Associazione Nazionale per la Difesa della Privacy

Intervista al presidente ANDIP su "La Discussione"

2012-01-27T08:21:00.000-08:00

Oggi è stata pubblicata sul giornale “La discussione” un' intervista al presidente dell'ANDIP dott. Michele Iaselli dove viene riassunto il punto della situazione in materia di privacy in Italia ed in Europa sottolineando problemi e carenze applicative.

In arrivo la nuova figura del data protection officer

2012-01-25T23:55:00.000-08:00

L’Unione Europea ha varato e presentato di recente due importanti provvedimenti in materia di protezione dei dati personali.

Il primo provvedimento è una direttiva, e riguarda la protezione dei dati dei cittadini per provvedimenti giudiziari, misure di sicurezza e polizia, in particolare prevede obblighi di comunicazione del trattamento dei dati a tutela di chi è stato oggetto di attenzioni da parte delle autorità.

Il secondo provvedimento è un regolamento e riguarda tutti gli altri casi, in particolare Internet.

Si tratta di una semplificazione, resasi ormai necessaria a seguito di tanti provvedimenti e tante novità sul fronte tecnologico, che renderà uniforme la normativa di tutti i paesi europei e dovrebbe comportare risparmi di oltre due miliardi di euro l'anno.

Le novità principali di questo regolamento sono: 1) non toccherà più al cittadino dimostrare illiceità dell'uso dei propri dati ma al titolare dei dati dimostrare la liceità; 2) il consenso all'utilizzo dei propri dati dovrà essere esplicito; 3) l'eventuale perdita dei dati per un attacco informatico dovrà essere comunicato subito; 4) la pubblica amministrazione e le imprese con più di 50 dipendenti dovranno dotarsi di un "data protection officer"; 5) se viene fatto un uso illecito dei dati di qualcuno, il responsabile ne risponderà comunque; 6) ogni nuovo strumento tecnologico ma anche semplice applicazione dovrà valutare l'impatto che il suo utilizzo avrà sulla privacy (Pia, privacy impact assessment); 7) dovrà essere possibile avere la "data portability": ovvero così come possiamo portarci dietro il numero di telefono cambiando gestore, dobbiamo poterci portare gli amici di Facebook su un altro social network.

Salta subito all’occhio, quindi, la previsione di una nuova figura soggettiva nel mondo della protezione dei dati personali e cioè il “data protection officer” che ricalca grosso modo quanto già fatto da molte banche europee che particolarmente sensibili alla problematica hanno creato dei veri e propri “uffici privacy”. Nasce così una nuova professione che non può essere improvvisata, ma richiede doti di competenza ed esperienza notevoli. Sappiamo bene che molti enti pubblici ed anche importanti aziende non dedicano molta attenzione alla protezione dei dati personali e questa criticità ovviamente è ben nota al legislatore europeo il quale, per risolvere il problema, ha deciso di istituire una figura specifica obbligatoria che dovrà essere immediatamente recepita dagli stati membri.

Sarà interessante vedere come l’Italia concilierà questa nuova normativa sicuramente più attenta e garantista con l’attuale orientamento di demolizione degli adempimenti privacy che ha contraddistinto gli ultimi governi compreso quello attuale e che prevede anche la prossima eliminazione del DPS.

Security Conference IDC a Milano e a Roma

2012-01-18T09:46:00.000-08:00

IDC Italia raddoppia il consueto appuntamento con la Security Conference con due tappe: Milano il 15 febbraio e Roma il 22 febbraio.

Nell’era del cloud, della digitalizzazione e della mobility, la sicurezza si conferma come un aspetto critico dell’evoluzione tecnologica. Gli attacchi informatici stanno raggiungendo livelli di sofisticazione molto elevati e non ci sono sistemi che possano essere totalmente isolati in caso di guerra informatica su ampia scala. L’ambito di maggiore attenzione ricade sulle infrastrutture civili critiche: reti elettriche, collegamenti telefonici, centrali, impianti, il cui malfunzionamento può avere un impatto devastante sulle economie nazionali.

Per questi motivi gli analisti IDC prevedono una crescita sostenuta degli investimenti in prodotti hardware e software di sicurezza, destinati a trascinare al rialzo anche la spesa per la componente Servizi IT Security. Secondo IDC, in EMEA quest'ultima voce passerà dagli 8,6 miliardi di dollari del 2010 a 14,9 miliardi di dollari del 2015.

Rinnovato nel formato e nei contenuti, l'evento di quest'anno risponde a quesiti chiave:

- ICT Security nell’era del mobile, del cloud e del social: quali sono gli aspetti di sicurezza dai quali non è possibile prescindere?

- Come i CIO e i CSO riscrivono l'agenda e l'approccio alla Sicurezza IT?

- Come colmare il gap tra standard di sicurezza dettati dalla compliance e esigenze reali di sicurezza?

Tra i Keynote Speaker della conferenza ci saranno a Milano Salvatore Poloni, Responsabile della Direzione Organizzazione e Sicurezza di Intesa Sanpaolo ed a Roma Domenico Vulpiani, Dirigente Generale della Polizia di Stato e Consigliere del Ministero dell’Interno per la sicurezza informatica

Milano: 15 febbraio - Hotel Melià in via Masaccio 19.

Inizio registrazione: 8.30.

Roma: 22 febbraio - Parco dei Principi Grand Hotel & Spa in via G. Frescobaldi 5.

Inizio registrazione: 9.00.

Entrambi gli eventi hanno il patrocinio dell'ANDIP.

Per maggiori informazioni: http://www.idcitalia.com/events/security12

Garante: Stop a sistemi di videosorveglianza illegittimi

2011-12-27T06:08:00.000-08:00

Stop ai sistemi di videosorveglianza che controllano i lavoratori in assenza delle garanzie di legge. Il Garante privacy ha "spento" le telecamere ad una amministrazione pubblica, ad una società che opera nel settore dell'Ict, ad una casa di riposo e ad un centro di riabilitazione in convenzione con il servizio sanitario. Gli occhi elettronici erano stati installati in violazione dello Statuto dei lavoratori, che vieta il controllo a distanza dei dipendenti, e della normativa in materia di protezione dei dati personali. Il Garante, intervenuto a seguito di alcune segnalazioni, ha dichiarato illecito il trattamento di dati effettuato e di conseguenza inutilizzabili le immagini riprese in violazione di legge. Per quanto riguarda in particolare la casa di risposo, l'Autorità ha vietato definitivamente l'uso delle telecamere installate nell'area dove sono collocati i cartellini di presenza dei dipendenti e gli orologi marcatempo. Negli altri tre casi il divieto è scattato per l'uso delle telecamere collocate presso gli accessi ai luoghi di lavoro o in altre aree interne, in corrispondenza degli ascensori e dei corridoi, in attesa dell'eventuale attuazione delle procedure previste dallo Statuto dei lavoratori (accordo con le rappresentanze sindacali aziendali, o autorizzazione della Direzione provinciale del Lavoro). Nel motivare i divieti il Garante, ha ribadito che il controllo a distanza dell'attività lavorativa si configura anche nel caso in cui la sorveglianza non sia a carattere continuativo o le telecamere siano segnalate da cartelli: per essere in regola nell'installazione di telecamere occorre comunque e sempre rispettare le procedure stabilite dallo Statuto a tutela dei lavoratori.

L'Autorità ha prescritto, infine, alla casa di riposo di designare incaricati del trattamento i dipendenti autorizzati a visionare le immagini riprese dagli impianti e di integrare gli avvisi che segnalano la presenza delle telecamere con tutte le informazioni previste dalla normativa, rendendoli visibili anche di notte.

Novità sul versante telemarketing: qualcosa si muove ma non basta

2011-12-17T08:33:00.000-08:00

Di recente, l’Autorità Garante per la protezione dei dati personali ha reso disponibile un modello che consente di segnalare alla stessa Autorità la ricezione di telefonate per finalità di vendita diretta o compimento di ricerche di mercato o di comunicazione commerciale o a carattere promozionale e pubblicitario da parte di imprese/società a cui non sia stato conferito uno specifico consenso al trattamento dei propri dati personali per le medesime finalità.

Quindi, qualcosa si sta muovendo a seguito delle numerose contestazioni che l’ANDIP ha sollevato contro il funzionamento non proprio ineccepibile del registro delle opposizioni. In effetti ancora oggi risultano iscritti solo ca. 350 call center a fronte degli oltre 2000 operanti in Italia e sono sempre molto numerose le telefonate che disturbano cittadini regolarmente iscritti al registro.

Inoltre nel prescritto modello è previsto uno spazio specifico per indicare nome e numero di telefono dei call center incriminati. Purtroppo non si tiene conto del fatto che, ancora oggi, molti call center sono anonimi e quindi per niente rintracciabili.

Come se non bastasse ultimamente stanno aumentando sempre di più anche le cd. telefonate pubblicitarie “mute” che in realtà non sono altro che malfunzionamenti di sistemi automatici di chiamata. Purtroppo molti abbonati hanno segnalato la ricezione ripetuta e continua, a volte anche per 10-15 volte di seguito, di chiamate senza alcuna risposta.

Il Garante è intervenuto, di recente, in materia contro una società energetica prescrivendo una serie di misure per evitare di insidiare la tranquillità di utenti e consumatori. E' necessario infatti che chi si dota di sistemi di chiamata di questo tipo utilizzi accorgimenti che impediscano la reiterazione di una telefonata "muta" ed escludano la possibilità di chiamare quel numero per almeno trenta giorni.

In caso di mancato adempimento alle misure prescritte la società rischia una sanzione amministrativa che va da 30mila a 120mila euro.

Modifiche Privacy nel Decreto “Salva Italia”: non cambia nulla per imprese ed enti, anzi…

2011-12-17T07:55:00.000-08:00

Niente più privacy nella PA e nelle imprese! Non si applica più il Codice privacy e tutto si semplifica! Attentato privacy per enti pubblici e società! Si è letto di tutto in questi ultimi giorni in merito alle innovazioni contenute nel decreto “Salva Italia”e molti commentatori, salvo rare eccezioni, pur di divulgare per primi l’ultima novità, hanno inseguito i titoloni dei giornali, senza fermarsi a meditare sulla reale portata di questa riforma oggi in vigore.

Ebbene sì, è giusto dirlo subito: non cambia nulla, ma proprio nulla per imprese e PA in termini di adempimenti privacy, anzi, con quest’ultima riforma si blocca anche qualche pericolosa, precedente tendenza verso la selvaggia semplificazione. Molti hanno divagato spensieratamente sulla nuova definizione di dato personale, senza rendersi conto nella maggior parte dei casi che la nozione di titolare del trattamento dei dati personali non è cambiata e per i titolari imprese e PA non è, quindi, cambiato nulla!

Ma andiamo con ordine e proviamo a fare un minimo di necessaria chiarezza.

Il c.d. Decreto “salva Italia” previsto dalla manovra Monti (Decreto Legge 6/12/2011 n. 201, in G.U. 6/12/2011 n. 284, Disposizioni urgenti per la crescita, l’equità e il consolidamento dei conti pubblici) ha introdotto alcune modifiche sostanziali al Codice Privacy.

A un primo sguardo sembrerebbe trattarsi di un semplice allineamento della normativa italiana a quella europea, che già vede al centro della tutela della riservatezza l’interessato inteso solo nella sua accezione di “persona fisica”, attribuendo a quest’ultimo il diritto a un corretto trattamento dei dati personali che lo riguardano da parte di terzi (siano essi persone fisiche, giuridiche, enti o associazioni).

In realtà, le implicazioni sono di maggiore portata e degne di un commento un po’ più approfondito. Ma proviamo a capire di cosa si tratta esaminando il testo della riforma.

L’art. 40 del Decreto, infatti, prescrive:

“Per la riduzione degli oneri in materia di privacy sono apportate le seguenti modifiche al decreto legislativo 30 giugno 2003, n. 196:

a) all’articolo 4, comma 1, alla lettera b), le parole “persona giuridica, ente o associazione” sono soppresse e le parole “identificati o identificabili” sono sostituite dalle parole “identificata o identificabile”.

b) All’articolo 4, comma 1, alla lettera i), le parole “la persona giuridica, l’ente o l’associazione” sono soppresse.

c) Il comma 3-bis dell’articolo 5 è abrogato.

d) Al comma 4, dell’articolo 9, l’ultimo periodo è soppresso.

e) La lettera h) del comma i dell’articolo 43 è soppressa”.

Da quanto sopra si evince che è considerato dato personale “qualunque informazione relativa alla persona fisica” e, quindi, non più i dati relativi a società, enti o associazioni. Stessa cosa dicasi per la definizione di interessato, identificato oramai solo con la persona fisica a cui si riferiscono i dati personali.

A ben vedere - e come già in precedenza anticipato - da queste prime modifiche emerge un dato non trascurabile: tra le definizioni che sono state modificate resta immutato il concetto di titolare del trattamento. Infatti, il titolare è sempre la “persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo a cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”. La conseguenza immediata pertanto è che, nonostante l’intervenuta modifica, le imprese e gli enti dovranno continuare ad adottare tutte le prescrizioni e gli adempimenti previsti dal d.lgs. 196/2003, compreso il DPS e le prescrizioni contenute nei vari provvedimenti dell’Autorità Garante, emanati per regolamentare specifici casi (tali soggetti, infatti, continueranno inevitabilmente a trattare dati personali di persone fisiche o soggetti terzi come dipendenti, clienti, fornitori, cittadini, pazienti, per i quali la normativa in materia di privacy dispone una tutela completa).

Ma c’è di più: è stato abrogato, infatti, il comma 3-bis dell’art. 5 del Codice Privacy (introdotto dal recente “Decreto Sviluppo”, D.L. n. 70/2011) che prevedeva addirittura l’esclusione dall’applicazione del Codice Privacy qualora il trattamento dei dati personali fosse effettuato da persone giuridiche, imprese, enti o associazioni nell’ambito di rapporti intercorrenti tra i medesimi soggetti esclusivamente per finalità amministrativo-contabili.

Altro che semplificazione! L’unico articolo che poteva davvero semplificare, infatti, è stato abrogato dal legislatore, quasi a voler ribadire con forza che la privacy e tutti i suoi adempimenti si continueranno ad applicare per tutti i titolari del trattamento (siano essi persone fisiche, giuridiche, enti o associazioni).

La privacy - ci sembra giusto ricordarlo - non deve, infatti, essere intesa solamente come riservatezza o diritto a non veder trattati i propri dati, ma come adozione di una serie di cautele tecniche, organizzative e di sicurezza che tutti (imprese ed enti compresi) devono rispettare per procedere in maniera corretta al trattamento dei dati personali e delle informazioni in genere (e, quindi, anche di titolarità di terze persone fisiche, giuridiche o enti).

D’altronde proprio in questo periodo, con una Circolare del 3 agosto 2011, l’Agenzia delle Entrate ha avviato una serie di controlli e verifiche nei confronti degli intermediari Entratel (commercialisti e soggetti intermediari), dettando altresì una serie di regole e di misure (fisiche e organizzative) per tutelare la riservatezza degli interessati (clienti, dipendenti, fornitori di beni e servizi).

Per altro verso anche l’appena riformato Codice dell’Amministrazione Digitale ha introdotto notevoli misure di sicurezza tecnologiche e organizzative (si pensi all’art. 50-bis sulla “continuità operativa” o ai rinvii alle varie norme del Codice Privacy agli artt. 44 e 44 comma 1-bis o 51, che richiamano espressamente i principi di sicurezza e gli adempimenti in materia privacy di cui al d.lgs. 196/2003) che non avrebbero più senso se intendessimo l’attuale riforma del Codice Privacy come un semplice alleggerimento degli adempimenti per le persone giuridiche e gli enti.

Pertanto, se anche la finalità dichiarata poteva forse essere quella della riduzione degli adempimenti burocratici (e noi abbiamo comunque dubbi in proposito), il risultato ottenuto va nella direzione opposta: infatti, se il riferimento a persone giuridiche ed enti rimane nella definizione di “titolare” e “abbonato” (continuando, ad esempio, questi ultimi a essere tutelati e protetti in tema di telemarketing), di semplificazione non c’è traccia.

L’unico risultato oggettivo, piuttosto, è che imprese ed enti non avranno più la possibilità di esercitare i diritti di cui all’art. 7 del d.lgs. 196/2003 e di far valere tali diritti in un eventuale contenzioso giudiziario (es. richieste di risarcimento danni) o dinanzi all’Autorità Garante, in quanto non possono più essere considerati “interessati al trattamento”. Imprese, enti o associazioni potranno solo essere chiamati in causa quali semplici convenuti, in qualità di titolari o responsabili del trattamento, senza poter essere soggetti attivi e poter tutelare le proprie ragioni.

In conclusione, sicuramente imprese ed enti saranno meno tutelati (in quanto persone giuridiche) dalla normativa in materia di privacy, ma dal punto di vista organizzativo e delle misure di sicurezza non cambia assolutamente nulla ed essi dovranno comunque preoccuparsi di adottare e rispettare i consueti adempimenti in tema di misure minime, necessarie e idonee.

Quale impresa o pubblica amministrazione, infatti, può affermare di non trattare dati di “persone fisiche”? Oppure potrà, forse, un’impresa o un ente che si avvale di servizi di conservazione digitale o di cloud computing prescindere dal regolamentare col suo fornitore di servizi il rispetto delle condizioni di sicurezza e privacy solo perché si tratta di un rapporto tra persone giuridiche? Evidentemente no e c’è da scommettere invece che il Garante Privacy vigilerà in maniera ancora più rigorosa sul rispetto dei provvedimenti e delle regole a tutela dei dati, delle informazioni e della riservatezza degli interessati.

di Andrea Lisi e Graziano Garrisi (Digital&Law Department – Studio Legale Lisi – www.studiolegalelisi.it)

La posizione dell’ANDIP sulle conseguenze in materia di privacy del Decreto Monti

2011-12-09T04:04:00.000-08:00

Il Presidente dell’ANDIP dott. Michele Iaselli ha dichiarato che la manovra economica del Governo Monti ha prodotto importanti effetti anche in materia di privacy, in particolare secondo il dott. Iaselli il decreto legge all’art. 40, comma 2, ha contribuito a svuotare ancora di più le prescrizioni dell’attuale Codice in materia di protezione dei dati personali.

Difatti, a seguito del recente intervento normativo, il Codice per la protezione dei dati personali non tutela più i dati personali delle persone giuridiche che quindi vengono escluse dal novero degli “interessati”.

In questo modo, dichiara sempre il dott. Iaselli, si completa quell’operazione restrittiva che già era iniziata con il decreto di sviluppo del 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106, dove era stato escluso dall’applicazione del Codice il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo – contabili.

In effetti in molti paesi europei, già da tempo, il dato personale degno di tutela è sempre stato inteso quello delle persone fisiche e se vogliamo la preoccupazione maggiore anche in Italia, di tutte le grosse realtà organizzative è sempre stata quella di tutelare i dati delle persone fisiche.

Secondo il dott. Iaselli preoccupano però le modalità e le finalità di tale nuovo provvedimento.

