jump to navigation

Pubblicate in G.U. le Regole tecniche: arriva il nuovo “sistema di conservazione” dei documenti informatici sabato 15 marzo 2014

Posted by andy in Information Security, tecnologia.
Tags: , , , ,
add a comment

Sono state pubblicate in G.U. le Regole tecniche per il nuovo “sistema di conservazione” dei documenti informatici.

Una delle novità riguarda il concetto di “sistema di conservazione“, che viene definito come un sistema che, in tutto il ciclo di vita del documento, deve assicurarne la conservazione con i metadati a essi associati, tramite l’adozione di regole, procedure e tecnologie idonee a garantirne le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità.

Non intendo qui entrare nel merito delle caratteristiche di autenticità, integrità, affidabilità e reperibilità, che sono di fatto da anni oggetto degli obblighi derivanti dalla Legge sulla Privacy (d.Lgs. 196/2003), e successive integrazioni e modifiche.

Grazie alla redazione del DPS, tali obblighi hanno in sostanza portato all’attenzione del top management delle aziende ed anche dei professionisti la necessità di gestire la sicurezza delle informazioni in tutto il loro ciclo di vita.

Desidero invece concentrarmi su uno dei termini invece ha delle implicazioni che probabilmente sfuggono ai più: la ‘leggibilità‘.
Supposto che siamo in grado di assicurare una lunga vita al documento informatico, siamo altrettanto in grado di garantirne la sua leggibilità?
Già oggi è estremamente difficile trovare del software che sia in grado di aprire documenti realizzati con le prime versioni di Word, Access, etc. (per non parlare di quelli redatti con i programmi di office automation che giravano prima su DOS e su altre piattaforme (Commodore, Sinclair, etc.).
E se anche inseriste nel vostro ciclo di vita di gestione delle informazioni anche la preservazione del software necessario, il giorno che vi occorresse, sareste ancora in grado di utilizzarlo?
Potrebbe essere definitivamente scaduta la licenza d’uso, o non essere più supportato dall’ultima versione del sistema operativo che avete adottato a livello aziendale …
Senza voler fare dell’allarmismo, già oggi esistono parecchie criticità nell’utilizizare all’interno di WIndows 7 applicativi scritti per versioni precedenti di Windows e del DOS – vedi il workaround del XPmode).
Windows 8.1 prevede l’utilizzo del DRM: il che significa che Microsoft avrà il controllo sul software che utilizzerete; a fronte di una licenza scaduta, il produttore del software potrebbe impedire l’esecuzione del programma, o addirittura forzarne la disinstallazione.
In sostanza, garantire la leggibilità di un documento potrà divenire potenzialmente impossibile.

Ovviamente esistono anche gli standard aperti ed il software libero, ma queste sono scelte strategiche che in pochi sono in grado di affrontare.

 

A proposito …
visto che per poter rendere ‘leggibile’ un documento possono essere necessari dell’hardware obsoleto ed anche una o più licenze di software anch’essi potenzialmente obsoleti, in caso di giudizio quale delle parti ha l’onere di fornire la piattaforma per poter presentare il documento?

Ed il giudice stesso, volendo consultare gli atti del processo può avere necessità di fare accesso al documento stesso; anche nell’ottica della dematerializzazione deve andare da una delle parti e farsi stampare tutto?
O si fa mettere a disposizione una copia del sistema informatico necessario per poter leggere il documento?

Self-Assessment per la migrazione verso i servizi ‘in the cloud’ sabato 9 febbraio 2013

Posted by andy in tecnologia.
Tags: , , , ,
add a comment

Attraverso il CSA – Italy Chapter, sono venuto a conoscenza di uno strumento messo on-line da Microsoft per valutare il proprio stato di preparazione ad accedere al cloud

Descrizione dello strumento

Il sito http://technet.microsoft.com/en-us/security/jj554736 offre uno strumento web-based di self-assessment per valutare sia il gap esistente rispetto alle normative prese a riferimento, sia i vantaggi derivanti da una migrazione verso servizi cloud-based.
In particolare lo strumento si definsce come un Cloud Security Readiness Tool for Cloud Adoption, e quindi specificamente orientato a valutare gli aspetti inerenti la sicurezza delle informazioni.
Lo scopo, così come traspare intuitivamente già al primo accesso, è quello di fornire alle organizzazioni non ‘cloud-aware‘ uno strumento semplice ed intuitivo per valutare la prorpia situazione ed i vantaggi che il cloud può offrire.
L’interfaccia consiste in un unico form da compilare, diviso in una sezione iniziale di informazioni generali per inquadrare la dimensione e la tipologia dell’organizzazione, ed una seconda specifica per il self-assessment, composta da 27 quesiti.
Una volta compilato il form, viene richiesta una semplice registrazione (basta un indirizzo di e-mail, senza fornire ulteriori informazioni) per poter scaricare il documento di assessment prodotto; la registrazione consente inoltre di tornare a rivedere, correggere e modificare le proprie valutazioni per aggiornare il rapporto.

