che hanno da proteggere soltanto i dati di qualche collaboratore.

Il punto 5. ha due implicazioni fondamentali:
a. l’azienda può gestire dati estremamente sensibili (medici, giudiziari, etc.), indipendentemente da quanti ne tratta;
b. l’azienda può gestire dati non molto sensibili, o anche soltanto riservati, ma in quantità enormi.

Con quanto sopra ho, credo, evidenziato il fatto che il provvedimento del Garante è sproporzionato (verso l’alto o verso il basso) rispetto alla realtà; anzi, proprio non ha correlazioni rispetto ai fattori in gioco.

E vengo ora alla parte propositiva.

A parer mio occorre:
1. creare un collegamento tra responsabilità, competenze e retribuzione degli Amministratori di Sistema;
ovverosia: dato il livello di responsabilità richiesta, deve essere corrispondentemente richiesto un adeguato livello di certificazione della persona (e perché no? anche di irreprensibilità), ed in cambio deve essere stabilito un compenso minimo adeguato ai requisiti di cui sopra;

2. stabilito il tipo di trattamento di dati necessario all’azienda, stabilire quale siano i requisiti minimi in termini di professionalità e numero di persone necessarie;
ovverosia: il tipo di trattamento dei dati deve essere correlato alla loro sensibilità / importanza, ed alla loro quantità; in relazione a ciò devono essere stabilite delle risorse minime necessarie per assicurare la protezione dei dati e la correttezza dell’utilizzo delle infrastrutture (rammento che le aziende hanno serie sanzioni per la responsabilità amministrativa).

Tutto ciò, per legge.
Ovvio che la legge risulta troppo ‘lasca’ nel rapporto responsabilità / retribuzioni, nessuno farà più l’amministratore e le aziende si troveranno inadempienti nei confronti della legge.

L’aspetto delle certificazioni è facilmente risolto: ve ne sono di ogni tipo, sia personali che aziendali.

C’è anche da dire, infine, che il Garante potrebbe assumere un atteggiamento più costruttivo, coinvolgendo il CNIPA nella definizione di strumenti e regole operative minime tali da garantire il rispetto della legge.
Dovrebbe in sostanza venire incontro a tutte quelle mini e micro-aziende che non hanno né budget né competenze, per consentire anche ad esse di mettersi in regola senza doversi ipotecare la casa.

L’aspetto tecnologico di come realizzare un sistema economico che soddisfi i requisiti del Garante, li svilupperò in un altro post.

Gli obblighi per gli Amministratori di Sistema: una proposta concreta dopo tanta teoria giovedì 4 giugno 2009

Posted by andy in Internet e società, privacy, tecnologia.
Tags: , , , ,
add a comment

Riprendo il discorso sul tema del provvedimento del Garante 27/11/2008 sulle Misure e accorgimenti relativamente alle attribuzioni delle funzioni di amministratore di sistema.

Il Garante ha fatto della teoria; si è quindi reso conto di avere creato un mostro che non sa gestire, ed ha fatto ricorso alla consultazione pubblica (che avrebbe dovuto essere stata fatta prima, e non dopo), da cui speriamo si arrivi a qualcosa di concreto e di realistico.

I propositi sono buoni, ma la generalità della cosa ha reso di fatto inutile ai fini pratici la nuova norma.

L’auditing sull’accesso ai dati sensibili (di fatto, è di questo che si parla) si può fare in vari modi, e soprattutto con vari livelli di profondità.

Le esigenze di una Telecom, di un ISP e di un’azienda che fabbrica bulloni sono completamente differenti.

E cosa è che fa la differenza? Il rischio.
Riuscire ad accedere ai database di una Telecom o dellla Sanità, o del Ministero della Giustizia, comporta rischi incredibilmente più elevati che riuscire ad accedere al database dei dipendenti dell’impresa a conduzione familiare che produce bulloni nel garage sottocasa.

In aggiunta, la protezione dei dati ha un costo, in particolare in materia di competenze.