Innanzitutto le persone giuridiche non sono state escluse del tutto dalle tutele previste dal Codice, difatti il telemarketing su elenchi continua ad essere tutelato, nel senso che la lettera f) dell'art. 4 comma 2 del Codice privacy, che definisce il concetto di "abbonato", è l'unica parte a non essere modificata e la persona giuridica continua a rientrarvi. Di conseguenza anche il regime di opposizione e di iscrizione nel registro continuerà ad applicarsi alle persone giuridiche (art. 129 e 130 comma 3-bis).

Si tratta di un semplice errore o è il frutto di uno specifico ragionamento?

Ma c’è da fare anche un’ulteriore riflessione: se lo scopo di questa disposizione è quello di ridurre gli oneri per le imprese credo che la portata di questa norma sia piuttosto imitata poiché allo stato attuale rimane (e non potrebbe essere altrimenti) l’obbligo per le imprese di rispettare tutte le misure di sicurezza previste dal Codice e di adottare tutti gli accorgimenti ed adempimenti previsti dalla normativa a tutela delle persone fisiche ed onestamente non si tratta di poco.

Quello che realmente preoccupa, continua il Presidente dell’Andip, è che in tale ottica si stia cercando di portare avanti un lenta ed inesorabile operazione di scardinamento delle norme sulla privacy nel nostro paese che potrebbe portare ad altre importanti novità (come l’eliminazione del Documento programmatico sulla Sicurezza ed altro) che metterebbero seriamente in pericolo l’effettiva vigenza del Codice per la protezione dei dati personali.

Per questi motivi, conclude il dott. Iaselli, si attende un’energica presa di posizione del nostro Garante che dovrebbe almeno tentare di porre dei paletti precisi a simili iniziative.

2° Round per ISH – Information Security Hospital

2011-11-19T00:26:00.000-08:00

Si terrà a Roma, il prossimo 30 novembre all’ATA Hotel di Villa Pamphili, la seconda edizione di ISH - Information Security Hospital, la mostra convegno che approfondisce il tema delle soluzioni ICT impiegate nella sicurezza del trattamento dei dati sanitari.

Dopo il successo della precedente edizione, anche quest’anno Edisef propone una mostra convegno interamente consacrata all’applicazione delle tecnologie informatiche in campo sanitario ed ospedaliero. La progressiva diffusione delle pratiche IT rientra indubbiamente nel corso naturale di una sperimentazione continua, tesa al miglioramento del modello sanitario. Questa trasformazione punta ad introdurre una omogeneizzazione progressiva delle strutture, per portarle a fare un salto di qualità sostanziale dal punto di vista organizzativo ed economico.

Tale momento di approfondimento assume un’importanza particolare, se lo si considera alla luce delle criticità etiche e giuridiche proprie del particolare contesto. Infatti, un maggiore impiego di tecnologie comporta inevitabilmente dei rischi rispetto ai flussi di informazioni immateriali sensibili, alla loro consultazione ed eventuale manomissione.

Articolato in due sessioni plenarie giornaliere, l’Information Security Hospital sarà condotto da un Comitato Consultivo che vedrà riuniti i principali opinion leader del settore, i quali favoriranno la discussione tra i più importanti player del mercato e gli operatori sanitari. Il focus del convegno sarà costituito dalle nuove tecnologie, dall’informatica e dall’innovazione nel mondo sanitario italiano.

Anche quest’anno l’Andip è tra i patrocinatori dell’evento.

Per maggiori informazioni www.edisef.it

Virtual Document Storage: professionisti a confronto

2011-11-19T00:24:00.000-08:00

Organizzato per il 29 novembre 2011 presso l’ATA HOTEL Villa Pamphili di Roma, il Virtual Document Storage convoca esponenti di spicco del settore IT per un giornata all’insegna delle strategie da adottare nella transizione dei dati dal mondo analogico a quello digitale.

L’obiettivo della prima edizione del Virtual Document Storage, promossa da Edisef, è mettere in evidenza le modalità più efficaci e adeguate con cui far convergere grandi volumi di dati in un unico e capiente sistema che ne massimizzi l’efficienza, la produttività, l’affidabilità e la sicurezza. Oltre ai vantaggi in termini di semplificazione dei processi e di ottimizzazione degli investimenti, il convegno prenderà in esame le criticità che questo mutamento tecnologico inevitabilmente comporta. Infatti, alla dematerializzazione di grandi entità di dati, si accompagnano rischi gestionali altrettanto importanti in termini di perdite di informazioni. In questo contesto, i temi approfonditi verteranno sulle tecnologie di virtualizzazione, sui dispositivi di storage e cloud computing, e sui meccanismi più efficaci per proteggere l’integrità dei dati.

L’Andip, da sempre interessata a tali tematiche, è tra i patrocinatori dell’evento.

Per maggiori informazioni www.edisef.it

Quinta edizione del DIG.Eat: punto sul programma e ultime novità

2011-10-22T13:13:00.000-07:00

Ormai manca poco: mercoledì 26 e giovedì 27 ottobre si terrà a Roma il DIG. Eat, Forum sulla dematerializzazione documentale organizzato da ANORC (Associazione Nazionale Operatori e Responsabili della Conservazione digitale dei documenti). Il programma dei lavori si è arricchito in queste settimane di nuovi importanti interventi, che hanno reso la manifestazione davvero un appuntamento imperdibile per quanti operano in questo settore. Molte le personalità di livello che interverranno nelle tre tavole rotonde, e tanti i rappresentanti delle istituzioni per quello che si può considerare il primo importante confronto nazionale sulle nuove Regole Tecniche del documento informatico. E a proposito di Regole Tecniche, per l'occasione ANORC presenterà alla platea e agli esperti convenuti il documento in cui ha raccolto i "10 Principi Fondamentali per i sistemi di gestione informatica dei documenti e di conservazione digitale”, 10 capisaldi che, secondo ANORC, non possono mancare in un buon regolamento in materia di conservazione.

ANORC da parte sua ha seguito con attenzione e da vicino tutto l’iter di cui le Regole Tecniche sono il frutto, partecipando attivamente ai tavoli di lavoro convocati da DigitPA composti da esperti e operatori del settore, e avanzando sin dalle prime fasi numerosi suggerimenti, molti dei quali sono stati via via accolti e assorbiti nei progressivi arricchimenti che le bozze di regolamento hanno subìto nel tempo, come le“Osservazioni a cura di ANORC sulle bozze di regolamenti tecnici in corso di approvazione presso DigitPa”, inoltrate all’Ente nazionale lo scorso giugno. Al riguardo il Presidente ANORC, l’avv. Andrea Lisi, ha espresso grande soddisfazione per l’apertura e l’atteggiamento collaborativo che DigitPA ha tenuto durante l’elaborazione del regolamento: “Non possiamo che ritenerci soddisfatti di come DigitPA abbia portato avanti i tavoli di lavoro sulle regole tecniche, garantendo massima partecipazione e confronto e assicurando alla nostra Associazione un intervento attivo durante la stesura delle norme e grande considerazione. Confidiamo in un risultato finale utile per avviare davvero politiche serie e all’avanguardia in materia di digitalizzazione nelle PA e per garantire al mercato del documentale digitale quella svolta che si attende da tempo”.

Ma questa non è l'unica sorpresa che ANORC ha in serbo per questa manifestazione. Infatti, l'Assemblea Nazionale dei Soci, che concluderà i lavori il pomeriggio del 27 ottobre, sarà l'occasione per presentare e convalidare col consenso dell'assemblea la nascita ufficiale del nuovo progetto che ANORC ha in cantiere: ABIRT.

ABIRT (Advisory Board Nazionale dei Responsabili del Trattamento dei dati personali), è una nuova entità che nasce nell'alveo di ANORC col fine di rappresentare, sostenere e tutelare a livello nazionale i responsabili privacy.

Il progetto sin da subito ha riscosso e continua a riscuotere successo e nuove adesioni. Le ultime due particolarmente importanti, considerato che hanno deciso di partecipare al progetto anche i rappresentanti dell’ANDIP (Associazione Nazionale per la Difesa della Privacy) e dell’IIP (Istituto Italiano Privacy), due solide realtà operanti nel settore della privacy per la tutela del diritto di riservatezza dei dati e della dignità della persona. ABIRT si segnala per la assoluta novità della sua mission, che è quella di dare voce non agli interessati al trattamento dei dati personali, (figure ben tutelate dalla normativa e rappresentate dal Garante Privacy), ma a coloro che operano dall’altra parte, i Responsabili del trattamento che, tra non poche difficoltà, devono garantire un’adeguata protezione di tali dati personali, in base alla normativa vigente. Inoltre, secondo il nuovo Codice dell’Amministrazione Digitale, i Responsabili della conservazione dei documenti informatici devono coordinarsi nella loro attività proprio con i Responsabili del trattamento dei dati personali contenuti in tali documenti: da qui l’idea di far convergere ruoli e funzioni all’interno di un’unica struttura associativa.

In proposito, l’Avv. Lisi, Presidente dell’associazione ANORC, esprimendo il suo entusiasmo per questa ulteriore novità, precisa che “la digitalizzazione ormai è entrata nel quotidiano pubblico e privato e, considerata la sua complessità e delicatezza, merita di essere affrontata e gestita in maniera multidisciplinare. Per questo, la nostra associazione ha deciso di intraprendere questa nuova sfida che sono certo porterà la materia della conservazione digitale verso una maggiore attenzione a politiche e procedure di sicurezza informatica e adeguata protezione del dato personale”.

Il termine ultimo per iscriversi all’evento è stato posticipato a lunedì 24 ottobre. Per visionare il programma e scaricare il modulo di iscrizione visitare il sito ANORC al link: http://www.anorc.it/notizia/269_DIG._Eat__V__Forum_Nazionale_sulla_dematerializzazione_dei_documenti__qui_.html

PCT, PEC, FIRMA DIGITALE e nuovi canali di consultazione

2011-10-18T12:34:00.000-07:00

Il 28 Ottobre 2011 dalle ore 15,30 alle ore 19,30 a San Severo presso l'Auditorium del Teatro Comunale G. Verdi è stato organizzato da “SAN SEVERO FORENSE” un seminario formativo su:

"Innovazione Forense e servizi telematici a servizio dell'Avvocatura: PCT, PEC, FIRMA DIGITALE e nuovi canali di consultazione" con il seguente programma:

Presentazione dell'Associazione "San Severo Forense" ed indirizzo di saluto - Avv. Gianpaolo Tancredi - Presidente dell'Associazione

Saluti: avv. Guido de Rossi – Presidente FBE – Federazione degli Ordini Forensi d’Europa, avv. Mario Ciarambino – Presidente Ordine Avvocati Foggia, avv. Giuseppe Agnusdei – Presidente Ordine Avvocati Lucera

Introduzione dei relatori e moderazione degli interventi: Avv. Rosanna Tafanelli – Segretario dell'Associazione

“Il Processo civile alla luce dell'innovazione informatica: nuove frontiere del diritto ed esperienze di PCT presso il Tribunale di Teramo": Avv. Maurizio Reale – Componente della Commissione per l’informatica e il processo telematico del Consiglio Nazionale Forense presso il Ministero della Giustizia.

"Privacy e Sicurezza nelle attività di consultazione telematica": Avv. Michele Iaselli – Vicedirigente del Ministero della Difesa, Docente a contratto di informatica giuridica alla Federico II ed alla LUISS, Presidente dell'Andip (Associazione Nazionale per la Difesa della Privacy).

"PCT, PEC, FIRMA DIGITALE, Consolle dell'Avvocato e nuovi canali di consultazione telematica, P.d.A. ": Graziano Ubertiello – Esperto di Servizi Telematici per l'Avvocatura.

Il convegno gode del patrocinio del Comune di San Severo, della FBE, dell’Ordine Avvocati di Foggia e di quello di Lucera, ordini che hanno concesso n. 4 crediti formativi, avrà la durata di 4 ( quattro ) ore, sarà gratuito per gli Associati di “SAN SEVERO FORENSE”, mentre prevede un contributo di € 20,00 per i partecipanti Avvocati e di € 10,00 per i Praticanti non soci.

A Roma l'undicesima edizione del Forum ICT SECURITY

2011-10-09T01:40:00.000-07:00

Il FORUM ICT SECURITY dedicato al Cloud Computing & Virtualizzation è giunto alla undicesima edizione.

L’evento organizzato da TecnaEditrice avrà luogo in due giornate 8 e 9 novembre 2011 a Roma presso il Centro Congressi Frentani ed offrirà due giornate di taglio pratico e operativo per scoprire soluzioni e strategie con un percorso expo, una sessione plenaria in un’aula in grado di ospitare 500 visitatori e un’aula da 80 posti per i workshop.

Il pubblico sarà composto da: Manager, Direttori Generali, finanziari e d’acquisto, Amministratori Delegati, Responsabili dei sistemi informatici, funzionari della Pubblica Amministrazione, SSP (Storage Service Provider) e Networking System Integrator.

L'ingresso agli eventi è completamente gratuito . Inoltre è previsto l’abbonamento gratuito anno 2012 alle riviste ICT Security e CYBERCRIME. La partecipazione alle sessioni formative consente l’attribuzione di crediti formativi (CPE) ed il rilascio di attestati. Inoltre ci sarà un’estrazione finale con premi offerti dagli sponsor e dagli organizzatori.

Per maggiori informazioni http://www.tecnaeditrice.com/forumict11_presentazione.php

Più privacy per Facebook: basterà?

2011-09-09T11:02:00.000-07:00

Profili di privacy, positività e negatività, relativi alle novità introdotte da Facebook, anche in chiave di tutela dell'utente, per la condivisione dei dati personali e per il "tagging" delle foto e dei commenti.

È noto come la società americana Facebook, titolare del social network sempre più celebre e sempre più diffuso a livello planetario, abbia recentemente introdotto alcune modifiche riguardo alla gestione dei “post” propri e altrui. alla visualizzabilità da parte di terzi dei dati immessi dagli utenti e alla questione del "tagging" delle foto e dei commenti.

Ciò Facebook ha deciso, anche per soddisfare le numerose richieste provenienti dagli utenti, ma anche dalle Autorità Garanti nazionali, per una maggiore trasparenza e correttezza nel trattamento dei dati personali degli interessati.

Le innovazioni riguardano in gran parte la gestione e condivisione con gli altri utenti Facebook di post, tag, foto e altri contenuti, e quindi di dati personali, con le connesse – inevitabilmente - questioni relative alla tutela del diritto alla protezione dei dati personali.

La gestione del profilo Facebook

Il primo cambiamento rilevante concerne il profilo, verso cui Facebook risulta provare ad assicurare che esso non presenti contenuti che l’utente non desideri e che i contenuti via via immessi siano visibili solo a chi si vuole.

Facebook mira a rendere questa gestione dati più semplice e trasparente, mettendo a disposizione degli utenti dei nuovi tool che non li costringono più a passare con diversi click attraverso vari menù, spesso peraltro poco chiari, ma che appaiono direttamente "online", e consentono loro di decidere il da farsi, in maniera più rapida e chiara.

Peraltro, è prevista anche la funzione di "preview" , una sorta di anteprima, per consentire all’utente di verificare esattamente come il suo profilo verrà visualizzato dagli altri prima che la configurazione divenga effettivamente operante.

La questione del “tagging”

Una delle innovazioni più interessanti è quella relativa al tagging delle foto e dei commenti, funzione frequentemente utilizzata dagli utenti di Facebook.

Quest’ultima ebbene al riguardo ora prevede che gli utenti possano approvare il tag operato da terzi, sui contenuti immessi dall’utente o da altri terzi.

Ciò chiaramente in modo preventivo, ossia prima che il post o la foto dell’utente sia visibile a chiunque sul suo profilo.

Prima dell’innovazione in questione l’utente non sapeva né poteva approvare il tag pur riferito a dati che lo riguardavano, quale evidentemente una foto con la sua immagine.

I “post” e la gestione della privacy

Facebook, fra le novità introdotte, consente ora al proprio utente di verificare in modo - che si auspica rapido e chiaro anche nella quotidiana prassi operativa! - chi possa leggere i suoi post quando decide di condividerli con gli altri utenti, già al momento dell’inserimento del post, dividendo – e in qualche modo selezionando - i fruitori del medesimo per liste, gruppi o altro criterio.

Peraltro, ora è possibile anche:

a) inserire nel post la propria localizzazione, senza ricorrere all’ulteriore strumento “Places”, aggiungendo così un ulteriore tassello nell’utilizzo volontario e – magari - consapevole dei propri dati personali pur di carattere comune;

b) modificare i settings di un post già pubblicato, senza necessità di cancellarlo e riscriverlo, con la conseguente possibilità di gestione dei propri dati personali più rapida ed effettiva.

Le riflessioni sulla novità e positività appena descritte offrono il destro per una riflessione più ampia sulla natura giuridica di Facebook e sulle persistenti criticità del servizio in questione.

L’inquadramento giuridico di Facebook

Dal punto di vista giuridico, Facebook, al pari degli altri social network, costituisce a tutti gli effetti un servizio della società dell’informazione, come espressamente sancito dall’articolo 1, paragrafo 2 della direttiva 98/34/CE modificata dalla direttiva 98/48/CE.

La principale caratteristica di tale socialnetwork è la possibilità, per l’utente, di creare un proprio “profilo”, sia con una descrizione di se stesso, sia inserendo in rete contenuti di diverso genere (fotografie, testi, commenti, musica, video, links).

Ogni utente ha poi la facoltà di rendere tale profilo visibile a chiunque (e quindi pubblico), oppure di limitare tale visibilità solo ai soggetti autorizzati dall’utente stesso, tramite inserimento nell’elenco di contatti (c.d. “amici”) o anche ai soggetti che, a loro volta, figurano come contatti dei propri contatti.

Occorre sempre tenere a mente che la maggior parte degli introiti dei fornitori di SNS derivano dalla pubblicità proposta sulle pagine web che gli utenti pubblicano e consultano.

Ciò considerando, l’iscrizione al servizio di social network non può dirsi davvero gratuita, dato che i dati degli utenti contenuti nei rispettivi profili personali sono infatti spesso riutilizzati per attività mirate di marketing.

Alla luce di tale fenomeno, che potrebbe dirsi irreversibile data la crescente rapida diffusione dei social network, quale Facebook, occorre che gli utenti dei servizi di social network valutino con attenzione se e cosa pubblicare in rete: c'è il rischio concreto e serio di perdere il controllo dei propri dati.

Senza considerare peraltro che info e immagini del’utente immesse nel proprio profilo Facebook - o in quelli di “amici” o altri utenti - potrebbero riemergere in tempi successivi, ad es. in occasione della presentazione di una domanda d'impiego.

In quest’ottica, ancora oggi si avvertono, nonostante le suindicate novità recentemente introdotte da Facebook, alcune rilevanti esigenze a metà fra settore tecnico e settore giuridico.

Anzitutto, il fornitore del servizio di socialnetwok dovrebbe informare adeguatamente gli utenti anche sulle conseguenze collegate all'immissione in rete di dati personali.

Inoltre, dovrebbe garantire che i dati degli utenti non vengano estratti dai motori di ricerca se non con il loro previo consenso.

Ma la lacuna persistente ancor più evidente riguarda l’aspetto della proprietà dei dati personali e della loro conservazione/eliminazione.