Metodo di valutazione

Per quanto riguarrda il metodo di valutazione, ho valutato due casi ragionevolmente ai limiti in Europa (un’organizzazione governativa con parecchie migliaia di PC, e una di produzione con pochissimi PC), e per entrambe ho compiilato il form fornendo la configurazione e quella migliore.

Pro

  • semplicità d’uso: le informazioni generali richieste per la categorizzazione dell’utilizzatore sono veramente poche e chiare; anche i quesiti per l’assessment sono molto semplici e chiari, e le risposte possibili (quattro) consentono di inquadrare molto facilmente il contesto effettivamente in essere presso la propria realtà;
  • semplicità di registrazione e non invasività della propria privacy;
  • il report è ben schematizzato, sintetico e chiaro;
  • può essere un interessante strumento per iniziare ad approcciare in poco tempo il tema del cloud e della possibilità di valutare la possibilità di appoggiarvi alcuni servizi;
  • lo strumento consente di salvare più analisi, con la possibilità di modificarle e riesaminarle in momenti successivi;
  • lo strumento non è di parte, nel senso che non evidenzia vantaggi e specificità dell’offerta del realizzatore.

Contro

  • Lingua: al momento il sito è soltanto in lingua inglese, così come il report generato; questo potrebbe costituire un fattore limitante soprattutto per le piccole imprese;
  • Tipologia di servizi cloud: al momento, lo strumento offre come unica scelta l’opzione SaaS; le opzioni IaaS e PaaS sono indicate ma non selezionabili;
  • Il report è forse un po’ troppo astratto ed orientato ad un dettaglio di controlli troppo formale (NIST SP800-53), e quimdi fruibile più da uno specialista della sicurezza, piuttosto che da un’organizzazione che vuole capire quanto il cloud possa essere o meno una soluzione per elevare i propri livelli di sicurezza;
  • dato che la norma di riferimento in Europa è la ISO27001, sarebbe apprezzabile avere riferimenti per il mapping dei controlli (anche) rispetto a questa norma;
  • manca una presentazione intuitiva dei risultati dell’assessment e del gap esistente rispetto ad una possibile migrazione verso i servizi nel cloud;
  • vengono presentati soltanto i vantaggi derivanti da una migrazione verso il cloud, omettendone invece i problemi ed i rischi.

Conclusioni

Nel complesso lo strumento appare interessante, sopratutto nell’approccio.
Tuttavia il sito appare essere molto orientato all’utente americano, sia per la mancanza di internazionalizzazione, sia per i riferimenti al solo standard NIST SP800-53.
Essendo realizzato dalla Microsoft, non stupisce che il sito tratti soltanto il modello SaaS, dovendo promuovere il reale business dell’azienda (software ed applicazioni), piuttosto che infrastrutture e piattaforme (modelli IaaS e PaaS).
Il livello di chiarezza, semplicità ed intuitività del report generato non sono al livello di quelli del form iniziale di self-assessment, ma potrà essere facilmente migliorato integrando rappresentazioni grafiche dei risultati; tuttavia ad oggi esso potrebbe non essere sufficientemente in linea con l’obiettivo di facilitare le organizzazioni che non dispongono di capacità interne evolute a comprendere dove si posizionino nel panorama della sicurezza e quale possa essere il gap che può essere coperto migrando verso servizi nel cloud.
Lo strumento è ‘monodirezionale’, nel senso che, qualunque sia il risultato dell’assessment, evidenzia soltanto gli aspetti positivi di una migrazione verso il cloud, e quindi non può essere considerato completamente obiettivo in sede di valutazione; non vengono in nessun modo presentati i problemi derivanti dalla necessità di riqualificare o riconvertire le competenze del proprio personale, dei possibili rischi e dei costi nascosti.