Ciò che avrebbe dovuto fare il Garante è di stabilire una griglia, in cui tenere conto della quantità e della qualità dei dati gestiti.

La qualità è ovviamente un fattore fondamentale: i dati giudiziari o sanitari, piuttosto che quelli finanziari, comportano intrinsecamente più rischi che i puri dati anagrafici.

Altro fattore fondamentale è la quantità: una cosa è gestire un database dei 5 o 10 nominativi dei dipendenti dell’azienda, un’altra è gestire database che contengono milioni di anagrafiche, e magari per ciascuna anche il tracciato telefonico e l’identificazione delle celle che hanno servito le telefonate.

In sintesi, il Garante avrebbe potuto stabilire dei requisiti minimi in termini di:
– certificazioni di sicurezza dell’azienda, e dei suoi eventuali subfornitori;
– professionalità degli amministratori (certificazioni personali, etc.)
– integerrimità del personale responsabile;
– quantità e dettaglio dei log di auditing, in relazione ai dati gestiti;
– elenco minimo delle informazioni da auditare;
– modalità e durata della conservazione dei log (personalmente, li farei criptare con la chiave pubblica di un certificato della Magistratura);

Forse c’è anche altro, ma l’elenco di cui sopra serve già a dare un’idea di cosa intendo significare.

Faccio invece una digressione sulla criptazione dei supporti su cui vengono conservati i log.
Nel caso la cosa non fosse chiara a tutti, la disposizione del Garante, così com’è, mi risulta essere sostanzialmente inutile.
Oltre al fatto che in generale i log possono essere ‘epurati’ prima di essere trasferiti su un supporto non riscrivibile (a meno di soluzioni non banali), essi possono essere modificati anche dopo: è sufficiente scaricare il contenuto del supporto, modificare il contenuto dei log, e ri-masterizzare il tutto su un nuovo supporto, da sostituire all’originale.

In sostanza, i log devono come minimo essere accompagnati da una marca temporale certa, che ne garantisca l’immutabilità.
Visto poi che tali log sono necessari, di fatto, soltanto in caso di indagini della Magistratura, se questi fossero criptati con la chiave pubblica di un certificato della stessa, tali log non potrebbero essere aperti se non in caso di indagine.

In questo modo si preserva la privacy di tutti (anche degli amministratori di sistema), non si fa telecontrollo, ed i log stessi non possono divenire interessanti per compiere un furto (per fare un esempio, ad un malintenzionato i log della Telecom di turno possono raccontare molte cose sull’architettura dei sistemi e dei servizi).

Il monopolio della PEC lunedì 25 maggio 2009

Posted by andy in Internet e società, privacy.
Tags: , , ,
1 comment so far

La notizia non passerà inosservata né, a parer mio, passerà mai una legge così pazzesca.

Ma vediamo meglio cosa si può nascondere nello schema di Decreto del Presidente del Consiglio dei Ministri con il quale verranno disciplinati termini e modalità attraverso i quali i cittadini italiani potranno accedere alla casella di PEC (Posta Elettronica Certificata) che così ‘generosamente’ gli verrà donata.

L’approccio ipotizzato cosa porterà?