Precisamente, gli utenti dovrebbero poter non solo recedere agevolmente da Facebook ma anche cancellare ogni informazione pubblicata sul medesimo social-network, senza alcuna possibilità di indesiderata “quiescenza” del proprio profilo disattivato e senza che copia dei medesimi dati rimanga presso la società titolare del servizio. O tantomeno presso società terze in qualche modo collegate con il titolare! - e alle quali eventualmente i dati dell’utente recedente siano stati comunicati.

Facebook helps you connect and share with the people in your life

http://www.ipsoa.it/PrimoPiano/Diritto/pi_ugrave_privacy_per_facebook_baster_agrave_id1049495_art.aspx

Un sondaggio sul Registro Pubblico delle Opposizioni

2011-07-31T15:44:00.000-07:00

Abbiamo deciso di lanciare un sondaggio sul Registro Pubblico delle Opposizioni per sapere se questo nuovo istituto stia ottenendo i risultati sperati contro il telemarketing selvaggio o meno. L'ANDIP sta monitorando da tempo l'andamento del Registro riscontrando purtroppo molte lamentele e davvero pochi risultati positivi. Ma adesso vediamo cosa ne pensate voi!!

e-Health Conference 2011

2011-04-03T04:17:00.000-07:00

La terza edizione della eHealth Conference si svolgerà a Roma il 14 aprile 2011. Lo scopo del convegno è quello di esaminare, attraverso l’analisi dello stato dei progetti inseriti nel Piano dell’Innovazione Digitale, la situazione attuale della sanità elettronica. Verrà posto l’accento sui servizi digitali al cittadino, seguendo in particolare due filoni: il cittadino e le pratiche facili (certificati e prescrizioni, linee guida dei CUP, referti online, pagamenti ticket, richieste online alla ASL, modulistica e istruzioni); il cittadino responsabile della propria salute (i nuovi strumenti digitali, l'infrastruttura di comunicazione, i modelli organizzativi innovativi). Verranno illustrate le iniziative nazionali ed interregionali relative al fascicolo Sanitario elettronico, alla telemedicina, alla conservazione digitale dei documenti, fornendo un panorama dell’attuale quadro normativo. L'ANDIP è tra i patrocinatori dell'evento. Per maggiori informazioni e registrazione: http://www.ehealthforum.it/eventi/3003

IP Security Forum, il futuro dell’IP si discute a Milano

2011-04-03T03:52:00.000-07:00

Il 14 aprile 2011 ad Assago un ricco programma formativo accompagnerà tecnici della sicurezza, dell'IT e del networking, consulenti e progettisti del settore, buyer e utenti finali in una giornata di fiera, relazioni e divertimento. Tre sono le linee tematiche su cui converge il programma: mercato e opportunità di business dell'IP, networking e tecnologia IP sul campo, videosorveglianza e privacy. Ogni tema verrà sviscerato e proposto con formule innovative e sorprendenti: dalla formazione spettacolo con gag e musica, alla demo sul tecnico della TVCC IP al lavoro in streaming tv, dal talk show sulla crisi come opportunità, al question time per sciogliere tutti i vostri dubbi su videosorveglianza e privacy. L'ANDIP è tra i patrocinatori dell'evento. Evento gratuito previa registrazione su: http://eventi.ethosmedia.it/registrazione-IT.asp

Expo Conference ALL SECURITY a Roma

2011-04-03T03:50:00.000-07:00

Tecna Editrice, casa editrice focalizzata in periodici e organizzazione di eventi e conference professionali a carattere espositivo, organizza la prima Expo Conference ALL SECURITY che si terrà a Roma presso il Centro Congressi Cavour il prossimo 7 aprile 2011. L’obiettivo dell’evento, che vede l'ANDIP tra i patrocinatori, è quello di affrontare i temi della Videosorveglianza, Antintrusione, Anticrimine , Antincendio e Controllo Accessi. Si alterneranno relatori professionali e aziende sponsor per una fotografia aggiornata delle minacce e delle tecnologie. L'area espositiva della conference, è un punto di incontro e confronto per conoscere le migliori tecnologie e soluzioni presenti oggi sul mercato. E’ prevista una colazione di lavoro e la distribuzione di materiale documentale a tutti i visitatori. Importanti personaggi parleranno alla conferenza: Bruno Carbone, Responsabile della Sicurezza delle informazioni - ENAV Isabella Corradini, Presidente Themis Crime Claudio Filippi, Direttore Dipartimento Giuridico del Garante Luisa Franchina, Direttore della Segreteria Infrastrutture Critiche, Presidenza del Consiglio dei Ministri Dirigente CN VVFF Roma Alessio Pennasilico, Membro dell’Osservatorio permanente Sicurezza informatica OPSI/AIP Domenico Vulpiani, Dirigente Generale della Polizia di Stato Per info e iscrizione: http://www.tecnaeditrice.com/forumall11_presentazione.php

Expo Conference CYBER-CRIME a Roma

2011-04-03T03:48:00.000-07:00

Tecna Editrice, casa editrice focalizzata in periodici e organizzazione di eventi e conference professionali a carattere espositivo, organizza la prima Expo Conference CYBER-CRIME che si terrà a Roma presso il Centro Congressi Cavour il prossimo 6 aprile 2011. La diffusione di Internet, l'utilizzo massiccio della posta elettronica, l’incremento delle transazioni telematiche e l'uso crescente di social network hanno favorito una massiccia circolazione in rete di dati personali, aumentandone esponenzialmente la vulnerabilità. L’evento CYBER-CRIME nasce per approfondire le tematiche legate alla sicurezza e al contrasto dei crimini informatici: nel corso di una giornata di lavori, i massimi esperti del settore, provenienti dal mondo istituzionale e dal mondo IT, delineeranno il quadro attuale del fenomeno fornendo le indicazioni per le strategie del futuro e offrendo una panoramica delle iniziative in corso. I partecipanti troveranno nell'ampia area espositiva della conferenza, un luogo ideale di incontro e confronto con manager e professionisti, per conoscere da vicino le migliori tecnologie disponibili sul mercato e le principali iniziative adottate. L’evento, che vede l'ANDIP tra i patrocinatori, costituirà l’occasione per creare un indispensabile collegamento fra tutti gli attori coinvolti: istituzioni, banche, assicurazioni, authorities, It security vendor, social network, associazioni dei consumatori e ogni altra realtà attiva nell’e-commerce. E’ prevista una colazione di lavoro e la distribuzione di materiale documentale a tutti i visitatori. Importanti personaggi parleranno alla conferenza: Matteo Cavallini, Unità Locale Sicurezza MEF/Consip Raoul Chiesa, Founder, @ Mediaservice.net - A security advisory company Senior Advisor, Cybercrime Issues & Strategic Alliances, UNICRI (United Nations Interregional Crime & Justice Research Institute) Maggiore Gabriele Cicognani,. G.di F. responsabile del CERT-SPC Isabella Corradini, Presidente Themis Crime Fabrizio d'Amore, Professore del Dipartimento di Informatica e Sistemistica "Antonio Ruberti" Università La Sapienza di Roma Generale Pietro Finocchio, Presidente Afcea – Associazione delle Comunicazioni e dell’Elettronica per le Forze Armate Alessio Pennasilico, Membro dell’osservatorio permanente sicurezza informatica OPSI/AIP Andrea Rigoni, GC-SEC Global Cyber Security Center Per info ed iscrizione per la partecipazione: http://www.tecnaeditrice.com/forumcybercrime11_presentazione.php

ANDIP: sul Registro Pubblico delle Opposizioni urgono chiarimenti

2011-03-23T08:20:00.000-07:00

Il Presidente dell'ANDIP (Associazione Nazionale per la Difesa della Privacy) dott. Michele Iaselli interviene in maniera decisa su uno degli argomenti più delicati e discussi negli ultimi tempi.
"L'Associazione che presiedo da quando ha aperto una linea diretta per chiarimenti sul Registro Pubblico delle Opposizioni, è letteralmente tempestata di telefonate e lamentele da parte dei cittadini sulla funzionalità del Registro stesso. Molti sostengono di trovare difficoltà sulle modalità di iscrizione, altri non ricevono alcun riscontro con l'indicazione del relativo codice utenza, ma la maggioranza dei cittadini lamenta che nonostante l'iscrizione continuano ad essere infastiditi dai call center con le solite telefonate promozionali".
"Purtroppo il sistema è perverso – continua il dott. Iaselli - e le conseguenze le pagano come sempre i cittadini. Gli operatori telefonici attualmente iscritti al Registro sono una minima parte rispetto a quelli esistenti e molti non intendono affatto sostenere i costi del Registro per accertare chi sia iscritto o meno. Quindi l'unica alternativa è rischiare e continuare a telefonare come sempre, tanto non esiste alcun controllo preventivo. E' vero le sanzioni sono pesanti, ma i call center non consentono alcuna identificazione e quindi rendono vana qualsiasi denuncia".
"Insomma – conclude il presidente dell'ANDIP - siamo alle solite, le norme esistono, ma non trovano applicazione ed a questo punto ci si chiede a cosa sia servita questa introduzione del Registro mai vista favorevolmente dall'ANDIP che addirittura ha peggiorato la situazione".

Brevi riflessioni in materia di Privacy e DPS nella PA

2011-03-23T07:21:00.000-07:00

1. Quale privacy ? A quale scopo? A cosa serve il DPS?

Cos'e' davvero e in concreto la Privacy in Italia? Come viene percepita, vissuta e interpretata nel sistema pubblico ed in particolare negli Enti locali? Quali progressi sono stati compiuti in questi anni, sia sul piano culturale che su quello pratico? Qual e' il grado complessivo di consapevolezza degli operatori che, a vario titolo, “maneggiano” quotidianamente una mole notevole di dati personali dei cittadini, rilevante sia per quantita' che per qualita' degli stessi (la PA tratta molti dati anche di natura sensibile e semi-sensibile)?
Gli Amministratori pubblici sono preparati a confrontarsi con la questione della sicurezza, affidabilita' e disponibilita' del patrimonio informativo degli Enti che sono chiamati a guidare? Quanto sono consapevoli - nel momento in cui pianificano priorita', investimenti e destinazioni di budget - del fatto che su quel patrimonio informativo si basa, sempre piu' in forma dematerializzata, ogni attivita' svolta dalla PA per perseguire rilevanti finalita' di interesse pubblico?
Quanto e' diffusa la convinzione che in fondo queste tematiche, come pure quelle legate alla sfida della digitalizzazione della PA, abbiano una valenza meramente tecnico-informatica? Che pertanto siano da delegare al Dirigente-informatico di turno, quando l'Ente ne e' dotato, o al perito informatico (se c'e'..) o al consulente-informatico o, ancora, specie nei piccoli Comuni, al dipendente, di qualsiasi categoria e profilo professionale, che abbia una cosiddetta sensibilita' informatica? E' corretta questa impostazione alla luce di quanto previsto dalla normativa europea e nazionale vigente, ma anche solo sul piano del buon senso?
Sono questioni che mi pongo da anni, che mi lasciano tendenzialmente insoddisfatto e che talvolta mi provocano lo stesso senso di frustrazione che si prova quando non ci si rassegna ad accettare come ineluttabili alcune disfunzioni croniche del nostro Paese, per le quali non si riesce a trovare alcuna spiegazione apparentemente razionale (perche' non si risolve il problema dei rifiuti a Napoli?....Perche' non si riesce a terminare la Salerno-Reggio Calabria?..ecc...).
Per questo vorrei provare a condividere, in rete ma “senza rete”, alcune di queste riflessioni, senza alcuna pretesa di esaustivita' e senza voler dispensare certezze, ma provando invece ad esprimere un punto di vista, dichiaratamente parziale e limitato, quale puo' essere quello di un professionista che vive lo sforzo continuo di far dialogare e mettere in connessione due facce della realta' che talvolta appaiono quasi contrapposte: da un lato, alcuni grandi principi, contenuti in norme internazionali, europee e nazionali quali il diritto fondamentale alla protezione dei dati personali, il diritto alla riservatezza, quello ad una buona amministrazione, il principio di non discriminazione ecc. (cui si sente di aderire anche intimamente e con una certa dose di passione, che si cerca poi di trasmettere nelle aule dell'Universita' ai giovani studenti, e nelle aule di formazione professionale, agli operatori); dall'altro, la crudezza del quotidiano e la logica dell'urgenza e dell'emergenza, che sembrano essere quelle prevalenti nel funzionamento della PA, con particolare riferimento a quella locale, con le quali ci si scontra inevitabilmente quando si viene interpellati per una qualche consulenza. In tale contesto si riceve spesso un messaggio di fondo, piu' o meno apertamente dichiarato: «caro avvocato, il nostro problema e' quello di essere formalmente “a norma”, e di ridurre i rischi di incorrere in sanzioni; quanto poi alla sua raccomandazione di invertire la prospettiva per conseguire i risultati sostanziali indicati dalla Legge...Eventualmente rivaluteremo in futuro... Al momento e' troppo complicato e poi … abbiamo altre priorita'».
Ecco allora che si scatenano le improvvisazioni e le soluzioni piu' fantasiose, pronte a cogliere questa esigenza cosi' sentita e diffusa – in verita' non solo nel settore pubblico – e capita anche di leggere in rete annunci che, approssimativamente, hanno questo tenore:
«Devi redigere il tuo DPS della Privacy? Nessun problema! Te lo facciamo noi a 99 Euro in un giorno - Redatto, stampato e spedito a nostro carico con posta prioritaria»
Chiunque abbia un minimo di cognizione di cosa sia un Documento Programmatico sulla Sicurezza (DPS) - di quale sia la sua funzione, sulla base di quali elementi di conoscenza ed analisi esso vada costruito ecc. - sa benissimo che quel tipo di annuncio propone una patacca!
E purtroppo, di patacche, ne sono state vendute e acquistate a migliaia in questa materia! Di vario formato, di vario colore, di varia consistenza e di vario prezzo, anche a soli 99 Euro!
A meno di doti medianiche e di chiaroveggenza, infatti, e' evidente che nessuno puo' redigere un DPS «a distanza e in tempo reale», senza svolgere un'analisi concreta ed effettiva, sul campo, delle varie tipologie di rischio e dell'intensita' con cui i rischi stessi si possono manifestare nel singolo e peculiare caso esaminato al fine di programmare ed esplicitare – appunto nel DPS - le relative modalita' (misure) per neutralizzarli.
Il pensiero corre allora veloce a quelle straordinarie soluzioni che la italica fantasia adotto' oltre venti anni fa, specie in alcune realta' territoriali, per “adempiere” all'obbligatorieta' delle cinture di sicurezza nella circolazione stradale. Delle magnifiche magliette bianche con banda trasversale nera stampata sul davanti, che simulava perfettamente una cintura di sicurezza indossata,anche quando l'auto non era neppure dotata dell'apparato. Ovviamente, come sappiamo bene, l'obbligo della cintura aveva uno scopo nobile e importante: tutelare l'incolumita' e la salute delle persone fisiche, o almeno ridurre i rischi di danno, in caso di collisione; evidentemente la maglietta non aveva alcuna chance di raggiungere lo scopo perseguito dalla norma, ma riduceva (o illudeva di di ridurre) un altro rischio: quello di incorrere nelle sanzioni che il Codice della strada prevedeva per il mancato uso della cintura. Esattamente come i DPS – patacca di cui sopra rispetto alle previsioni del Codice della Privacy.
D'altra parte questa cultura della soluzione fantasiosa, in funzione anti-sanzione, non placa mai la propria capacita' di adeguarsi ai tempi. Infatti pare che una bella e pratica soluzione sia stata trovata anche per ovviare al fastidio dell'allarme sonoro che oramai tutti i modelli di auto in circolazione prevedono in caso di mancato allaccio della cintura di sicurezza: infatti e' in vendita il solo “gancio” della cintura stessa, basta inserirlo nell'apposito alloggiamento e l'avviso sonoro sparisce...
Evviva l'Italia delle misure di sicurezza PATACCA!
Per fortuna la realta' e' molto piu' complessa e articolata e vi sono molti comportamenti che denotano un senso civico esemplare, come pure autentiche punte di eccellenza e professionalita' anche in materia di PA digitale e gestione dei dati personali nella PA locale.
Tuttavia, volendo proseguire con onesta' intellettuale la stringata e parziale analisi sommariamente avviata, provero' di seguito - partendo da piccoli ma significativi episodi realmente verificatisi nella mia esperienza diretta - ad evidenziare alcuni profili di insufficienza che percepisco ancora troppo diffusi nell'applicazione concreta della disciplina vigente in materia di protezione dei dati nella PA. Successivamente provero' a riportare la riflessione su un piano piu' concreto, simulando di essere interpellato da una P.A locale – che immaginero' essere un Comune di circa 70/80.000 abitanti - alle prese con l'esigenza di adeguare obbligatoriamente il proprio DPS entro il prossimo 31 Marzo come in effetti tutti gli Enti devono fare. Simulero' che il Comune in questione, che chiamero' ADEMPIENZIA, abbia operato come mi e' capitato molte volte di verificare nella realta' e cioe' privilegiando l'esigenza di adempiere ad una formalita' piuttosto che quella di conseguire una effettiva sicurezza nel trattamento dei dati; con un approccio non sistematico, poco integrato (ad esempio senza valorizzare le connessioni delle questioni di data protection con tutta la tematica dell'amministrazione digitale e di quest'ultima con l'esigenza della revisione dell'intero sistema procedurale e documentale) e poco attento a rendere partecipe e consapevole delle sfide e del contesto complessivo un attore determinante, ovvero tutto il personale e l'intera struttura organizzativa, senza la cui partecipazione collaborativa e consapevole sara' difficile, se non impossibile, raggiungere qualsiasi obiettivo ambizioso di riforma della PA che punti al miglioramento della qualita' dei servizi ed alla realizzazione della Buona Amministrazione al servizio dei cittadini e dei loro diritti.

2. Piccola casistica, autentica, di interpretazione del diritto alla Privacy nella PA

Sono anni che, tra il serio e il faceto, prometto a me stesso di scrivere, prima o poi, un elenco dettagliato di tutte le “esperienze” piu' strane, fantasiose e talvolta incredibili, che ho raccolto in circa 15 anni di attivita' in qualita' di consulente, formatore e docente universitario in materia di Diritto dell'informatica e di diritto alla privacy in particolare. Per una volta vorrei cominciare una riflessione proprio da qui - da casi veri un po' … strani - per poi cercare di ricondurre questi aneddoti ad una riflessione seria e, spero, anche un po' utile in tema di tutela dei dati personali nel sistema pubblico italiano, con particolare riferimento alla PA locale.