Lo strumento è ‘asimmetrico’, nel senso che, qualunque sia il risultato dell’assessment, evidenzia soltanto gli aspetti positivi di una migrazione verso il cloud, e quindi non può essere considerato completamente obiettivo in sede di valutazione; non vengono presentati in nessun modo i problemi derivanti dalla necessità di riqualificare o riconvertire le competenze del proprio personale, dei possibili rischi e dei costi nascosti.

OneShares: la nuova trovata per raccogliere informazioni riservate giovedì 16 febbraio 2012

Posted by andy in Information Security, tecnologia.
add a comment

Ne hanno inventata un’altra: il servizio OneShare (https://oneshar.es) consente di inviare ‘messaggi che si autodistruggono dopo la prima ed unica consultazione’ .
Qui (https://oneshar.es/about) le indicazioni sulla sicurezza implementata.
Si dimenticano di dire che il messaggio a loro arriva in chiaro, prima che lo criptino (con una loro chiave, e quindi lo possono anche decrittare), e che quindi è in loro potere leggerne il contenuto.
Si dimenticano anche di dire che il browser che legge il messaggio può fare caching, e quindi l’ipotesi dell’autodistruzione del messaggio vale solo lato server.

Insomma, una nuova trovata per raccogliere informazioni dichiaratamente sensibili (altrimenti che senso avrebbe utilizzare il servizio) al popolo sprovveduto della Rete.

La notizia, con un’impostazione un po’ promozionale, la si può trovare sul Fatto Quotidiano.

Come al solito, il marketing promuove come oro un’idea, ma si dimentica di raccontare come stanno in realtà le cose.

E certamente nessuno viene a raccontare quale sia il reale scopo del nuovo business …

L’evoluzione dei motori di ricerca lunedì 6 febbraio 2012

Posted by andy in Internet e società, tecnologia.
Tags: , , , ,
add a comment

Oggi nasce un nuovo motore di ricerca: Volunia, dopo una ragionevole gestazione.

Parto di una mente italiana (la medesima che ha ideato il cuore di Google), il suo obiettivo è quello di stare al passo con i tempi.

E questo mi ha portato a riguardare indietro, ai primi grandi motori di ricerca su Internet, ad Altavista

E ripercorrendo con il pensiero questi ultimi anni ho razionalizzato quella che è la sostanza dell’evoluzione della tecnologia alla base dei motori di ricerca:

  • i primi motori di ricerca erano content-based: il loro scopo era quello di indicizzare i contenuti e di fornire dei rimandi a tutte le pagine che contenevano le parole chiave ricercate;
  • con il tempo si è puntato anche a migliorare la qualità della comprensione, da parte del motore, delle parole chiave, puntando anche a comprendere (per quanto possibile) anche interrogazioni in linguaggio naturale;
  • ulteriore passo: si è dato valore alle relazioni ed ai link (in sostanza, quanto i contenuti risultavano ‘gettonati’), ed i motori hanno iniziato a fare del ‘ranking‘ evoluto, e quindi non solo a dire quali pagine contengono più parole chiave, ma quali sono le pagine di qualità superiore, ovverosia quelle più visitate e quindi ritenute più autorevoli;
  • a corredo, oltre che all’indicizzazione dei contenuti, si è iniziato ad indicizzare anche le immagini ed i contenuti multimediali, offrendo anche meccanismi di base per effettuare ricerche non solo per parole chiave ma anche per analogia;
  • siamo al terzo step: il motore di ricerca diventa ‘social’, proprio come il nuovo Volunia; il web diventa social? Ed il motore di ricerca diventa user-centrico;

…e lungo tutto questo percorso si è sempre parlato del web semantico, cercando anche di farsi aiutare da una migliore strutturazione del linguaggio HTML, passato attraverso varie versioni, ed infine attraverso XML; un’utopia? Certamente no, ma prematura rispetto alle attuali potenzialità della Rete (per quanto incredibili esse già siano).

E come sarà la prossima generazione di motori di ricerca?

Nella mia visione, la prossima generazione di motori di ricerca si baserà su paradigmi distribuite, basati su tecnologie P2P.

Non sto inventando l’acqua calda, o almeno non oggi: ho iniziato a formarmi questa idea già anni fa, e forse se ne trova traccia in qualche mio vecchio post.

La cosa interessante è che tecnologie di questo tipo sono già in fase di sviluppo, ed alcune sono anche già state rilasciate.

Ma perché il futuro dei motori di ricerca dovrebbe essere basato su tecnologie di questo genere?