  • regalerà un nuovo monopolio legalizzato ad un privato: chiunque vinca la gara, terrà in pugno i cittadini e le loro comunicazioni;
  • accesso monopolistico a tutti i servizi a valore aggiunto;
  • possibilità di fatto di controllare le comunicazioni di tutti i cittadini;
  • irrigidimento su una posizione tecnologica unicamente italiana, impedendo l’interoperabilità con il resto del mondo;
  • trasferimento del concetto di ‘ricevuta di ritorno’ in ‘ricevuta di consegna’: la PEC non sostituisce la raccomandata A/R in quanto quest’ultima attesta che la missiva è stata recapitata nelle mani del destinatario (attesta che è stata ricevuta); la PEC può soltanto attestare che il messaggio è stato infilato nella buca delle lettere del destinatario; se questi è in ferie o in ospedale, potrebbe non accedere (leggere) la missiva per rlungo tempo, ma lo stato farebbe decorrere i termini legali della consegna da tale momento;
  • diritto ad un privato di limitare la capacità di comunicazione dei cittadini (limitazione della quantità di traffico); esisterà una limitazione sulla quantità di traffico? O il fornitore accetterà di gestire ed archiviare una quantità arbitrariamente grande di corrispondenza? Io potrei trovarmi a dover inviare ogni giorno contratti con decine o centinaia di MB di allegati, che dovrebbero rimanere immagazzinati, come minimo, per 30 mesi; e se lo facessero tutti? O ci sarà la fregatura di stato, per cui lo stato ci regala una casella da 1 MB, e tutto il resto lo si paga a parte? O peggio ancora tutto il resto lo pagherà, senza che noi lo sappiamo, lo stato, sempre con i nostri soldi;
  • diritto ad un privato di distruggere le comunicazioni personali oltre i termini minimi di conservazione della corrispondenza garantiti per legge (per la PEC, 30 mesi, se ricordo bene, termine tra l’altro insignificante rispetto ai tempi della Giustizia e della prescrizione);
  • impossibilità di utilizzare nomi di caselle facilmente associabili al proprietario: quanti Mario Rossi ci sono? Si sarà costretti a ripiegare sul codice fiscale; vi immaginate voi quanto sia semplice dare l’indirizzo della propria PEC a qualcuno?
  • penalizzerà la qualità del servizio, in quanto fissato il prezzo offerto, il fornitore cercherà di risparmiare al massimo sulla Qualità per massimizzare il proprio utile;
  • impossibilità di fatto di trasferire il servizio ad altri allo scadere della concessione: come sarà possibile trasferire la quantità di informazioni immagazzinate nei server del fornitore? E poi, sarà realmente possibile distruggerne gli originali? E tutti i servizi a valore aggiunto associati alla casella di posta, a chi andranno? Seguiranno la casella, o rimarranno in carico al gestore originario?

Pur essendo in un paese tipicamente atipico, penso che alla lunga la PEC andrà a morire, e che soprattutto una proposta di legge come questa finirà per forza di cose nel cestino.

i principali problemi nel provvedimento del Garante per gli AdS lunedì 18 maggio 2009

Posted by andy in privacy, tecnologia.
Tags: , , , , , ,
add a comment

Con riferimento al provvedimento del Garante 27/11/2008 – Misure e accorgimenti relativamente alle attribuzioni delle funzioni di amministratore di sistema, mi sono trovato ad affrontare, come tanti, il problema.

Ho letto molti pareri, ma ritengo le che problematiche principali siano relativamente poche.

In sintesi, i problemi di fondo che devono, a parer mio, essere affrontati e sviscerati, sono tre:

  1. chiarire quali siano lo scopo e le modalità minime per gestire appropriatamente i log di sistema;
  2. chiarire quali siano le responsabilità ed i requisiti minimi per gli amministratori di sistema;
  3. proporzionare i requisiti alle caratteristiche de trattamenti effettuati.

Scopo e Modalità
In merito al punto 1. direi che lo scopo è evidentemente quello di impedire a chicchessia di eseguire sui dati qualsiasi tipo di operazione senza che questa possa essergli ricondotta.
In questo senso, non deve essere possibile ad alcuno accedere ai dati con credenziali non proprie, o effettuare operazioni sui profili di altri utenti per poter acquisire, anche temporaneamente, il loro profilo, per poter effettuare operazioni sui dati, senza che queste vengano registrate.
Ovviamente, l’amministratore di sistema non deve in nessun modo poter accedere e modificare i log al fine di far scomparire tracce e prove delle proprie azioni.
I meccanismi esistono, ma la loro descrizione esula dallo scopo di questa mia mail.

Altro aspetto fondamentale che dovrebbe essere sviscerato riguarda come garantire l’autenticità dei log registrati su supporto non riscrivibile.
In effetti, il fatto che un dato sia memorizzato su un supporto non riscrivibile, non ne garantisce l’originalità né l’autenticità.
A titolo di esempio, è possibile prendere un supporto su cui siano registrati i log, trasferirli su un sistema, modificarli, e memorizzarli su un nuovo supporto non riscrivibile, da sostituire al primo.