Caso 1: un Comune di circa 20.000 abitanti mi chiede di fornire una consulenza e alcune attivita' formative in materia di privacy. Non e' ancora vigente il Codice della Privacy, ma c'e' gia' da tempo la L. 675/96 e sono pienamente vigenti gli obblighi di sicurezza previsti dal DPR 318/99 e le relative sanzioni penali previste in caso di inadempimento. Al fine di avere una quadro della situazione di partenza, come faccio sempre, intervisto i responsabili di Settori e Servizi e compilo delle schede che ho predisposto allo scopo. Incontro dunque anche il Responsabile del servizio politiche sociali, la struttura che si occupa di tutte le varie situazioni di disagio presenti sul territorio (tossicodipendenze, problemi di salute mentale, indigenza e tutto quanto di piu' “sensibile” si possa immaginare); alla mia precisa domanda sulle specifiche misure adottate per il trattamento di dati prevalentemente sensibili, ecco la risposta: «non c'e' alcun problema, sono una persona molto riservata». (Nota: dall'intervista e' poi risultato che la struttura era priva delle «misure minime di sicurezza», a partire dalle piu' elementari.

Caso 2: uno studente non piu' giovanissimo, in una Universita' italiana, sta sostenendo l'esame nel cui programma vi e' anche l'argomento privacy. L'esame sta andando malissimo e allora lo studente, per giustificare in parte lo scarso profitto, mi dice del suo status di studente/lavoratore che opererebbe, in qualita' di perito informatico, nel Servizio sistemi informativi di una ASL; mi sembra doveroso allora – credendo anche di aiutarlo un po' - porgli una domanda di carattere molto generale in ordine ai principi generali del Codice della Privacy. La risposta, incerta e sintetica e' : «c'e' internet .... ci sono tutte queste informazioni....ci sono le reti informatiche..... tanti dati personali ...e quindi c'e' la privacy...» Ogni tentativo di ottenere una risposta piu' precisa, ad esempio a proposito dei dati sensibili, del concetto di trattamento e degli obblighi di sicurezza risulta vano e infruttuoso. Chiunque abbia un minimo di esperienza di esami universitari, anche per il solo fatto di essere stato uno studente ed avervi assistito da spettatore, sa benissimo che i casi di totale impreparazione si verificano di frequente. Ma qui cio' che si intende evidenziare non e' l'impreparazione dello studente, bensi' quella di un «operatore di sistema» e di un «incaricato»(?) (auspicando che non avesse alcuna designazione di Responsabilita') nel trattamento di dati sensibili con strumenti informatici in una ASL... (ovviamente l'esame non e' stato superato e, pur essendo trascorsi degli anni, lo studente non si mai piu' ripresentato.... ma c'e' soprattutto da auspicarsi che non sia stato sincero a proposito del suo ruolo in una ASL ).

Caso 3: durante una lezione, nell'ambito di un corso di formazione professionale dedicato al tema, destinato a personale di categoria C e D di un Ente pubblico locale (grande) - nella fase di transizione tra la L.675 ed il Codice attuale - affronto la questione delle prescrizioni previste nell'allegato B del Codice stesso e mi soffermo per qualche istante sui requisiti previsti per la scelta e la custodia delle credenziali di autenticazione; in sintesi sto spiegando le caratteristiche di sicurezza minima che obbligatoriamente deve avere una password quando una delle persone partecipanti alza la mano e formula una osservazione di questa natura: «questa pretesa secondo la quale io dovrei essere l'unica che conosce la PW per accedere all'applicativo che utilizzo per la procedura X e' assurda. Anzi se lo vuole sapere, io tengo ben in vista un post it, incollato allo schermo del PC, dove ho scritto in caratteri molto ben evidenti paola9 che e' la mia PW; stamattina prima di venire qui mi sono accertata che fosse ben visibile in mia assenza e non ho alcuna intenzione di cambiare una prassi con la quale, in ufficio, ci troviamo benissimo. D'altra parte, nessuno dei miei superiori mi ha mai detto di fare diversamente»

Caso 4: un Comune di circa 25.000 abitanti ha da poco installato sul proprio territorio un sistema di videosorveglianza col quale vengono monitorati diversi spazi e luoghi pubblici.
Il Garante della Privacy ha da poco adottato il (primo) Provvedimento generale in materia di Videosorveglianza (del 29 aprile 2004) e chiedo dunque al Responsabile del servizio comunale che ha seguito tutta la procedura se ne ha tenuto conto. Mi guarda perplesso e poi mi dice: «cosa vuole che ci importi del Garante, ho parlato col Maresciallo dei Carabinieri!» (nota: ne ho poi parlato direttamente col Sindaco e, fortunatamente, la situazione e' stata corretta).

Caso 5: Chiamo io stesso il distretto sanitario di base, unica struttura sanitaria presente in un territorio comunale di circa 25.000 abitanti, per conto di un'altra persona che deve rinnovare la patente di guida, e chiedo se ci sono moduli specifici per lo scopo indicato, se sono loro ad averli e se, eventualmente, c'e' un modo per scaricarli on line. La persona che mi risponde e' gentile, ma di poche parole e mi dice che devo recarmi personalmente perche' non c'e' la possibilita' di scaricare cio' che occorre. Vado. Giunto sul posto mi si dice che in realta' occorrono solo dei bollettini postali di CC che pero' loro non hanno (non tutti) ma che posso tranquillamente trovare in un qualsiasi Ufficio Postale. Allora io chiedo perche' non me l'ha detto al telefono. La risposta: «non possiamo dare queste informazioni...c'e' la privacy!»

Gli episodi anomali sarebbero ancora molti e alcuni di questi - formalmente immortalati in diversi DPS autentici che ho avuto modo di analizzare - sono stati da me utilizzati per costruire, in una specie di collage, il DPS dell'inesistente Comune di ADEMPIENZIA in merito al quale, di seguito, avanzero' alcune osservazioni critiche finalizzate ad individuare una possibile strategia operativa di superamento della logica dell'adempimento.

3. Il DPS del Comune di ADEMPIENZIA. Documento autentico al 90%, redatto ad uso di un bravo Dirigente che vorrebbe superare la logica dell'adempimento formale...

Il documento che segue e' dunque solo parzialmente un documento di fantasia, in quanto si ispira a stralci di DPS autentici, da me arbitrariamente collezionati in unico ipotetico DPS, che ho immaginato fosse del Comune di Adempienzia. Ho poi ipotizzato che un bravo e serio Dirigente di codesto Ente, cogliendo il significato della normativa in materia di Privacy, mi avesse chiesto di esaminare il DPS esistente e fornire un parere sintetico in merito alla sua conformita' alla normativa vigente. Ecco, grosso modo, cosa avrei potuto scrivere:

DOCUMENTO RISERVATO
ad uso esclusivo del Comune di ADEMPIENZIA

Valutazione di sintesi sulla conformita' della situazione in atto presso il Comune di ADEMPIENZIA al quadro normativo vigente in materia di privacy e misure di sicurezza

1.Premessa: la presente nota e' il risultato di una valutazione sintetica e schematica che scaturisce dall'esame dei documenti cui ho avuto accesso e dalle informazioni che ho acquisito attraverso i colloqui con il personale, a seguito della serie di incontri svoltisi presso il Comune di ADEMPIENZIA dal 21 al 25 gennaio 2011 ed ha la finalita' esclusiva, senza alcuna pretesa di completezza, di offrire al Dr. Carlo Rossi – dirigente del Settore X - un quadro della situazione attuale ed alcuni suggerimenti su un possibile percorso per raggiungere un soddisfacente livello di adeguamento al quadro normativo vigente.
La situazione che ho potuto verificare presenta diversi profili di problematicita' che attualmente espongono l'intero Ente a possibili conseguenze negative di una certa gravita': innanzitutto sul piano concreto (in termini di effettiva sicurezza, disponibilita' ed affidabilita' del patrimonio informativo di cui dispone e su cui basa la propria attivita' istituzionale al servizio della cittadinanza e dell'utenza ADEMPIENZESE) ed inoltre sul piano giuridico, in termini di Responsabilita' civile, Penale ed Amministrativa per la sostanziale mancata attuazione di alcune importanti misure di sicurezza previste dal Codice della Privacy (di seguito: Codice), principalmente ai sensi degli artt. 31, 33, 34 e 35 (ma anche con riferimento ad alcuni provvedimenti e prescrizioni del Garante, come ad esempio quello relativo agli Amministratori di sistema che avrebbe dovuto essere adottato entro e non oltre lo scorso 15 dicembre 2009).

2. Responsabilita', compiti, profili e funzioni. Il primo elemento di criticita' e' quello di una non sufficiente chiarezza nella individuazione (in concreto e non solo in teoria) delle diverse figure previste dal Codice, dei rispettivi ambiti di competenza e della conseguente ripartizione dei vari profili di Responsabilita'. Nel caso concreto se, da un lato, sembra pacifico che tutti i Dirigenti di settore siano da considerarsi RESPONSABILI del trattamento ai sensi degli artt. 4 e 29 del CODICE (tale scelta risulta dal primo DPS adottato con determina del Direttore Generale nel 2004 ed e' stata confermata nei successivi DPS), tuttavia, dall'altro, pone dei dubbi sul piano giuridico, in termini di legittimita' ed efficacia, il fatto che da un certo momento in poi le determinazioni in ordine al profilo di responsabilita' (poteri, funzioni, compiti, oneri, obblighi di vigilanza e di prescrizione sull'attivita' degli incaricati, ecc.) dei RESPONSABILI DEL TRATTAMENTO (i Dirigenti) siano delineate in un atto, sempre il DPS, adottato con Determina ma da un altro Dirigente “parimenti” RESPONSABILE del trattamento.
Il Codice assegna esclusivamente al Titolare (l'ENTE nella sua interezza) la facolta' e la potesta' di designare il Responsabile del trattamento e definirne esattamente i compiti, infatti l'art. 29 afferma che “..I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.... il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni .. e delle proprie istruzioni ”.
Direi che non e' chiaro se e come cio' avvenga all'interno dell'Ente nonostante vi siano a carico del Titolare (Comune di ADEMPIENZIA) precise responsabilita' “in eligendo” (in fase di designazione delle figure di RESPONSABILE del trattamento) ed altrettante precise responsabilita' “in vigilando” (su tutta la successiva attivita' di tali figure).

2.1 La specifica figura dell'ADS. La situazione e' poi altrettanto poco chiara con riferimento alle figure degli ADS (Amministratori di Sistema) rispetto alle quali c'e' un Provvedimento generale del Garante del 2008 che non mi sembra correttamente attuato nella situazione concreta (l'individuazione di una “quota” di Responsabilita' specifica, quale Amministratore di sistema, a carico del Dirigente del Settore Sistemi informativi, effettuata nel primo DPS dal Direttore generale non risponde affatto alla complessita' dell'esigenza attuale). La prima conseguenza possibile, sul piano giuridico, per la mancata attuazione di tale Provvedimento (termine ultimo, perentorio, decorso lo scorso 15 dicembre 2009) e' la sanzione del pagamento di una somma da trentamila a centottantamila euro (art. 161, comma 2 ter). Anche qui c'e' una Responsabilita', riconducibile al titolare (Comune di ADEMPIENZIA) tanto “in eligendo” (in fase di designazione delle figure di ADS) che “in vigilando” (su tutta la successiva attivita' di tali figure).

Soluzione Consigliata. Punto 2: Adozione di una delibera di Giunta che delinei un Piano strategico d'intervento che, oltre a individuare vari interventi necessari in materia, innanzitutto chiarisca la ripartizione dei profili di Responsabilita' e assegni con precisione compiti, ruoli e funzioni in conformita' alla normativa vigente (inclusa una modalita' operativa di verifica sull'attivita' dei RESPONSABILI del trattamento). Punto 2.1 nella medesima delibera di Giunta va dato mandato ai Responsabili di adempiere al Provvedimento in materia di ADS sulla base di precisi indirizzi.

3. Adozione delle misure di sicurezza. Si tratta di un punto delicatissimo in quanto si e' avuta l'impressione della sostanziale mancata adozione di alcune importanti misure di sicurezza previste dal Codice. Sia con riferimento a quelle obbligatorie previste dall'art. 31, la cui mancata adozione (nel caso che si verifichi un danno) genera una sicura ed inevitabile Responsabilita' civile di tipo oggettivo (ai sensi dell'art. 15 del codice e dunque nei modi previsti dall'art. 2050 del Codice civile), sia con riferimento a quelle previste dall'art. 33, la cui mancata adozione costituisce un'ipotesi di reato omissivo punito (anche se non si verifica alcun evento dannoso) con l'arresto sino a due anni ai sensi dell'art. 169 del Codice (oltre che con una sanzione amministrativa da 10.000 a 120.000 euro ex art. 162, comma 2 bis).
Mi permetto di ricordare che le misure da adottare non sono solo di tipo “informatico” ma anche e, direi, soprattutto di tipo organizzativo e “comportamentale” (oltre che di tipo fisico).
Da questo punto di vista mi sembra opportuno sottolineare come, per quella che e' stata la mia percezione in relazione al caso concreto, l'elemento piu' preoccupante sia la mancanza di una “cultura della sicurezza” in tema di DATA PROTECTION che tende a generare comportamenti involontariamente “pericolosi” per la custodia e l'affidabilita' del patrimonio informativo del Comune creando in tal modo “il vero problema” per l'Ente (ben aldila' dell'aspetto giuridico-formale). Per non parlare delle implicazioni che tutto cio' comporta in termini di effettiva realizzabilita' degli obiettivi posti dalle strategie e dalle norme in materia di digitalizzazione della P.A.

Soluzione Consigliata: Programmazione nel Piano strategico d'intervento di cui al punto precedente di un “intervento operativo” finalizzato all'innalzamento del livello di sicurezza nella salvaguardia del patrimonio informativo dell'Ente (anche di quello che non ha una natura di dato personale) che preveda l'individuazione delle misure mancanti, ne definisca modalita' (concrete) e tempi di adozione e sia accompagnato da un intervento di formazione/affiancamento che, graduato sui diversi profili omogenei di Responsabilita', contribuisca a creare quel livello minimo di consapevolezza senza il quale e' impossibile raggiungere un livello adeguato di affidabilita'. In effetti il Codice prevede che tale pianificazione, (comprensiva anche della formazione), sia obbligatoria e sia racchiusa nel “noto” DPS (Documento programmatico sulla sicurezza).
Si dira' di seguito proprio del DPS del Comune di ADEMPIENZIA non prima pero' di aver evidenziato l'urgenza di iniziare tale attivita' a partire dalla sensibilizzazione della Dirigenza che e' investita di rilevantissime responsabilita' in tema di data protection, non sempre accompagnate da una adeguata consapevolezza.
Si ritiene fondamentale “collegare” tali interventi all'attuazione del Codice dell'Amministrazione digitale e non solo.
Risultano molto positivi gli interventi per la Sicurezza informatica gia' attuati (ad es. per la “sicurezza perimetrale”) e quelli programmati dal Settore sistemi informativi (ad es. per una gestione centralizzata e sicura delle credenziali di autenticazione che tenga conto dei diversi profili di autorizzazione o anche per la gestione centralizzata e sicura di tutti i “logfiles”, per tutti i Sistemi) di cui si raccomanda la pronta attuazione. Tuttavia adottando una visione globale, considerando che la sostanza del problema non si riduce al solo approccio tecnico-informatico, tali interventi, benche' necessari e opportuni, non possono essere considerati sufficienti, specie se non accompagnati da un sufficiente grado di consapevolezza diffusa che riguardi l'intero ENTE.

3.1 Misure inerenti tematiche specifiche.

Si e' detto sopra sia delle misure previste dal Codice che della tematica specifica riguardante gli ADS (Amministratori di Sistema); ritengo di dover aggiungere una segnalazione specifica anche in relazione ad altre tematiche peculiari sulle quali ho avuto l'impressione di una problematicita' nel Comune di ADEMPIENZIA:
1. disciplina sull'utilizzo della Posta elettronica ed Internet da parte dei dipendenti sul posto di lavoro;
2. Gestione dei RAAE (rifiuti di apparecchiature elettriche ed elettroniche) con riferimento alla problematica della presenza di dati personali all'interno di apparecchiature elettriche ed elettroniche cedute per la dismissione o la vendita o a seguito di riparazioni e sostituzioni.
Si tratta di due casi sui quali si e' espressamente pronunciato il Garante, nel primo caso con le linee guida del Garante per posta elettronica e internet, (Gazzetta Ufficiale n. 58 del 10 gennaio 2007,Registro delle deliberazioni, Del. n. 13 del 1° gennaio 2007) e' stata segnalata la necessita' di ” adottare un disciplinare interno” per affrontare la complessa problematica; nel secondo, con il Provvedimento Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali (13 ottobre 2008
G.U. n. 287 del 9 dicembre 2008) si sono prescritti specifici comportamenti da adottare a riguardo.

Soluzione Consigliata: Nel quadro del Piano strategico d'intervento suggerito ed in fase di realizzazione dell'“intervento operativo” di cui al punto precedente, si suggerisce di prevedere specificamente le misure necessarie a conformarsi ai citati Provvedimenti del Garante. Si tenga presente che le soluzioni concrete sono di natura prevalentemente organizzativa e comportamentale; pertanto e' fondamentale accompagnare l'adozione di un disciplinare con lo strumento della formazione (a partire dai Dirigenti).

4. Il DPS del Comune di ADEMPIENZIA:

Prendendo come punto di riferimento il DPS adottato nel gennaio 2011 (che e' poi, in linea di massima, il risultato di una sostanziale conferma dei DPS adottati negli anni precedenti) e dando per gia' espressi (si veda sopra, il punto 2) i dubbi e le perplessita' circa la modalita' formale di adozione del DPS e soprattutto l'efficacia delle prescrizioni in esso contenute (con riferimento alla parte in cui si individuano i profili di Responsabilita' delle varie figure coinvolte nel trattamento), in relazione al suo contenuto, esso appare non completo sotto i seguenti profili:
1. non adeguata individuazione dei trattamenti;
2. non adeguato collegamento tra questi e le strutture dell'Ente ove gli stessi sono incardinati (specie le micro-strutture);
3. non sufficientemente valutabile il collegamento tra Trattamenti / Strutture / Responsabilita' / Comportamenti standardizzati;
4. non adeguata analisi dei rischi in relazione ne' a singoli trattamenti, ne' a gruppi omogenei di trattamento, ne' a specifiche categorie di dati, ne' con riferimento alle singole Strutture (neppure quelle di massima dimensione), ne' con riferimento ai Trattamenti eseguiti in tutto o in parte all'esterno (outsourcing);
5. conseguentemente a quanto rilevato nel punto precedente, appare non adeguata l'individuazione delle misure in relazione agli specifici rischi; questo punto, insieme al precedente, e' cruciale poiche' lo scopo fondamentale del DPS e' quello di rilevare i rischi concreti al fine di neutralizzarli/ridurli al minimo e dunque deve necessariamente contenere, almeno in relazione a tipologie omogenee di rischio individuate, le relative “contromisure” (misure di sicurezza, appunto). Dunque se, ad esempio, in relazione al comportamento degli operatori si ritiene che vi sia un rischio ALTO di “sottrazione di credenziali di autenticazione” o uno MEDIO generato da una “carenza di consapevolezza, disattenzione o di incuria” bisogna poi, necessariamente descrivere in che modo (con quali misure) si intende ridurre o neutralizzare tali rischi;
6. mancata integrazione del DPS con documenti relativi a situazioni e tematiche di rischio specificamente individuate dal Garante (ad esempio con specifici Provvedimenti) sulle quali e' opportuna e, talvolta, obbligatoria (ex art. 154 Codice) una adeguata valutazione del rischio e la relativa adozione di specifiche misure di sicurezza (anche solo di tipo organizzativo): ad es., come detto, Posta elettronica, Internet, ADS, RAAE (Rifiuti di apparecchiature elettriche ed elettroniche).