Ritengo principalmente per due motivi:

  1. i netizen iniziano a rendersi conto di quante informazioni su di se circolano in Rete senza il proprio controllo, e diventano sempre più attendi alla propria privacy;
  2. la quantità di informazione presente in Rete cresce ad una velocità vertiginosa, con la conseguente necessità di far crescere di pari passo la ‘dimensione’ dei motori di ricerca, con le relative implicazioni di infrastruttura, costi, consumi, impatto ambientale, rischi …

Tutto sommato un sistema di indicizzazione e di ricerca distribuito (ed in qualche modo localizzato con i dati da indicizzare) avrebbe il vantaggio di ridurre la quantità di informazione duplicata, distribuendo e delegando costi ed infrastrutture ai proprietari dei dati, e di lasciare al proprietario degli stessi (e dei relativi indici) il controllo sugli stessi.

QR Codes e cartamoneta giovedì 22 dicembre 2011

Posted by andy in tecnologia.
Tags: , , , , , , ,
add a comment

La fantasia nel trovare applicazioni sempre nuove, più interessanti ed utili per la tecnologia che di giorno in giorno ci viene messa a disposizione non ha limiti.

Proviamo ad immaginare l’applicazione dei QR Codes alla carta moneta.

Di fatto, si tratta soltanto di scrivere il numero di serie anche in una forma diversa, meglio intelleggibile ai dispositivi elettronici.

Ma il QR Code sarebbe così quasi sprecato: può contenere molta più informazione, e quindi perché non inserire anche l’importo della banconota ed il tipo di valuta, la data, il paese e la zecca di emissione?

Con tale informazione riportata sulla banconota cosa potremmo fare?

Ad esempio potremmo tracciare la circolazione della moneta, se ogni esercizio commerciale si dotasse di un lettore (di fatto, ad oggi quasi tutti sono già dotati di ‘lettori’ per verificare l’autenticità della banconota.

Tutto sommato si preserverebbe l’anonimato degli utilizzatori (in nessun modo verrebbe associata esplicitamente al QRcode della banconota un’informazione identificativa di chi la spende o la riceve; sarebbe tuttavia molto più facile tracciare il movimento della banconota nel tempo ed incrociare questo con altre informazioni, come la contemporanea presenza di telefoni cellulari.

Utilizzando uno smartphone si potrebbe in ogni momento avere il controvalore nella propria valuta (funzione molto utile per i turisti, che spesso hanno difficoltà a rapportare il valore del denaro straniero rispetto al proprio).

Sarebbe anche più facile identificare banconote contraffatte, se la lettura del codice viene segnalata in tempo reale ad un sistema centralizzato: la stessa banconota non può essere spesa contemporaneamente in due o più posti.

Per assicurare l’autenticità della banconota si potrebbe utilizzare un hash del codice con un numero casuale inserito in filigrana, generato con un certificato della zecca emittente: per contraffare le banconote occorrerebbe inserire in filigrana un codice diverso per ogni banconota, cosa che aumenterebbe a tal punto il costo di produzione da rendere meno appetibile la falsificazione del denaro.

Idea per un motore di ricerca Etico giovedì 25 agosto 2011

Posted by andy in Etica, Information Security, Internet e società, tecnologia.
Tags: , , , ,
1 comment so far

Leggo oggi una (nuova) notizia sul tracciamento pervasivo che i motori di ricerca fanno della nostra navigazione in Rete (Lo scandalo “supercookies”
Utenti pedinati senza saperlo
).

Microsoft ha appena fatto ‘marcia indietro’, ma il problema è stato solo rimandato: saranno già alla ricerca di nuovi modi per fare la medesima cosa.

Dovrei scandalizzarmi? Assolutamente no: l’intero business dei motori di ricerca si basa proprio sulla raccolta sempre più precisa di informazioni sul profilo degli utenti da rivendere (come minimo) per scopi di advertising (non voglio addentrarmi sugli interessi che esistono per tali informazioni da parte di enti governativi e non).

Il problema è certamente sentito dai cittadini della Rete, che sono alla ricerca di motori di ricerca non traccianti (provate a fare una ricerca di ‘non tracking search engine‘ per farvi un’idea …); qui trovate una ‘Top 5’ di motori di ricerca anonimi.

Ma se leggete bene i commenti in Rete, i netizen non si fidano, ed a ragione: di fatto, cosa cambia utilizzando un motore di ricerca diverso da quelli tradizionali? Semplicemente che i propri dati finiscono in mano ad altri (ed in ogni caso sarebbe interessante scoprire chi realmente c’è dietro ad ogni motore di ricerca).