Occorre evidentemente che il contenuto del supporto sia firmato digitalmente, con data certa.

Responsabilità
L’amministratore di sistema viene caricato di pesanti responsabilità.
Mentre un ADS di grandi società è sicuramente selezionato sulla base della propria professionalità, ed è certamente conscio dell’entità dei problemi che si trova ad affrontare e gestire, la stragrande maggioranza di società non può permettersi simili professionisti: l’amministrazione di sistema è spesso un’attività fai-da-te, o viene girata a giovani inesperti, spesso con contratti temporanei.
Non è assolutamente accettabile che vengano scaricate su figure di questo tipo responsabilità che sono, di fatto, dell’azienda.

Di fatto, occorre che il Garante definisca quali sono i requisiti minimi di professionalità da richiedere all’ADS, e di come il costo di questa professionalità possa essere relazionata alle disponibilità finanziare dell’azienda.

Proporzionalità dei Requisiti
Come si diceva poc’anzi, nella stragrande maggioranza dei casi molto probabilmente l’azienda non è in grado di gestire, pur con tutta la buona volontà, il problema posto dal Garante.
In sostanza, alle aziende medio-piccole non occorrono prescrizioni teoriche, ma indicazioni pratiche.
Quello che potrebbe fare il Garante, con il CNIPA, è di predisporre le necessarie indicazioni (o meglio ancora, gli strumenti software) tali che, se appropriatamente adottati, possano mettere in condizioni le aziende di rispettare la legge senza dover dedicare una non indifferente fetta del proprio bilancio ad avvocati e consulenti esterni.

In questo senso risulta tuttavia fondamentale definire bene quali siano le discriminanti.
Un azienda, anche molto piccola in termini di persone, che tuttavia non utilizzi l’informatica come puro mezzo accessorio alle attività del proprio core business, non potrà limitarsi ad implementare criteri minimi di sicurezza.

Esistono sicuramente altri aspetti rilevanti, ma ritengo che in generale ciò che dovrebbe essere fatto da parte del Garante non sia semplicemente il fornire norme, ma indicazioni pratiche e strumenti facilmente calabili nella realtà delle aziende.
Il CNIPA potrebbe essere e fornire un valido aiuto in questo senso.

Fatta la legge, calato il traffico? martedì 7 aprile 2009

Posted by andy in Internet e società, privacy.
Tags: , ,
add a comment

La Svezia ha recepito fra le polemiche la direttiva europea IPRED.

Dal primo di aprile potrebbe bastare un indirizzo IP all’industria dei contenuti, potrebbe bastare una richiesta all’autorità giudiziaria per ottenere l’ordinanza con cui chiedere al provider di identificare l’abbonato. Rastrellamenti di dati nei circuiti del file sharing potrebbero sfociare in una gragnola di denunce o di richieste di risarcimento.

Sembra che il traffico rilevato dai fornitori di connettività sia sceso del 33% nel primo giorno di applicazione della legge.

Fatta la legge, calato il traffico, si potrebbe dire.

Ma la prova del nove sarà l’aumento degli incassi dell’industria dei contenuti: o aumenteranno, e questa sarà la riprova che questi galantuomini avevano ragione, oppure il loro fatturato rimarrà stazionario o in calo, con le seguenti due possibilità:
1) non dichiarano tutte le entrate, o
2) la gente comunque non avrà da spendere le montagne di soldi che questi signori hanno sempre ipotizzato esistere.

Staremo a vedere …

Esiste naturalmente la quarta delle tre possibilità, ovverosia che le cose non cambieranno, ed il P2P reagirà con appropriati anticorpi a questa intrusione privata nella privacy dei cittadini.

In ogni caso la cosa più interessante da verificare è se l’aver venduto la privacy dei cittadini all’industria dei contenuti porterà benefici o meno, e se si, a chi.

E quali danni.