Soluzione Consigliata: Nel quadro del Piano strategico d'intervento di cui sopra, si suggerisce di prevedere specificamente l'adozione di una procedura che conduca alla realizzazione di un DPS “concreto e non burocratico” che non sia necessariamente un documento “corposo” e “complicato” (l'attuale si compone di circa 90 pagine di cui una gran parte e' molto “teorica” e poco significativa per la natura operativa che dovrebbe avere un DPS) ma che contenga necessariamente uno autentico sforzo di analisi e di valutazione di rischi concreti individuando le modalita' operative, adottate o da adottare, per ridurre al minimo i suddetti rischi. Inevitabile il coinvolgimento, anche questo reale e non burocratico, di tutti i Settori (a partire dai Dirigenti). Fondamentale imparare come si fa, in maniera concreta. Necessario dunque programmare una attivita' di formazione/affiancamento semplice ed efficace che renda poi autonoma ogni struttura, fermo restando la necessita' di avere poi un momento di sintesi finale. Da valutare insieme al Segretario generale la “tipologia” e la forma piu' opportune dell'atto con il quale adottare il DPS.

5. Considerazioni conclusive

In conclusione e riassumendo quanto sopra esposto, a proposito della conformita' della situazione in atto presso il Comune di ADEMPIENZIA al quadro normativo vigente in materia di privacy e misure di sicurezza, si ritiene che la situazione in atto sia caratterizzata da diversi elementi di criticita' quali:
1. dubbi sulla correttezza della modalita' “formale” di adozione del DPS e sull'efficacia delle prescrizioni in esso contenute con particolare riferimento alla parte in cui si individuano i profili di Responsabilita' delle varie figure coinvolte nel trattamento;
2. non sufficiente chiarezza nella individuazione (in concreto e non solo in teoria) delle diverse figure previste dal Codice, dei rispettivi ambiti di competenza e della conseguente ripartizione dei vari profili di Responsabilita';
3. mancata adozione di alcune importanti misure di sicurezza previste dal Codice;
4. mancata adozione degli obblighi derivanti da altri Provvedimenti ed Atti del garante del Garante: ad es. in materia di ADS (Amministratori di Sistema) o di disciplina sull'utilizzo della Posta elettronica ed Internet da parte dei dipendenti sul posto di lavoro oppure della gestione dei RAAE (Rifiuti di apparecchiature elettriche ed elettroniche);
5. inadeguatezza del DPS esistente, specie per la sostanziale mancanza della sua parte fondamentale costituita da una concreta analisi dei rischi ed altrettanto concreta, e conseguente, adozione delle misure idonee a prevenire i rischi stessi;
6. carenza di una adeguato grado di “consapevolezza” da parte dei dipendenti e di una cultura diffusa della sicurezza in tema di data protection;
7. carenza di una visione strategica condivisa che colleghi il tema della sicurezza a fini di privacy, con il concetto piu' ampio di tutela del patrimonio informativo, a sua volta fondamentale per la realizzazione di una “solida” Amministrazione digitale.

Le suddette criticita' possono avere per l'Ente una pluralita' di ripercussioni negative: innanzitutto sul piano concreto (in termini di effettiva sicurezza, disponibilita' integrita' ed affidabilita' del patrimonio informativo di cui dispone e su cui basa la propria attivita' istituzionale) ed inoltre sul piano giuridico, in termini di Responsabilita' civile, Penale ed Amministrativa.
Anche se nel corso degli ultimi anni, come detto sopra al punto 3, sono stati messi in campo interventi molto positivi per la sicurezza informatica dell'Ente (alcuni gia' attuati ed altri programmati dal Settore Sistemi informativi, che si raccomanda di portare a compimento), tuttavia adottando una visione globale, considerando che la sostanza del problema non si riduce al solo approccio tecnico-informatico, tali interventi, benche' necessari e opportuni, non possono essere considerati sufficienti, specie se non accompagnati da un adeguato grado di consapevolezza diffusa che riguardi l'intero ENTE e da altre importantissime misure che spesso sono prevalentemente e/o esclusivamente di natura organizzativa e/o comportamentale.
Per queste ragioni si raccomanda l'adozione di un Piano strategico d'intervento che affronti la situazione nella sua complessita'. Gli elementi fondamentali di tale strategia dovrebbero essere, in linea di massima, i seguenti:
1. adozione di una delibera di Giunta che, oltre a definire le linee d'azione del Piano, chiarisca la ripartizione dei profili di Responsabilita', assegni con precisione compiti, ruoli e funzioni in conformita' alla normativa vigente (inclusa una modalita' operativa di verifica sull'attivita' dei RESPONSABILI del trattamento) e dia mandato ai Responsabili di adempiere al Provvedimento in materia di ADS, Posta Elettronica ed Internet, Raee ecc., sulla base di precisi indirizzi;
2. realizzazione di un intervento di formazione (peraltro obbligatorio ai sensi del punto 19.6 dell'allegato B del Codice) che, graduato sui diversi profili omogenei di Responsabilita' e di Incarico, contribuisca a creare quel livello minimo di consapevolezza (innanzitutto tra i Dirigenti) senza il quale e' impossibile raggiungere un livello adeguato di affidabilita', oltretutto propedeutico ed imprescindibile per la realizzazione di una “solida” Amministrazione digitale;
3. programmazione di un intervento operativo (eventualmente con affiancamento di elevata competenza) volto ad innalzare il livello di sicurezza nella salvaguardia del patrimonio informativo dell'Ente (anche di quello che non ha una natura di dato personale) che preveda, a valle dell'attivita' formativa di cui al punto precedente (o in parallelo), l'individuazione delle misure mancanti, ne definisca modalita' (concrete) e tempi di adozione;
4. adozione di una procedura per la realizzazione di un “autentico” DPS attraverso un'attivita' di formazione/affiancamento semplice ed efficace che renda poi ogni struttura in grado di operare in piena autonomia per una reale analisi e valutazione dei rischi concreti;
5. completamento, integrazione e revisione di tutta la documentazione, anche di natura regolamentare necessaria ai fini del corretto allineamento alla normativa in materia di data protection e sicurezza del patrimonio informativo.

Per quanto espressi in forma schematica, si ritiene che tali interventi siano fondamentali per consentire, non solo il riallineamento della situazione concreta del Comune di ADEMPIENZIA alla normativa vigente in materia di tutela dei dati personali, ma soprattutto per la creazione di una situazione di reale sicurezza, affidabilita', integrita' e disponibilita' del patrimonio informativo dell'Ente che e' condizione indispensabile ed imprescindibile per la realizzazione di una “solida” Amministrazione digitale in linea con il Codice dell'Amministrazione digitale e, soprattutto, in grado di realizzare la missione oggi assegnata alla Pubblica Amministrazione locale nel contesto della Societa' dell'informazione e della conoscenza.

4. Riflessioni conclusive

La Pubblica Amministrazione italiana, di cui gli Enti locali costituiscono il sistema nervoso diffuso capillarmente sull'intero territorio nazionale, opera necessariamente su informazioni e dati, sempre piu' dematerializzati, che molto spesso hanno natura di dato personale e che talvolta sono anche di tipo sensibile e/o semi-sensibile.
Essa opera nel contesto della Societa' dell'informazione globale e nel quadro normativo europeo che, a seguito dell'entrata in vigore del Trattato di Lisbona, ha costituzionalizzato il diritto fondamentale alla protezione dei dati personali, espressamente riconosciuto nella Carta dei diritti fondamentali dell'UE (art. 8), nell'art. 39 TUE e nell'art. 16 TFUE. Sono trascorsi circa quindici anni dall'adozione della prima normativa organica italiana in materia di privacy e data protection (La L. 675/96, successivamente abrogata e sostituita dal cosiddetto Codice della Privacy) e oltre dieci anni dal primo regolamento – il DPR 318/99 (anche questo successivamente abrogato e sostituito da parte del Codice) – che ha specificato le misure minime di sicurezza obbligatorie presidiate, peraltro, anche da sanzioni penali.
In tale quadro complessivo, alla luce della mia esperienza personale, pertanto limitata e parziale, cui ho fatto riferimento nelle pagine precedenti, ritengo che il grado di recepimento sostanziale della cultura della privacy nel sistema pubblico italiano, con particolare riferimento alla PA locale, non sia pienamente soddisfacente.
La situazione ha indubbiamente una sua complessita' ed articolazione che non possono essere compiutamente rappresentate in poche righe; come pure, certamente, vi sono realta' organizzative che si sono strutturate in maniera eccellente per rispondere alle sfide della digitalizzazione e della protezione dei dati. Sono, pero', altresi' convinto che siano ampiamente diffuse realta' che, specie nel contesto complessivo sommariamente delineato, manifestano delle vere e proprie patologie da affrontare e rimuovere con assoluta urgenza.
Mi sembra, infatti, che troppo spesso la questione privacy e data protection venga vissuta nel concreto come un fastidio, un impaccio, un male necessario, un costo, un appesantimento, una seccatura ecc. Che molto spesso cio' sia causato dalla carenza di interventi appropriati di adeguamento culturale del personale della PA; che cio' determini un grado complessivo di consapevolezza non sufficiente da parte degli operatori, i quali, a vario titolo, trattano quotidianamente dati personali, anche di natura sensibile e semi-sensibile.
Quanto agli Amministratori pubblici locali, nella maggior parte dei casi essi sono del tutto impreparati a confrontarsi con la questione della sicurezza, affidabilita' e disponibilita' del patrimonio informativo degli Enti che sono chiamati a guidare, nonostante esso costituisca la base di qualsiasi attivita' svolta e servizio erogato dalla PA nel perseguimento di rilevanti finalita' di interesse pubblico.
Continua poi ad essere troppo diffusa la convinzione che in fondo queste tematiche, come pure quelle legate alla sfida della digitalizzazione della PA, abbiano una valenza meramente tecnico-informatica, e che pertanto esse siano materia di cui si deve occupare il solo Dirigente -informatico, quando l'Ente ne e' dotato, o il perito informatico (se c'e'..) o il consulente-informatico o, ancora, il dipendente, di qualsiasi categoria e profilo professionale, che abbia una cosiddetta sensibilita' informatica.
Questa impostazione costituisce un clamoroso errore che, oltre ad essere in sostanziale contrasto con la normativa europea e nazionale vigente, impedisce di fatto una presa in carico sostanziale della questione da parte dell'intera struttura del singolo Ente, con particolare riferimento alla PA locale. E anche se la situazione tende ad accentuarsi nelle organizzazioni di piccola e media dimensione prive di Dirigenza, anche in molti Enti piu' grandi, ove questa e' presente, l'atteggiamento ed i risultati complessivi, al fondo, non sono poi cosi' diversi proprio a causa della tendenza a collocare la questione nella casella tecnico-informatica.
La Pubblica amministrazione italiana nel suo complesso, e dunque anche il sistema della Pubblica Amministrazione locale, vive un passaggio decisivo nella transizione verso l'Amministrazione digitale e la sostanziale dematerializzazione delle attivita' amministrative. Ne consegue che il patrimonio informativo della PA, ed in primo luogo quello che ha natura di «dato personale» ma non solo, rappresenta piu' che mai un bene fondamentale e strategico dell'Ente che va dunque gestito e tutelato in maniera adeguata e sicura. In base alla normativa vigente in materia, tutti gli operatori - a partire dalle massime figure apicali sino ad arrivare ai dipendenti di categoria B - della struttura organizzativa di ogni Ente Pubblico, compresi i Gestori di pubblici servizi, sono coinvolti nelle attivita' di trattamento di dati in generale e di dati personali in particolare e, conseguentemente, sono destinatari di altrettanti doveri ed obblighi da cui discendono anche delle responsabilita', anche se graduate per funzioni differenziate. Nonostante cio', la materia della sicurezza e protezione dei dati personali, continua erroneamente e troppo spesso ad essere ritenuta di stretta ed esclusiva competenza degli operatori con profilo tecnico-informatico presenti all'interno degli Enti. Al contrario essa ha invece una portata molto piu' ampia che coinvolge:
a) in primo luogo, i Dirigenti e funzionari dotati di responsabilita' organizzative (prioritariamente interessati dalle rilevantissime responsabilita', anche penali, che il Codice della Privacy prevede in diversi casi di omessa o inidonea applicazione delle norme specifiche in materia) i quali nella maggior parte dei casi concreti riscontrabili sul campo sono individuati, oltretutto, quali «Responsabili del Trattamento» e talvolta anche quali «Amministratori di Sistema» all'interno delle strutture organizzative in questione;
b) cosi' come riguarda, benche' con implicazioni diverse, senz'altro anche tutti gli altri operatori, i quali, a seconda dei casi saranno quanto meno qualificabili come «incaricati del trattamento» e «operatori di sistema».
Risulta dunque evidente l'esigenza di operare in maniera decisa, accurata e costante, in primo luogo, per ribaltare radicalmente la prospettiva attuale e far si' che la questione della sicurezza ed affidabilita' del patrimonio informativo della PA, sia assunta come una questione strategica e non settoriale, da inquadrare in maniera sistematica e integrata in collegamento con la realizzazione dell'amministrazione digitale e con la conseguente necessita' di revisionare l'intero sistema procedurale e documentale dell'Ente; in secondo luogo, e anche al fine di rendere realizzabile quanto appena enunciato, per innalzare il livello complessivo di consapevolezza in materia di sicurezza e protezione dei dati personali all'interno delle strutture organizzative della PA, affinche' il passaggio dall'Amministrazione tradizionale a quella digitale possa avvenire, oltre che nel pieno rispetto della legalita' e in maniera efficace, in un contesto di sicurezza sostanziale e di rispetto dei diritti fondamentali dei cittadini.

Sandro Di Minco

Avvocato, esperto e consulente in Diritto dell'informatica, Amministrazione digitale e Privacy; Professore J. Monnet di Diritto dell’informatica nell'Unione europea Titolare del Modulo europeo GLOBALISATION AND THE COMMUNITY APPROACH FOR AN INFORMATION SOCIETY. CURRENT GENERAL LEGAL FRAMEWORK e docente di Diritto comunitario e delle nuove tecnologie nell’Universita' degli studi di Camerino; Docente nel Master di Diritto dell'informatica e teoria e tecnica della normazione dell'Universita' degli Studi “La Sapienza” di Roma. (sandro.diminco@tin.it)

ANDIP: il Registro Pubblico delle Opposizioni rischia di fallire

2011-03-02T04:27:00.000-08:00

E' già da un mese che è operativo il Registro Pubblico delle Opposizioni voluto dal DPR n. 178/2010, ma nulla è cambiato, anzi la situazione è addirittura peggiorata.
L'ANDIP (Associazione Nazionale per la difesa della Privacy) riceve continue lamentele da parte di cittadini che pur risultando iscritti al Registro continuano a ricevere telefonate da parte di Call Center del tutto ignari di questa procedura in buona o in mala fede.
Sembrava la panacea di tutti i mali ed invece almeno in questa prima fase il regime dell'opt-out non sta realizzando i risultati sperati.
Tante sono le cause di questa debacle: innanzitutto molti cittadini ancora ignorano la procedura di iscrizione che risulta in maniera chiara anche sul sito http://www.registrodelleopposizioni.it/, ma il vero problema è che molti operatori telefonici, in particolar modo i call center non intendono iscriversi per ottenere un servizio che comporta costi piuttosto elevati.
Meglio, quindi, rischiare anche pesanti sanzioni in caso di inadempimento che iscriversi al registro con drammatiche conseguenze per i poveri cittadini che continuano ad essere infastiditi a tutte le ore.
Il dott. Michele Iaselli, Presidente dell'ANDIP, ha dichiarato che l'Associazione sta monitorando il fenomeno, ma nel caso la situazione continui a rimanere inalterata verranno intraprese serie iniziative di protesta in tutte le sedi istituzionali a tutela della cittadinanza.

L'Andip ha collaborato allo studio "European Privacy and Human Rights (EPHR) 2010"

2011-01-30T08:30:00.000-08:00

Privacy International, l'Electronic Privacy Information Center (EPIC) e il Center for Media and Communication Studies (CMC), hanno presentato di recente lo studio "European Privacy and Human Rights (EPHR) 2010", finanziato dal Programma speciale della Commissione europea "diritti fondamentali e cittadinanza ", 2007-2013.
EPHR indaga sul panorama europeo della privacy nazionale e delle leggi sulla protezione dei dati e dei regolamenti, nonché su ogni altra legge o fatto che abbia un impatto sulla privacy. Lo studio consiste in 33 rapporti mirati per ogni paese, una rassegna che presenta un' analisi comparativa del diritto e della politica in materia di privacy e una classifica relativa al livello di riservatezza di tutti i paesi esaminati.
Tra le principali conclusioni dello studio, si è convenuto sul fatto che l'Europa è leader mondiale nel diritto alla privacy, ma esistono serie preoccupazioni per il futuro. La direttiva sulla protezione dei dati è stata attuata negli Stati membri dell'UE ma molte contraddizioni restano. Troppi sono i settori dove viene garantita un'esenzione dal rispetto delle norme sulla privacy. La copertura della "sicurezza nazionale" è una costante di molte pratiche, riduce al minimo le garanzie di autorizzazione e impedisce un idoneo controllo di legittimità.
Privacy International ha condotto l'analisi contattando i maggiori esperti nazionali di ogni paese ed il dott. Michele Iaselli ha avuto il piacere di fornire la propria collaborazione come Presidente dell'Andip ed esperto nazionale.
Il rapporto per l'Italia può essere consultato all'indirizzo https://www.privacyinternational.org/article/italy-privacy-profile

Cassazione: illecita l'affissione in bacheca delle posizioni debitorie dei singoli condomini

2011-01-28T09:16:00.000-08:00

Ordinanza n. 186 del 4 gennaio 2011
(Sezione Seconda Civile, Presidente G. Settimj, Relatore A. Giusti)
http://www.cortedicassazione.it/Documenti/186_01_11.pdf
COMUNIONE E CONDOMINIO - DIFFUSIONE DEI DATI DI CONDOMINO MOROSO MEDIANTE AFFISSIONE NELLA BACHECA CONDOMINIALE - VIOLAZIONE DELLA "PRIVACY" – SUSSISTENZA
L'affissione nella bacheca dell'androne condominiale, da parte dell'amministratore, dell'informazione concernente le posizioni debitorie dei singoli condomini costituisce una indebita diffusione di dati, come tale illecita e fonte di responsabilità, ai sensi degli artt. 11 e 15 del d.lgs. n. 196 del 2003 (codice in materia di protezione dei dati personali).