Faccio un paio di semplici considerazioni:

  1. i motori di ricerca costano, e tanto: lo storage, la banda per la connettività, la corrente, la manutenzione dei data center e lo sviluppo e la manutenzione del software hanno un costo (per non parlare del supporto da fornire agli enti governativi per l’estrazione di dati e per la rimozione di contenuti vietati);
  2. visto che i comuni motori ricerca non chiedono soldi, chi è così disinteressato da investire centinaia di milioni o addirittura miliardi senza una prospettiva di rientro (e possibilmente di utile)?

NOTA: ci tengo a fare una precisazione prima che intervenga qualche ‘misunderstanding’ (o cielo! … sto diventando anglofono? Avrei anche potuto utilizzare il termine ”incomprensione’ …!): il fatto che un motore di ricerca sia ‘anonimo’ non significa che non raccolga ed analizzi dati; l’importante è capire quali dati possono essere raccolti e quali no; sostanzialmente non devono essere raccolti dati che consentano la profilazione del singolo utente; un metro che utilizzi qualsiasi dato che consenta di capire quali siano le ricerche più ‘gettonate’ e da quale paese vengano, le fasce orarie di utilizzo, etc. può essere utilizzato senza mettere a rischio la privacy delle persone.

Ciò detto, proviamo a chiederci quali siano i requisiti minimi che un motore di ricerca deve soddisfare per poter realmente non aver bisogno di profilare gli utenti per sostentarsi:

  1. deve essere finanziariamente autonomo;
  2. deve poter dimostrare che nel proprio codice non sono implementate regole di profilazione.

Vediamo ora come sia possibile pensare di soddisfare tali requisiti:

  1. autonomia finanziaria:
    1. un contributo (simbolico) di 1 Euro all’anno, per 1 miliardo di utenti, sono 1 miliardo di Euro, che consentono il sostentamento di una struttura più che ragguardevole .. (questo implica ovviamente che gli utenti devono essere registrati);
    2. riduzione o eliminazione del contributo per coloro che non si vogliono registrare, per i quali verrà effettuata una limitata e ragionevole, e soprattutto dichiarata, profilazione; i dati così raccolti potranno essere utilizzati per finanziarsi anche con entrate per pubblicità mirata;
    3. entrate derivanti dalla rivendita di analisi dei dati raccolti (per scopi di studio o commerciali);
    4. eventuale licensing del codice del motore di ricerca, per la realizzazione di motori proprietari;
    5. probabilmente si
  2. trasparenza per dimostrare che non viene effettuata la profilazione degli utenti:
    1. apertura del codice (Open Source – che non significa necessariamente ‘gratuito e liberamente copiabile’);
    2. verifiche indipendenti di  parte terza sul rispetto della policy sulla privacy (forse potrebbe starci anche una certificazione ISO27001 …)

L’Internet Kill Switch sta diventando un problema sempre più serio … Domani toccherà anche an noi? lunedì 21 febbraio 2011

Posted by andy in Information Security, Internet e società, tecnologia.
Tags: , , , ,
add a comment

Riprendo il tema di una discussione avviata altrove sul fatto che una democrazia reale non può basarsi su infrastrutture che possano divenire dei SPOF (Single Point Of Failure) – in sostanza, su infrastrutture che consentano a pochi di controllare la disattivazione (completa o selettiva) delle comunicazioni.

Questo include la Rete, le compagnie di telecomunicazioni, ma anche siti sociali quali FaceBook e Twitter.

I casi di oscuramento di Internet e delle telecomunicazioni si stanno facendo sempre più frequenti; poco tempo fa in Egitto; ora anche la Libia.
In passato la Cina, Cecenia, Lituania. …
Senza contare leggi italiane e non per mettere sotto controllo chi pubblica ed i contenuti, ai fini della censura.
E gli americani si stanno preoccupando di inserire un Internet Kill Switch in tutte le infrastrutture critiche di comunicazione (ISP, carrier, etc.)

Da sempre chi controlla il potere o vuole fare un colpo di stato mette tra gli obiettivi primari le telecomunicazioni.

La legge non difenderà certo la libertà delle persone.
Occorre che se ne (pre)occupino le persone stesse.

Stanno maturando i tempi per pensare a qualche soluzione.