Al via la prima mostra convegno ID Security sulla sicurezza dell'identità digitale

2011-01-23T06:33:00.000-08:00

L'edisef, casa editrice focalizzata in periodici specializzati, portali informativi e organizzazione di eventi e conferenze professionali a carattere espositivo, organizza la prima mostra convegno ID Security che si terrà a Roma presso l’Atahotel Villa Pamphili il prossimo 23 febbraio con il patrocinio dell'ANDIP e del Ministero dello Sviluppo Economico, del Consiglio Regionale del Lazio, di Abi Lab-Ossif, AICA, ANORC, Assintel, CAMPUS BIO-MEDICO, CATTID, Cittadini di Internet e del Foro Europeo.
La diffusione di Internet, l'utilizzo massiccio della posta elettronica, l’incremento delle transazioni telematiche e l'uso crescente di social network hanno favorito una massiccia circolazione in rete di dati personali, aumentandone esponenzialmente la vulnerabilità. L’evento ID Security nasce per approfondire le tematiche legate alla sicurezza dell’identità digitale e al contrasto dei crimini informatici: nel corso di una giornata di lavori, i massimi esperti del settore, provenienti dal mondo istituzionale e dal mondo IT, delineeranno il quadro attuale del fenomeno fornendo le indicazioni per le strategie del futuro e offrendo una panoramica delle iniziative avviate in materia di dematerializzazione.
Importanti personaggi parleranno alla conferenza, quali, Domenico Vulpiani, Dirigente Generale Polizia di Stato. Consigliere del Ministero dell’Interno per la sicurezza informatica. Il Consigliere Fausto Basile, Vice Capo Ufficio legislativo Ministro per la PA e per l'Innovazione. Raoul Chiesa, uno dei primi hacker d'Italia, si occupa professionalmente dal 1997 di sicurezza informatica ad alto livello, insieme ad un selezionato team di tecnici ed esperti, con collaborazioni in progetti di Security nazionali ed internazionali. Ospiti d’onore saranno il Professor Avv. Domenico Condello, Giudice Costituzionale aggregato, Avvocato del Foro di Roma, Consigliere dell'Ordine degli Avvocati di Roma, Docente di Informatica Giuridica e Diritto dell'Informazione presso l'Università di Urbino e l'Università G. Marconi di Roma, Cosimo Comella, Componente dell'Autorità Garante per la protezione dei dati personali.
Nel corso delle due sessioni plenarie - una mattutina e una pomeridiana – verranno approfonditi i temi riconducibili a quattro distinte aree tematiche: Sicurezza della Identità Digitale, Posta Elettronica Certificata, Dematerializzazione nella PA, Sicurezza e Privacy. I partecipanti troveranno nell'ampia area espositiva della conferenza, un luogo ideale di incontro e confronto con manager e professionisti, per conoscere da vicino le migliori tecnologie disponibili sul mercato e le principali iniziative adottate.
L’evento costituirà l’occasione per creare un indispensabile collegamento fra tutti gli attori coinvolti: istituzioni, banche, assicurazioni, authorities, It security vendor, social network, associazioni dei consumatori e ogni altra realtà attiva nell’e-commerce.
Nel corso dell’evento verrà ufficialmente presentato il volume “La posta Elettronica – Tecnica & Best Practice” di Massimo F.Penco un libro che si pone come una guida, dedicata a tutti coloro che ogni giorno scambiano mail. Un modo per approfondire tutte quelle tematiche e “lati oscuri”, che si celano dietro questo mezzo di comunicazione. Nel volume, con la prefazione di Andrea Lisi, vengono affrontati, in modo chiaro ed intuitivo, anche aspetti più complessi legati alla sicurezza dei messaggi. Una serie di approfondimenti, curati sotto ogni forma, che vanno ad evidenziare i sistemi di protezione del messaggio, in considerazione di come lo stesso messaggio di posta elettronica è costituito. Sicurezza, dunque, che deve passare per tutti quei sistemi che sono realmente in grado di preservare l’integrità dei dati trasmessi. Proprio per questo viene dedicato un apposito capitolo ai certificati S/MIME, spiegandone caratteristiche e modalità di utilizzo (con esempi pratici e diretti). E mettendoli in contrapposizione con i sistemi PEC e CEC PAC, per i quali viene fatta un’analisi critica e concreta; prendendo a riferimento tanto il percorso legislativo che ha caratterizzato la Posta Elettronica Certificata, quanto il suo reale funzionamento. L’analisi di Penco continua poi curando gli aspetti più professionali legati al mondo delle mail, prendendo in considerazione sistemi e condizioni necessarie per realizzare un ambiente di comunicazione sicuro in azienda. Il tutto focalizzando l’attenzione anche sulle metodologie di crimine informatico che sfruttano l’e-mail, passando dal phishing allo spamming, fino ad arrivare al cyber-stalking. Un libro da intendersi come punto di riferimento sul mondo della posta elettronica e che si conclude con un’interessante riflessione sui social network. Sarà possibile incontrare l’autore.
Per maggiori informazioni: http://www.idsecurity.it/

Parte il Registro Pubblico delle Opposizioni: l'ANDIP organizza un servizio informativo

2011-01-16T01:34:00.000-08:00

E' ormai operativo il registro delle opposizioni previsto dal DPR n. 178/2010 ed all'indirizzo www.registrodelleopposizioni.it è già possibile visualizzare il relativo sito istituzionale.
Quindi dal 31 gennaio 2011 gli intestatari della linea telefonica potranno iscriversi al Registro delle Opposizioni, mediante cinque modalità: modulo elettronico sul sito web, posta elettronica, telefonata, lettera raccomandata e fax.
Ma vediamo più da vicino di cosa stiamo parlando.
In particolare il Registro Pubblico delle Opposizioni è un nuovo servizio concepito a tutela del cittadino, il cui numero è presente negli elenchi telefonici pubblici, che decide di non voler più ricevere telefonate per scopi commerciali o di ricerche di mercato e, in pari tempo, è uno strumento per rendere più competitivo, dinamico e trasparente il mercato tra gli Operatori di marketing telefonico.
Tramite il Registro Pubblico delle Opposizioni si intende raggiungere un corretto equilibrio tra le esigenze dei cittadini che hanno scelto di non ricevere più telefonate commerciali e le esigenze delle imprese che in uno scenario di maggior ordine e trasparenza potranno utilizzare gli strumenti del telemarketing.
La realizzazione e gestione del Registro, istituito con il DPR 178/2010, è stata affidata dal Ministero dello Sviluppo Economico – Dipartimento per le Comunicazioni alla Fondazione Ugo Bordoni attraverso un contratto di servizio che ne sottolinea la natura di ente terzo, indipendente, impegnato in attività di pubblico interesse.
L'abbonato è il cittadino, il cui numero telefonico è presente negli elenchi telefonici pubblici. L’abbonato potrà iscriversi al Registro se non desidera più essere contattato da Operatori di telemarketing, in caso contrario varrà il principio del “silenzio assenso”.
L'operatore è qualunque soggetto, persona fisica o giuridica, che intende avviare, mediante l’impiego del telefono, attività a scopo commerciale, promozionale o ricerche di mercato.  L’entrata in vigore del Registro Pubblico delle Opposizioni obbliga l’Operatore a registrarsi al sistema e a comunicare la lista dei numeri che intende contattare, pena incorrere nelle sanzioni previste dal Codice della Privacy.
Come ho già avuto modo di dire in passato sono molto perplesso sull'efficacia di questo sistema di opt-out in un paese come il nostro poco abituato a questi procedimenti di stampo anglosassone. Ma il Registro ormai è realtà ed a questo punto diventa importante fornire chiarimenti alla cittadinanza sul corretto uso dello stesso.
Per questo motivo l'ANDIP ha organizzato un servizio informativo specifico ai numeri 0813799948 (ore 15.00-20.00) ed al n. 3935403198 (tutta la giornata). Sarà possibile contattare l'associazione anche all'indirizzo di posta elettronica difesaprivacy@yahoo.it.

Garante Privacy: regole più chiare per l'informazione giuridica

2011-01-04T02:57:00.000-08:00

Regole più chiare per la pubblicazione di sentenze e provvedimenti giurisdizionali su riviste giuridiche, cd rom, dvd, siti istituzionali e maggiori tutele per i minori coinvolti in vicende processuali. Il Garante per la privacy, sulla base di segnalazioni e quesiti ricevuti e dopo ampia consultazione con gli operatori e gli editori del settore, ha adottato specifiche Linee guida sull'informazione giuridica con deliberazione del 02.12.2010. Le Linee guida, in via di pubblicazione sulla Gazzetta Ufficiale, non si applicano all'attivita' giornalistica e non incidono sulle norme processuali (non riguardano quindi gli originali delle sentenze e degli altri provvedimenti giurisdizionali, ne' il loro deposito nelle cancellerie giudiziarie).
Questi in sintesi i punti piu' rilevanti del provvedimento:
- Devono essere oscurati, sempre e in ogni caso, i dati dei minori e delle parti nei procedimenti che hanno ad oggetto i rapporti di famiglia e lo stato delle persone (ad es. controversie in materia di matrimonio, filiazione, adozione, abusi familiari, richieste di rettificazione di sesso), anche quando il giudizio si riferisca ad aspetti patrimoniali o economici.

- Devono, inoltre, essere omessi i dati relativi ad altre persone dai quali si possa desumere, anche indirettamente, l'identita' dei soggetti tutelati. I dati vanno oscurati non solo nei provvedimenti riprodotti per esteso, ma anche in quelli diffusi sotto forma di massima o nell'ambito di un elenco.

- Oltre a questa forma di tutela assoluta, in tutti gli altri casi chiunque sia interessato (le parti in un giudizio civile o l'imputato in un processo penale, ma anche un testimone o un consulente) puo' rivolgere un'istanza al giudice, prima della conclusione del processo, con la quale chiede che, in caso di riproduzione del provvedimento per finalita' di informazione giuridica, siano oscurati le generalita' e ogni altro elemento in grado di identificarlo.

Fonte: http://www.altalex.com/index.php?idnot=12652

Pordenone: condannata ASL per illegittima comunicazione di dati sensibili

2010-12-01T07:45:00.000-08:00

Con una sentenza depositata il 16 aprile 2010 il Tribunale di Pordenone ha condannato un' A.S.L. al risarcimento del danno derivante da illegittima comunicazione di dati sensibili.
Nel corso di un ricovero presso la SOC Ostetricia e Ginecologia, una paziente aveva chiesto ai personale di non rivelare ai propri familiari e conoscenti il proprio stato di ex tossicodipendente in terapia con metadone, ma nonostante detta richiesta, durante una visita da parte di una sorella le veniva chiesto in presenza di quest'ultima dalla caposala quando voleva che le portasse il metadone.
Detto fatto, ovviamente, aveva svelato alla famiglia il suo stato di tossicodipendenza e per tale motivo, quest'ultima aveva cessato i rapporti con la paziente al punto tale che il giorno del suo matrimonio nessuno dei suoi familiari, a parte una delle sorelle, si era recato alla cerimonia.
Il giudice, nel caso di specie, ha ritenuto di essere in presenza di comunicazione di dati non solo al di fuori delle ipotesi consentite dal Codice della privacy, ma addirittura in presenza di un espresso divieto della ricorrente.
Peraltro, lo stesso codice della privacy all'art. 83 c. 1 e 2 lett. c) e d) impone l'adozione di misure minime di sicurezza per prevenire durante i colloqui l'indebita conoscenza da parte di terzi di informazioni idonee a rivelare lo stato di salute e ad evitare che le prestazioni sanitarie avvengano in situazioni di promiscuità derivanti dalle modalità o dai locali prescelti. Dette condotte sono sanzionate anche dal codice deontologico medico e degli infermieri.
Il giudice ha quindi accertato la condotta illegittima dell'Azienda Ospedaliera che
è tenuta al risarcimento del danno ai sensi dell'art. 2050 cc. come previsto dall'art. 15 Codice della privacy.
Il danno è stato determinato nel suo complesso, facendo ricorso ai criteri equitativi di cui all'art. 1226 cc, attesa la natura degli interessi lesi di tipo squisitamente affettivo, in euro 15.000,00.

E-health sull'ipad

2010-11-27T08:58:00.000-08:00

L'ospedale Niguarda di Milano ha presentato due validi progetti di telemedicina realizzati grazie al contributo della Regione Lombardia. Si chiamano Helthpresence e i-Clinic.
Il primo, sviluppato insieme con Cisco, è un sistema che favorisce la prevenzione e che permette a un medico di visitare un paziente a distanza grazie a un sistema di videoconferenza ad alta definizione.
Con il secondo, invece, grazie all'iPad i medici potranno accedere dal letto del paziente (ma anche da qualsiasi altro punto dell'ospedale, per esempio in ambulatorio) a tutti i dati di un malato, dagli esami diagnostici alle immagini radiologiche e delle Tac. La soluzione, elaborata da Connexxa, garantisce un elevato grado di sicurezza, dicono i suoi realizzatori, grazie all'utilizzo della tecnologia Rfid, basata sugli impulsi a radiofrequenza
Brillanti soluzioni che sono un chiaro esempio di come le nuove tecnologie possano essere utili anche in campo sanitario. Naturalmente, c'è sempre il problema privacy dietro l'angolo, ed ogni qualvolta il dato sanitario viaggia on line o ha il supporto di tecnologie particolarmente innovative come la Rfid, è indispensabile prevedere tutte le possibili misure di sicurezza. Questo principio già fondamento del codice per la protezione dei dati personali è stato più volte ribadito dall'Autorità Garante nei recenti provvedimenti generali sui referti on line e sul fascicolo sanitario elettronico.

Condannato per violazione della privacy ex assessore

2010-11-27T08:53:00.000-08:00

La privacy continua a colpire. Difatti la terza sezione penale del Tribunale di Catania ha condannato a otto mesi di reclusione per acquisizione e diffusione di dati sensibili, pena sospesa, l’ex assessore alle Politiche sociali del Comune di Catania, Giuseppe Zappalà, tecnico allora in quota a Forza Italia. L’imputato è stato invece assolto dall’accusa di peculato perché il fatto non sussiste.
Secondo le indagini svolte da carabinieri del Nas, durante le elezioni regionali dell’aprile del 2008, nelle quali Zappalà è stato candidato ma non eletto per il centrodestra, su carta intestata dell’assessorato avrebbe inviato a 41 famiglie una lettera che annunciava la trasmissione in banca di mandati di pagamento per la loro attività di affido di minorenni assieme a un invito organizzato, a scopo elettorale, in un locale per la ristorazione di Catania. Per fare questo, sostiene la Procura, avrebbe avuto accesso in maniera illegale all’elenco delle famiglie affidatarie incaricate dal Tribunale per i minorenni. Il sostituto Lucio Setola, che aveva chiesto la condanna di Zappalà a due anni di reclusione, ha annunciato ricorso avverso alla sentenza.
Indubbiamente la vicenda è molto delicata ed investe in pieno dati sensibili come quelli di minori. Sarebbe però il caso di leggere bene la sentenza, poiché sembra molto strano che nel caso di specie possa essere stato condannato il solo assessore e non anche tutti coloro che avrebbero dovuto gestire in maniera corretta questi dati. Sappiamo bene che la normativa sulla privacy in materia è molto rigida e prevede misure di sicurezza severe, specie quando oggetto del trattamento sono i dati sensibili.
Come ha fatto l'assessore ad avere accesso a questi dati? Possibile che non vi erano altri responsabili ed incaricati del trattamento?

Fonte: http://corrieredelmezzogiorno.corriere.it/

ISH – Information Security Hospital Conference a Roma

2010-11-21T02:38:00.000-08:00

Il 30 novembre a Roma si terrà la prima edizione della mostra-convegno ISH – Information Security Hospital Conference.
L’evento affronta le problematiche di sicurezza nel trattamento del dato informatico sanitario derivanti da una informatizzazione sempre più penetrante nella gestione delle strutture ospedaliero-sanitarie.
Nel comparto sanitario le piattaforme tecnologiche, le reti e le infrastrutture, i processi e i servizi sono in continua evoluzione grazie all’innovazione in grado di permeare sempre più rapidamente i modelli organizzativi. All’impiego diffuso delle nuove tecnologie corrisponde però un incremento di rischi e minacce connessi alla stessa gestione telematica dei flussi di dati in un ambito complesso quale quello sanitario: l’immaterialità delle informazioni, la facilità con cui possono essere consultate, duplicate, modificate o addirittura distrutte crea situazioni in cui, nonostante le misure di protezione, si apre una serie di nuovi interrogativi etici e giuridici. In questo contesto nasce il convegno IHS che si propone di offrire una panoramica dello stato dell’arte della sicurezza nei sistemi informativi sanitari.
Il convegno è organizzato dalla casa editrice Edisef ed il programma dell'evento può essere consultato all'indirizzo http://www.ehealthforum.it/eventi/98/2932.
L'ANDIP (Associazione Nazionale per la Difesa della Privacy) figura tra i patrocinatori di questo importante evento.

Dati personali a rischio, i principali pericoli sono i malware

2010-11-15T12:18:00.000-08:00

Da cosa occorre difendersi per evitare di contribuire (da vittime, s'intende) alla crescita del mercano nero delle informazioni digitali rubate? Un fenomeno, questa la descrizione sommaria che ne ha dato Antonio Forzieri, Security Evangelist e Principal Consultant della divisione Global Security Services di Symantec – "altamente strutturato anche sotto il profilo delle regole di ingaggio commerciali che lo sostengono". Symantec in tal senso ha le idee molto chiare: il primo responsabile dei furti di identità sono i malware che colpiscono i computer (aziendali in particolare) con scarse protezioni. Gli attacchi di questo genere sono cresciuti del 71% rispetto al 2008 e il 78% dei codici maligni (virus, trojan e simili) ha funzionalità di esportazione dei dati contenuti nella memoria dei pc. "Il primo virus della storia – ha così reso esplicito il problema Forzieri – si chiamava Brain e nacque per mano di un gruppo di sviluppatori pakistani che stavano scrivendo un'applicazione per il settore medicale. Era innocuo, eravamo nel 1986. Oggi ci sono software maligni che in pochi secondi creano virus che, tramite l'indirizzo Ip della macchina oggetto di attacco, permettono agli hacker di di trasferire cartelle di documenti e file, rilavare le password, spiare da remoto le attività dell'utente on e off line ed eseguire comandi". Con un'aggravante che non può passare inosservata: la reperibilità di software pericolosi è sempre maggiore, praticamente chiunque può accedervi e usarli per i propri scopi. Certo non tutti sono in grado di rubare con un solo attacco 100 milioni di carte di credito ma è chiaro che più soggetti hanno a disposizione strumenti di offesa e più gli attacchi sono sono destinati ad aumentare.

Come i malware vengono distribuiti via Web è noto e Symantec conferma la tendenza: da portali compromessi, con file Pdf o Flash, tramite file eseguibili (i ".exe") o link distribuiti via
Mail e infine attraverso le vulnerabilità di browser ed altri applicativi e dispositivi di memorizzazione Usb. Fenomeno quest'ultimo in forte ascesa (il malware Stuxnet, salito alla ribalta nel 2009, apparteneva a questa categoria) così come sono in aumento gli attacchi che Forzieri ha definito di "ingegneria sociale", e cioè attacchi sempre più sofisticati che vanno a sfruttare la debolezza informatica dell'utente, che viene per esempio indotto ad acquistare in Rete software di sicurezza finti (con relativo furto del numero di carta di credito) oppure portato in modo inconsapevole su siti infetti attraverso link che i malware "pubblicano" nella lista dei risultati sui motori di ricerca intercettando "query" effettuate su Google, Bing e altri siti. Ma se il 60% dei dati aziendali rubati è da attribuire agli hacker che operano spesso su commissione, è anche vero che gli errori umani sono un'altra causa importante del fenomeno.
Lo smarrimento di un notebook o di una chiavetta può essere letale, se non si ha una copia dei dati, quanto la mancanza di un firewall o di un sistema antivirus. Nel 2009 un'azienda su due ha perso dati contenuti su pendrive e il totale di chiavette Usb vendute nel mondo l'anno passato ha superato quota 250 milioni; i pc portabili rubati o dimenticati negli aeroporti sono centinaia di migliaia ogni anno. Eppoi vi sono i comportamenti nocivi e disattenti degli stessi dipendenti, che in alcuni casi vestono i panni dei responsabili del furto e della sottrazione di informazioni confidenziali. I pericoli sono quindi reali, e il mercato nero delle identità digitali un fenomeno altrettanto concreto. La soluzione, dice Symantec, è una sola ed è quella di proteggersi con soluzioni adeguate. L'Italia, come ha osservato però ironicamente Forzieri, non brilla di certo per questa virtù: "siamo il secondo Paese in Europa per numero di pc infetti da bootnet pur essendo solo quarti nella classifica della penetrazione della banda larga. Un bel risultato, non c'è che dire".

http://www.ilsole24ore.com/art/tecnologie/2010-11-15/dati-personali-rischio-principali-121020.shtml?uuid=AYUzHrjC

Microsoft: Kinect non viola la privacy

2010-11-15T12:16:00.000-08:00

Microsoft ha smentito le voci che sostenevano che la periferica Kinect può essere usata per raccogliere informazioni degli utenti per scopi pubblicitari. Le voci erano circolate subito dopo alcune dichiarazioni rilasciate da Dennis Durkin, COO (Chief Operating Officer) di Microsoft Xbox, durante una conferenza stampa.

Secondo il dirigente di Microsoft Kinect è in grado di riconoscere quante persone si trovano in una stanza quando viene mostrato uno spot pubblicitario e di individuare la squadra per la quale tifano basandosi sui colori dei vestiti indossati. Questo consentirebbe di personalizzare i contenuti proposti in base alle preferenze dei giocatori. Tale raccolta di dati avrebbe un senso soprattutto se utilizzata nel mercato americano, laddove gli utenti gold di Xbox Live possono avere accesso al canale TV sportivo ESPN, per individuare le preferenze dei giocatori.

Microsoft ha subito categoricamente smentito che immagini o informazioni raccolte da Kinect possano essere utilizzate per scopi pubblicitari. L’azienda inoltre assicura di aver adottato efficaci misure di protezione per assicurare la massima protezione della privacy dei giocatori.

http://news.wintricks.it/web/hardware-telefonia/32822/microsoft-kinect-non-viola-privacy/

Privacy europea verso una riforma a tecnologia neutra

2010-11-15T12:14:00.001-08:00

La riservatezza dei dati non è una cosa astratta e necessita di un nuovo framework: così il Garante europeo della protezione dei dati, che ha avanzato le proprie proposte alla Commissione.
L'European Data Protection Supervisor, ossia il Garante europeo della protezione dei dati, l'ente retto da Peter Hustinx e che ha come garante aggiunto l'italiano Giovanni Buttarelli, ha espresso a Bruxelles la propria posizione sullo stato della privacy e su quello che dovrà essere il nuovo framework abilitante.
L'Edps insiste sulla necessità di una fattiva e forte protezione dei dati, allineandosi alle recenti espressioni in merito della Commissione europea.
Definendo la privacy una cosa lungi dall'essere astratta, ma eminentemente pratica e quotidiana, l'Edps ha fornito la propria visione del nuovo framework per l'attuazione di una società europea dell'informazione ottemperante i principi della privacy.
Vanno in primo luogo armonizzate le legislazioni nazionali in merito, perseguendo un approccio tecnologico neutro, capace di includere i principi della privacy sin nella fase di disegno del sistema.
Da introdurre nel framework anche un sistema obbligatorio di notifica delle infrazioni per tutti i settori sensibili. Andrebbero inclusi pure elementi afferenti l'ordine pubblico e la giustizia.
Per arrivare a tanto è comunque necessario che le regole attualmente vigenti vadano applicate senza indugio.
L'Edps non dimentica di sottolineare il proprio ruolo di advisor nel processo legislativo europeo e di garante della legalità delle operazioni riguardanti i dati in seno ai processi amministrativi europei.
http://www.europarlamento24.eu/privacy-europea-verso-una-riforma-a-tecnologia-neutra/0,1254,76_ART_1030,00.html

Fisco/ Alla Camera convegno su banche dati e anagrafe

2010-11-15T12:11:00.000-08:00

Il Convegno - prosegue la nota della Camera - si è aperto con l'intervento del presidente della Commissione parlamentare di vigilanza sull'anagrafe tributaria Maurizio Leo. Sono successivamente intervenuti il capogruppo del Partito democratico presso la Commissione parlamentare di vigilanza sull'anagrafe tributaria Giampaolo Fogliardi, il direttore generale delle finanze Fabrizia Lapecorella, il direttore dell'Agenzia delle entrate Attilio Befera, il direttore dell'Agenzia del territorio Gabriella Alemanno, il dirigente dell'Associazione nazionale dei comuni italiani Andrea Ferri, l'amministratore delegato di Ancitel S.p.A, Giuseppe Paolo Teti, il vicepresidente della Commissione parlamentare di vigilanza sull'anagrafe tributaria Lucio D'Ubaldo, l'amministratore delegato della Sogei Marco Bonamico e il presidente dell'Autorità garante per la tutela dei dati personali Francesco Pizzetti.

"Il federalismo fiscale può positivamente incidere sul bilancio pubblico solo ove, attraverso il pieno coinvolgimento dei comuni nelle attività di accertamento, si favorisca un'azione ancora più marcata di contrasto all'evasione fiscale - ha rilevato il presidente Leo - perché ciò avvenga però, è necessario realizzare una banca dati unica per la pubblica amministrazione, che raccolga tutti i dati fiscalmente rilevanti. Solo in questo modo gli enti locali potranno essere messi nelle reali condizioni di individuare coloro che hanno un alto tenore di vita, ma che non partecipano alla spesa pubblica in misura proporzionata alle proprie disponibilità".

http://notizie.virgilio.it/notizie/politica/2010/11_novembre/15/fisco_alla_camera_convegno_su_banche_dati_e_anagrafe_-2-,27018109.html

Privacy Day: un grande successo

2010-11-14T08:29:00.000-08:00

Nella splendida cornice del Park Hotel di Arezzo si è svolta il 12 novembre la prima edizione del Privacy Day organizzata da Federprivacy con la collaborazione dell'ANDIP (Associazione Nazionale per la Difesa della Privacy) e dell'IIP (Istituto Italiano Privacy). La manifestazione ha visto la partecipazione di oltre 300 operatori, giuristi, tecnici impegnati nel delicato settore della protezione dei dati personali.
Un ottimo successo dovuto anche all' impeccabile organizzazione dell'evento che ha avuto come relatori i maggiori studiosi italiani con il fondamentale contributo di rilevanza istituzionale del dott. Giuseppe Chiaravalloti, vicepresidente dell'Autorità Garante e del dott. Giovanni Buttarelli, Garante europeo aggiunto che da Bruxelles, in contatto telefonico, ha aggiornato la platea sulle ultima novità di rilievo internazionale, quali la prossima modifica della direttiva 95/46/CE con inevitabili contraccolpi sulle legislazioni nazionali.
Sono stati affrontati nel corso del convegno temi di particolare delicatezza come la natura costituzionale del diritto alla protezione dei dati personali, l'evoluzione del concetto di privacy, i principali adempimenti, la videosorveglianza, il furto di identità personale, il rapporto fra privacy e attività lavorativa, l'impatto delle nuove tecnologie e le conseguenze nel campo della riservatezza, le maggiori problematiche sorte nel settore delle investigazioni difensive.
Il tutto è stato condito dall'inarrestabile umorismo di Pippo Franco che ha trattenuto il pubblico nel corso della giornata con gag esilaranti.

Il Presidente dell'ANDIP Michele Iaselli ha partecipato all'evento con una relazione sul diritto fondamentale alla riservatezza del cittadino.

UE in difesa della privacy, norme più dure dal 2011

2010-11-11T13:29:00.000-08:00

L’Unione Europa avvisa Facebook e soci, annunciando per il prossimo anno la promulagazione di una serie di leggi a tutela della privacy per regolamentare il controllo dei dati personali da parte dei social network. Da Bruxelles promosso anche il diritto all’oblio, ovvero la cancellazione definitiva dei propri profili online.
L’intervento dell’UE sarà dunque volto a garantire la corretta circolazione delle informazioni, sopratutto quelle personali, che costituiscono il bene primario della rete.
Vivian Reding, vicepresidente della Commissione Ue e commissario alla Giustizia e Libertà, sta preparando la proposta per la revisione della direttiva sulla privacy. Tra i provvedimenti previsti dalla Reding risalta il diritto all’oblio, cioè la possibilità di cancellare con facilità e in maniera totale i profili creati dagli utenti per accedere a servizi come Facebook e altri.
La procedura dovrà essere accessibile a tutti, garantendo l’eliminazione di ogni traccia di dati riguardanti una persona. Un intervento del genere è fondamentale per evitare che alcuni siti utilizzino indebitamente le informazioni sensibili degli utenti a scopo pubblicitario o commerciale, se non addirittura per furti di identità.

http://tecnologia.guidone.it/2010/11/05/ue-in-difesa-della-privacy-norme-piu-dure-dal-2011/

Privacy e videosorveglianza : presentate le regole per i Comuni

2010-11-11T13:15:00.001-08:00

Le linee Guida per i Comuni in materia di videosorveglianza saranno presentate l'11 novembre nell'ambito della XXVII Assemblea annuale dell'Anci, in programma a Padova dal 10 al 13 novembre presso il quartiere fieristico. A spiegare il documento, Francesco Pizzetti, Presidente dell'Autorità Garante per la privacy, e Sergio Chiamparino, Sindaco di Torino e presidente dell'Anci.
Le linee guida - messe a punto dall'Anci a seguito del nuovo provvedimento generale in materia di videosorveglianza adottato dal Garante privacy nell'aprile scorso - forniscono indicazioni sulle specifiche regole che le amministrazioni comunali devono rispettare per l'installazione e la corretta gestione di telecamere e sistemi di controllo video anche a fini di sicurezza urbana.
Il provvedimento del Garante spiegava i principi cardine cui si deve ispirare il trattamento dei dati in videosorveglianza, rilevando che la raccolta, la registrazione, la conservazione e, in generale, l'utilizzo di immagini configura un trattamento di dati personali (art. 4, comma 1, lett. b), del Codice). È considerato dato personale, infatti, qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione.
Un'analisi non esaustiva delle principali applicazioni - notava il documento del Garante - dimostra che la videosorveglianza è utilizzata a fini molteplici, alcuni dei quali possono essere raggruppati nei seguenti ambiti generali:
1) protezione e incolumità degli individui, ivi ricompresi i profili attinenti alla sicurezza urbana, all'ordine e sicurezza pubblica, alla prevenzione, accertamento o repressione dei reati svolti dai soggetti pubblici, alla razionalizzazione e miglioramento dei servizi al pubblico volti anche ad accrescere la sicurezza degli utenti, nel quadro delle competenze ad essi attribuite dalla legge;
2) protezione della proprietà;
3) rilevazione, prevenzione e controllo delle infrazioni svolti dai soggetti pubblici, nel quadro delle competenze ad essi attribuite dalla legge;
4) acquisizione di prove.
Ma "La necessità di garantire, in particolare, un livello elevato di tutela dei diritti e delle libertà fondamentali rispetto al trattamento dei dati personali consente la possibilità di utilizzare sistemi di videosorveglianza, purché ciò non determini un'ingerenza ingiustificata nei diritti e nelle libertà fondamentali degli interessati. Naturalmente l'installazione di sistemi di rilevazione delle immagini deve avvenire nel rispetto, oltre che della disciplina in materia di protezione dei dati personali, anche delle altre disposizioni dell'ordinamento applicabili, quali ad es. le vigenti norme dell'ordinamento civile e penale in materia di interferenze illecite nella vita privata(5), sul controllo a distanza dei lavoratori(6), in materia di sicurezza presso stadi e impianti sportivi(7), o con riferimento a musei, biblioteche statali e archivi di Stato(8), in relazione ad impianti di ripresa sulle navi da passeggeri adibite a viaggi nazionali(9) e, ancora, nell'ambito dei porti, delle stazioni ferroviarie, delle stazioni delle ferrovie metropolitane e nell'ambito delle linee di trasporto urbano(10)".
In tale quadro, secondo il Garante, e' pertanto necessario che:
a) il trattamento dei dati attraverso sistemi di videosorveglianza sia fondato su uno dei presupposti di liceità che il Codice prevede espressamente per i soggetti pubblici da un lato e, dall'altro, per soggetti privati ed enti pubblici economici (es. adempimento ad un obbligo di legge). Si tratta di presupposti operanti in settori diversi e che sono pertanto richiamati separatamente nei successivi paragrafi del presente provvedimento relativi, rispettivamente, all'ambito pubblico e a quello privato;
b) ciascun sistema informativo ed il relativo programma informatico vengano conformati già in origine in modo da non utilizzare dati relativi a persone identificabili quando le finalità del trattamento possono essere realizzate impiegando solo dati anonimi (es., configurando il programma informatico in modo da consentire, per monitorare il traffico, solo riprese generali che escludano la possibilità di ingrandire le immagini e rendere identificabili le persone). Lo impone il principio di necessità, il quale comporta un obbligo di attenta configurazione di sistemi informativi e di programmi informatici per ridurre al minimo l'utilizzazione di dati personali (art. 3 del Codice);
c) l'attività di videosorveglianza venga effettuata nel rispetto del c.d. principio di proporzionalità nella scelta delle modalità di ripresa e dislocazione (es. tramite telecamere fisse o brandeggiabili, dotate o meno di zoom), nonché nelle varie fasi del trattamento che deve comportare, comunque, un trattamento di dati pertinenti e non eccedenti rispetto alle finalità perseguite.

http://www.osservatoriosullalegalita.org/10/note/11nov1/1001privacy.htm

Online l'Albo Pretorio del Comune di Milano

2010-11-11T13:13:00.000-08:00

I documenti pubblicati saranno in formato PDF, quindi di facile consultazione, scaricabili e stampabili; recheranno, inoltre, una firma digitale che ne garantirà la conformità all’originale cartaceo
Milano, 11 novembre 2010 – “Oggi presentiamo un servizio che, non soltanto soddisfa quei criteri di trasparenza e accessibilità promossi dal Comune ma, al tempo stesso, risponde alle più recenti disposizioni emanate dal Governo in materia di trasparenza della Pubblica Amministrazione. Un altro passo avanti verso la Milano del futuro che va, ogni giorno, più incontro ai bisogni dei suoi cittadini con nuovi servizi, nuove procedure semplificate”. Con queste parole il Sindaco Letizia Moratti, insieme con l’assessore alla Qualità, Servizi al Cittadino, Semplificazione e Servizi Civici Stefano Pillitteri, è intervenuta, in sala dell’Orologio, a Palazzo Marino, alla presentazione dell’avvio del processo di pubblicazione on-line dell’Albo pretorio.
Sono più di 19mila gli atti esposti nel corso del 2009. Da oggi più trasparenza e risparmio di carta e risorse, grazie all’avvio della pubblicazione on line. In attuazione quindi dell’art. 32 della legge n. 69/2009 che dispone l’obbligo di pubblicare nei propri siti informatici gli atti e i provvedimenti amministrativi che devono essere portati a conoscenza del pubblico (pubblicità legale) per poter avere effetto, il Comune di Milano annuncia l’avvio del processo di pubblicazione sull’Albo Pretorio on line che, in forma sperimentale, sarà raggiungibile direttamente dalla Home Page del sito istituzionale (www.comune.milano.it) senza necessità di alcuna forma di log-in o identificazione dell’utente, al fine di consentire la massima trasparenza e accessibilità, in armonia con lo spirito della normativa a riguardo.

“Gli atti pubblicati sull’Albo Pretorio – ha proseguito il Sindaco – potranno essere consultati e scaricati direttamente dal sito istituzionale del Comune di Milano e grazie alla firma digitale avranno valore legale. Un servizio che è l’ennesimo risultato dell’azione di innovazione e semplificazione dettata dall’Amministrazione: dal servizio di posta certificata alla gestione della Tarsu, dai certificati anagrafici alla gestione delle multe, alla prenotazione dei musei. E ancora penso all’attivazione del Portale per le imprese e alla DIAP online: due strumenti che, grazie all’utilizzo delle tecnologie informatiche, puntano a rendere più immediato, accessibile e veloce il rapporto delle imprese con la Pubblica Amministrazione. Penso alla collaborazione con il Tribunale e il Ministero della Giustizia per la riorganizzazione degli uffici giudiziari e l’informatizzazione dei processi civili in corso a Milano. Esempi di una politica che punta costantemente a rinnovarsi, che parte sempre dalla centralità della persona e dei suoi bisogni. Una macchina amministrativa a misura di cittadino, una burocrazia amica, di supporto ai milanesi nel lavoro e nella vita quotidiana”.

“Quello di oggi è per Milano un traguardo di grande rilievo – ha dichiarato l’assessore ai Servizi civici e Semplificazione Stefano Pillitteri –. L’Albo Pretorio on line è un’ulteriore dimostrazione che il Comune, e il mio Assessorato, hanno fatto e fanno della semplificazione e dell’efficienza un obiettivo primario. La realizzazione di questa modalità di pubblicazione degli atti – ha aggiunto Pillitteri - costituisce infatti un importante passo avanti nel segno della trasparenza, della razionalizzazione della risorse e del risparmio nonché della facilitazione dei rapporti tra cittadino e Pubblica Amministrazione”.

La sperimentazione si concluderà il 31 dicembre e consentirà di mettere a punto l’organizzazione che si occuperà della gestione e pubblicazione dei documenti. Dal 1º gennaio 2011, poi, le pubblicazioni effettuate in forma cartacea non avranno più effetto di pubblicità legale, ferma restando la possibilità per le amministrazioni e gli enti pubblici, in via integrativa, di effettuare la pubblicità sui quotidiani a scopo di maggiore diffusione.

Il flusso del procedimento di pubblicazione informatizzato replicherà, nella sostanza giuridica, quello attualmente in vigore per la pubblicazione fisica, tenendo conto delle opportune e necessarie modificazioni organizzative. L’applicazione informatica dell’Albo Pretorio On Line consentirà di poter attivare accessi distribuiti presso qualsiasi unità organizzativa, oltre che presso l’Ufficio Albo Pretorio del Settore Servizi al Cittadino.

I documenti pubblicati saranno in formato PDF, quindi di facile consultazione, scaricabili e stampabili; recheranno, inoltre, una firma digitale che ne garantirà la conformità all’originale cartaceo. Al termine del periodo di pubblicazione, i documenti verranno eliminati dalla vista pubblica e verranno archiviati in un repository documentale, insieme all’attestazione – sempre firmata digitalmente – di avvenuta pubblicazione con l’indicazione del relativo periodo.