A parer mio, ogni possibile soluzione deve avere, come minimo, le seguenti caratteristiche:
– non appoggiarsi su infrastrutture verticali che possono concretizzare dei SPOF (carrier, telecom, …)
– essere distribuite, e quindi non attaccabili se non con uno sforzo / costo immane;
– consentire l’anonimato (questo forse è un corollario, ma con IPv6 imminente, ove anche i frigoriferi avranno un proprio indirizzo pubblico …)

Intel, l'”Anti-Theft 3.0″ e warfare mercoledì 22 dicembre 2010

Posted by andy in Information Security, Internet e società, tecnologia.
Tags: , , , ,
add a comment

Già nel 2009 circolavano informazioni su questa ‘capacità di suicidarsi’ in fase di implementazione nei processori della Intel.

La cosa si sta riproponendo, con una più ampia audience, suscitando timori e paure nei più, che si preoccupano, più o meno giustamente, del controllo e del potere che un ente terzo si riserva sui prodotti che noi acquistiamo.

Un problema analogo si era posto con i chip di DRM.

Ma mentre le ragioni per i chip per il DRM sono ovvie (le major vogliono proteggere i propri investimenti ed i propri incassi), quelle per la feature Anti-Theft sono meno evidenti.

È vero che può essere utilizzata in caso di furto del nostro laptop, o anche di un server, ma il numero di casi in cui questo accade, ed in cui il valore dei dati trafugati è veramente significativo, è assolutamente ridicolo e tale da non giustificare gli investimenti per l’implementazione della funzionalità in hardware e per la modifica dei sistemi operativi che intendono supportare la funzionalità.

Forse la ragione è un’altra (a pensar male si fa peccato, ma in genere non si sbaglia), e qui entriamo nel tema del warfare:

tenendo conto che i processori Intel sono in buona parte dei computer venduti in tutto il pianeta (inclusi il Medio Oriente, la Cina, la Corea, …) se il governo degli Stati Uniti si tiene in mano la ‘chiave per l’autodistruzione’ di tutti questi computer, tiene per i ‘gingilli’ i sistemi informativi di tutti questi stati (oltre che quelli di tutti gli altri stati del pianeta, naturalmente, ma questi possono fare finta di niente, pensando di stare dalla parte dei ‘buoni’).

Infatti praticamente tutti i sistemi informativi che sono composti di PC, laptop, server, e non si sa da quanti apparati di rete basati su tali microprocessori.

Intel e l’acqua calda giovedì 2 dicembre 2010

Posted by andy in tecnologia.
Tags: , ,
add a comment

Intel ha integrato 32 core XEON nei many-core Knights Ferry.

L’obiettivo è tuttavia quello di raggiungere anche il migliaio di core in un unico chip; per farlo vuole rinunciare alla coerenza della cache, che di fatto si traduce in un collo di bottiglia quando il numero di core cresce sopra qualche unità.

Di fatto, vuole realizzare una rete di microprocessori.

Sembra che Intel abbia inventato l’acqua calda: a volersi guardare un po’ indietro, negli anni ’80, esistevano già dei gioielli della INMOS chiamati Transputer.

L’unica differenza è che oggi, a distanza di più di 20 anni, la tecnologia consente ad Intel di integrarne molti su un unico supporto.

 

Cloud computing e Privacy mercoledì 24 novembre 2010

Posted by andy in Information Security, Internet e società, tecnologia.
Tags: , , ,
add a comment

La tecnologia ed il mondo del business nel suo complesso si stanno muovendo verso il Cloud Computing.

Bello è bello, comodo è comodo, ma …

L’art. 37 del Codice della Privacy (D.Lgs. 196/2003) prevede che il trasferimento, anche temporaneo, di dati personali all’estero debba essere notificato al Garante, che iscrive il trattamento in un apposito registro.

L’art. 43 indica i casi di esclusione ma, in generale, questi non si applicano all’ordinaria gestione dei trattamenti aziendali.

In pratica, fornitori di servizi in modalità Cloud (ad esempio, Google Docs, ma anche tutte quelle suite di office automation disponibili on-line) non forniscono garanzie sull’ubicazione del trattamento e della conservazione dei dati che conferiamo nell’utilizzo dei servizi offerti.

Chi dovesse pensare di gestire in questo modo i propri dati del personale, la fatturazione, etc. dovrebbe verificare per tempo la conformità delle condizioni rispetto agli obblighi di legge, ricordandosi che le responsabilità sono personali e penali.