Ovviamente l’intero processo di pubblicazione on line degli atti comunali e delle pubblicazioni di matrimonio rispetterà rigorosamente le indicazioni del Garante della Privacy.

Resoconto delle pubblicazioni effettuate all'Albo Pretorio nel corso del 2009. 19150 atti totali scorporati in alcune delle seguenti macro categorie:
- 3915 delibere di Giunta
- 56 delibere di Consiglio Comunale
- 6025 determine
- 1048 delibere Consigli di Zona
- 471 convocazioni di Commissioni consiliari
- circa 400 tra avvisi di gara ed esiti
- 150 graduatorie di varia natura
- 80 tra ordinanze e decreti di competenza del Sindaco
- 300 tra bandi vari, bandi pubblici e avvisi pubblici
- 62 manifesti
- 2953 esposizione busta art. 140 (notifiche)
- 212 istanze cambiamento del nome di competenza delle Prefetture
- 1992 verbali di irreperibilità
- 5 sentenze provenienti dalla Procura della Repubblica.
- numerosi atti di varia natura (rettifiche, dinamiche elettorale)

http://www.mi-lorenteggio.com/news/9824

Dati personali, diritto all'oblio e social network: si muove la Ue

2010-11-11T13:10:00.000-08:00

La Ue prepara un nuovo quadro normativo dopo quindici anni. E i social network hanno la loro parte.
C’è un percorso comune tracciato da Viviane Reding, commissaria europea per la giustizia i diritti fondamentali e la cittadinanza, e Neelie Kroes, commissaria responsabile per l’agenda digitale, che porta a una revisione dell’attuale normativa sulla protezione dei dati personali.
Un percorso che parte dalla percezione che la normativa esistente, risalente al 1995, non sia più adeguata al contesto sociale e tecnologico sviluppatosi in questi anni e dalla volontà di ” rafforzare i diritti delle persone, eliminando allo stesso tempo la burocrazia allo scopo di assicurare la libera circolazione dei dati nel mercato unico”
A tal fine, la Commissione presieduta da Reding presenterà nel corso del prossimo anno una nuova proposta legislativa, frutto di una consultazione pubblica condotta in questi mesi, della quale sono stati delineati in questi giorni gli obiettivi principali, riassunti in cinque punti.
La proposta è consultabile integralmente a questo indirizzo e cittadini e parti interessate sono invitati a esprimere il loro parere in merito entro il prossimo 15 gennaio. Il primo obiettivo è un rafforzamento dei diritti individuali, così che la raccolta e l'utilizzo dei dati personali siano limitati allo stretto necessario. In questo caso il richiamo sarà a una maggiore trasparenza e alla possibilità di esprimere il loro consenso informato al trattamento.
Soprattutto rientra in questo primo punto anche un forte richiamo al diritto all’oblio, una volta che i dati non siano più cancellati o che il titolare ne desideri la cancellazione.
Come ben si legge nelle pagine di chiarificazione che accompagnano il comunicato dell’Unione, al centro del dibattito c’è proprio il cambiamento intervenuto nella gestione dei dati personali con l’avvento dei social network.
”Un singolo social network , si legge nella nota, oggi conta qualcosa come 500 milioni di utenti in tutto il mondo. Vale a dire quanti l’intera popolazione dell’Unione. In questo scenario, è necessario che i benefici tecnologici per gli individui, le imprese e le pubbliche autorità vadano di pari passo con il necessario rispetto per i dati personali che devono essere adeguatamente protetti, qualunque sia la tecnologia in uso”.
Ogni utente deve essere informato su come e da chi i suoi dati vengono raccolti, deve essere consapevole dei suoi diritti in termini di accesso, rettifica e cancellazione e deve essere in grado di esercitare questo diritto senza vincoli.
Soprattutto, ed è qui che si arriva al diritto all’oblio, il singolo utente deve avere il diritto di rimozione completa dei suoi dati. […] Chi desidera cancellare il proprio profilo da un sito di social networking deve poter ricorrere al service provider perché siano rimossi completamente i suoi dati personali, includendo in questa accezione qualunque oggetto, anche le foto.
Un secondo importante obiettivo riguarda invece la libera circolazione dei dati nel territorio dell’Unione, oggi vincolata ai frequenti contrasti tra la norma europea e le singole legislazioni nazionali. Il richiamo sarà a una ricerca di uniformità, in un’ottica di mercato interno.
In virtù del trattato di Lisbona, ed è questo il terzo obiettivo, l’Unione si impegnerà alla definizione di norme generali di protezione dei dati che interesseranno tutti i settori, inclusa la cooperazione di polizia e giudiziaria in materia penale. In questo quadro dovrebbe essere rivista anche la normativa datata 2006 che impone alle imprese la conservazione dei dati di traffico tra i sei mesi e i due anni.
Gli ultimi due obiettivi riguardano la protezione dei dati trasferiti al di fuori dell’Unione, in un’ottica di cooperazione con i Paesi extra-Ue, e l’opera di armonizzazione del ruolo e delle competenze delle autorità di protezione dei dati.

http://www.b2b24.ilsole24ore.com/articoli/0,1254,24_ART_137288,00.html

Pubblicato in G.U. il discusso regolamento sul registro delle opposizioni: cosa succederà?

2010-11-06T07:33:00.000-07:00

Con Decreto del Presidente della Repubblica 7 settembre 2010 n. 178 è stato emanato e pubblicato sulla G.U. il Regolamento recante l' istituzione e la gestione del registro pubblico degli abbonati che si oppongono all'utilizzo del proprio numero telefonico per vendite o promozioni commerciali. Il provvedimento rappresenta il logico completamento dell'intero impianto normativo che ha portato alla modifica dell'art. 130 del codice per la protezione dei dati personali. Si ricorda che il regolamento è stato adottato ai sensi del comma 3-ter dell'art. 130 del Codice in materia di protezione dei dati personali inserito dall'art. 20-bis del decreto legge 25 settembre 2009 n. 135, convertito, con modificazioni dalla legge 20 novembre 2009 n. 166.
Il decreto ha visto la luce con un notevole ritardo e la stessa struttura risente delle difficoltà che avranno riscontrato gli estensori della disposizione regolamentare.
Difatti il regolamento deve innanzitutto affrontare un approccio poco condivisibile dell'opt-out in caso di chiamate telefoniche con operatore (tanto per intenderci i tanto amati call center) con il quale si intende la possibilità a posteriori, per i clienti, di esercitare il diritto di opporsi all’invio di comunicazioni commerciali indesiderate.
In tal senso viene istituito un "registro pubblico delle opposizioni" al quale dovrà registrarsi chi appunto desidera non ricevere comunicazioni commerciali. Il registro, contrariamente a quanto si prevedeva, non sarà gestito dal Garante per la protezione dei dati personali al quale però è affidata la vigilanza e il controllo sull’organizzazione e il funzionamento del registro.
In questo si è andato a scardinare il sistema dell'opt-in di gran lunga più affidabile e garantista che prevedeva l'obbligo per le aziende di avere il consenso da parte dei clienti prima di inviare le comunicazioni commerciali. Fortunatamente tale approccio è rimasto nel caso della posta elettronica e di ogni qualvolta si faccia uso di chiamate automatizzate, ma non basta.
L'ANDIP è tempestata di chiamate di protesta dei cittadini che sono stanchi di essere disturbati a tutte le ore da telefonate promozionali invasive ed estremamente fastidiose.
Si riuscirà a risolvere questo problema con il registro delle opposizioni?
Per la verità ci credo poco, il decreto che dovrebbe essere l'ancora di salvezza per tutte quelle persone che non vogliono essere disturbate si presenta alquanto farraginoso ed ambiguo. Non ci sono idee chiare nemmeno sull'Autorità o soggetto che dovrebbe gestire il registro (è da escludere che lo possa fare direttamente il Ministero dello sviluppo economico) e faremo poi i conti con le prime applicazioni pratiche e le prime inevitabili difficoltà procedurali. L'inizio, purtroppo, non è incoraggiante.

Presto il codice deontologico per le imprese che offrono servizi di informazione commerciale

2010-10-25T04:32:00.000-07:00

Al via i lavori preparatori del Codice deontologico per le imprese che offrono servizi di informazione commerciale. Con un provvedimento, di cui è stato relatore Francesco Pizzetti, pubblicato sulla Gazzetta Ufficiale, il Garante per la protezione dei dati personali ha invitato le associazioni di categoria interessate (operatori del settore, imprenditori, consumatori) a fornire il loro contributo in vista dell'adozione del codice che disciplinerà un ambito informativo di particolare rilievo per il sistema economico. I dati registrati dalle imprese che operano nel settore delle informazioni commerciali, infatti, possono riguardare aspetti organizzativi, finanziari o patrimoniali dell'attività svolta dagli operatori economici, ma possono anche fare riferimento a persone fisiche che svolgono ruoli di particolare responsabilità nelle società.
Il Codice di deontologia e buona condotta dovrà, in particolare, fissare le regole per la raccolta, l'elaborazione e la conservazione di tali informazioni, individuando anche idonei meccanismi per favorire la qualità e l'esattezza dei dati utilizzati.
Tutti i soggetti appartenenti alle categorie interessate e che ritengano di avere titolo a sottoscrivere il codice, sono dunque chiamati a comunicare la loro adesione o a confermarla se già espressa a seguito dell'invito formulato a suo tempo dall'Autorità.
Ai fini dell'ammissione ai lavori che porteranno all'adozione del Codice deontologico, il Garante, oltre a valutare la effettiva appartenenza alle categorie interessate alla sottoscrizione del codice, verificherà l'organizzazione e l'articolazione sul territorio dei soggetti che si ritengono rappresentativi, le attività da loro svolte in concreto anche con riferimento alla protezione dei dati personali, il numero dei soggetti effettivamente rappresentati in rapporto alla categoria.
Comunicazioni e documentazione potranno essere inoltrate, entro il 5 novembre 2010, al Garante per la protezione dei dati personali anche mediante e-mail: codiceinfocommerciali@garanteprivacy.it.

Privacy Day ad Arezzo

2010-10-18T10:53:00.000-07:00

Con oltre 250 prenotazioni già pervenute, con l'approssimarsi del Privacy Day gli organizzatori hanno dovuto tempestivamente riesaminare la capienza della sede fissata dell'evento, prendendo disposizioni per soddisfare le prenotazioni giunte da tutta Italia.
Tra la prospettiva di frenare l'entusiasmo per il congresso determinando una ferrea selezione del numero dei partecipanti, e quella invece di individuare una soluzione idonea per accogliere un numero maggiore di ospiti a costo di stravolgere l'assetto organizzativo, si è optato per la seconda:
Il Privacy Day del 12 novembre 2010, non sarà più tenuto al Palazzo Borsa Merci della Camera di Commercio di Arezzo ma alla Sala Congressi One dell' Arezzo Park Hotel , confortevole struttura a quattro stelle superior, ubicato di fronte all'uscita del Casello di Arezzo sulla Autostrada A1.
Il cambiamento di programma, con un maggior numero di partecipanti, permetterà quindi di conferire ancor maggior pregio al Privacy Day 2010 che si sta ormai avvicinando. Infatti, è ora definitivo anche il programma della giornata: dopo i saluti di apertura dei lavori, la giornata congressuale inizierà subito con un intervento di Andrea Chiozzi, presidente di Metis Lab, che farà un quadro generale degli adempimenti ai quali un'azienda deve ottemperare per essere in regola con la normativa privacy.
Subito dopo, Nicola Fabiano, Avvocato e Sector Director di Istituto Italiano Privacy, illustrerà le delicate problematiche derivanti dal furto d'identità, e sempre su questo tema, Beatrice Rubini, Manager della Direzione Consumer di Crif, farà il punto sulle soluzioni Mister Credit studiate dalla stessa Crif per proteggere la propria identità contrastando efficacemente l'operato di criminali che intendono carpire ed usare illecitamente i dati personali del cittadino per ottenerne un guadagno economico . Sarà quindi il turno di Valentina Frediani, avvocato esperto di privacy e diritto ict, che spiegherà le nuove regole sulla videosorveglianza. A seguire, Luca Bolognini, presidente di Istituto Italiano Privacy, a trattare le tematiche di e-marketing e privacy, per poi lasciare il posto ad uno degli ospiti d'eccezione della giornata, Giuseppe Chiaravalloti, Vice Garante Privacy, che parlerà proprio delle funzioni e delle attività dell'Autorità Garante per la protezione dei dati personali.
E prima di pranzo, a "servire l'aperitivo" ci penserà Pippo Franco che con le sue gag promette di non risparmiare neanche i relatori.
Dopo la pausa pranzo, il programma riprenderà con l'intervento di Michele Iaselli, presidente dell'Associazione Nazionale Difesa Privacy, incentrato sulla privacy vista come diritto fondamentale del cittadino, dopodichè Luca Giacopuzzi, legale esperto delle nuove tecnologie parlerà di biometria in azienda. Sarà poi la volta di Vittorio Lombardi, avvocato e membro del consiglio direttivo di Federprivacy, a curare la relazione "Privacy & Detective, poteri e limiti imposti dalla legge nelle attività investigative", molto attesa da una fitta rappresentanza di detective provenienti da tutta Italia. Un'altra categoria presente in misura massiccia sarà quella dei consulenti del lavoro, che potranno seguire con attenzione Rosario Imperiali, noto avvocato e giornalista, che farà luce sulle particolari implicazioni del trattamento dei dati personali nel rapporto di lavoro subordinato.
Successivamente, Ettore Pasanisi, Membro del Consiglio Direttivo di Federprivacy, curerà il collegamento da Bruxelles con Giovanni Buttarelli, Garante Privacy Europeo Aggiunto, comunicando poi importanti novità riguardanti tutti i professionisti che svolgono attività di consulenza privacy. Poi, un altro attesissimo ospite del Privacy Day, Umberto Rapetto , Colonnello del Gat, Nucleo Antifrodi Informatiche della Guardia di Finanza, che con il suo coinvolgente carisma, conferirà sull'importanza della sicurezza dei dati personali. Dulcis in fundo, Pippo Franco, farà le sue riflessioni a voce alta sul convegno, assicurando i presenti di terminare il congresso di buon umore. Ma non finirà qui, in quanto a conclusione della giornata, sarà dato ampio spazio al question time con tutti i relatori, che risponderanno alle domande dei partecipanti. Moderatore del Privacy Day sarà Nicola Bernardi, presidente di Federprivacy.
Oltre che tra i relatori, molte le presenze eccellenti anche in platea: hanno infatti già aderito rappresentanze di Polizia Postale, Ministero del Lavoro, Guardia di Finanza, Inail, associazioni di categoria, oltre a aziende di rilievo nazionale e internazionale. Appuntamento quindi da non perdere il 12 novembre ad Arezzo per il "giorno della privacy".

Top Management Forum: Eseguire l'Innovazione. Come.

2010-10-18T07:28:00.000-07:00

In uno scenario in cui, nonostante i cenni di una lenta ripresa, spesso prevalgono ancora dati negativi sull'andamento del nostro Paese, le imprese non possono esimersi dal fare una profonda riflessione sui requisiti indispensabili per dominare il futuro nei prossimi anni e non esserne invece travolte.
Il veloce sviluppo tecnologico e la concorrenza dei mercati pongono sempre più l'accento sull'esigenza e l'urgenza di innovare strategie e strumenti di management per recuperare competitività e rilanciare le aziende.
L'evento programmato per il 17 e 18 novembre a Milano, si caratterizza per la presenza di qualificati e autorevoli relatori provenienti da istituzioni, università e mondo imprenditoriale, per gli eccezionali interventi del guest speaker Vijay Govindarajan, per la Tavola Rotonda con il Top Management italiano, nonché da quest'anno per l'attribuzione di prestigiosi premi alle migliori pratiche di management del panorama nazionale.
Anche l'ANDIP (Associazione Nazionale per la Difesa della Privacy) risulta tra i patrocinatori dell'evento.
Per iscriversi e accedere al programma completo dell'evento: www.knowita.it
Per maggiori informazioni contattare il numero 0575.352475 o scrivere a info@knowita.it

Ancora guai per Streetview 'spione', ingloba i dati personali tramite wi-fi

2010-06-02T15:39:00.000-07:00

Ancora problemi per StreetView, e Google è stato costretto a coprirsi il capo di cenere: il colosso di Mountain View ha ammesso di aver raccolto per oltre tre anni "per errore", con le vetture del suo servizio di mappatura fotografica a livello stradale, messaggi di posta elettronica e altre informazioni personali scambiate dagli internauti attraverso reti Wi-Fi aperte.

StreetView era già finito nel mirino di autorità e di associazioni in difesa della privacy per la sistematica mappatura fotografica di città del mondo che talora si era imbattuta in persone a cui essere riprese era risultato assai poco gradito. Stavolta il caso è scoppiato in Germania, dove le leggi sulla privacy sono molto severe e dove il servizio non è stato ancora introdotto: "Nove giorni fa - ha fatto mea culpa sul sito aziendale l'ingegnere capo Alan Eustace - l'autorità tedesca ci ha chiesto di verificare i dati Wi-Fi raccolti dalle Google StreetView Car per alcuni dei nostri servizi basati sulla geolocalizzazione come Google Maps per cellulari. Esaminando il materiale abbiamo scoperto che per errore sono stati salvati anche dati 'payload', cioé le informazioni inviate attraverso reti Wi-Fi aperte". Google si è accorto a questo punto di aver ammassato dati pari a 600 gigabytes, l'equivalente di un hard drive, in decine di paesi ma che questi dati consistevano solo di frammenti di attività delle reti wi-fi aperte. Il gigante delle ricerche online ha assicurato che in questi dati non sono compresi servizi web protetti da password né dati di reti wireless protette da un codice. L'azienda californiana, che ha attribuito l'errore a un progetto sperimentale utilizzato per programmare le attrezzature sulle auto di StreetView, ha ora intenzione di cancellare questi dati. Le auto di StreetView sono state mandate in garage e Google ha annunciato di essere in contatto con le autorità di diversi importanti Paesi, tra i quali Stati Uniti, Germania, Francia, Brasile e Hong Kong in Cina, per stabilire come procedere alla rapida eliminazione delle informazioni. StreetView, accessibile su Google Maps, è stato introdotto nel 2007 e mostra immagini a livello stradale da città in numerosi paesi tra cui l'Italia.

http://www.ilcapoluogo.com/site/Rubriche/Hi-tech-e-Scienza/Ancora-guai-per-Streetview-spione-ingloba-i-dati-personali-tramite-wi-fi

Videosorveglianza: sistemi integrati e telecamere intelligenti a prova di privacy

2010-06-02T13:20:00.000-07:00

Il Garante fissa le nuove regole per l'uso dei sistemi di videosorveglianza

Sistemi integrati di videosorveglianza solo nel rispetto di specifiche garanzie per la libertà delle persone. Appositi cartelli per segnalare la presenza di telecamere collegate con le sale operative delle forze di polizia. Obbligo di sottoporre alla verifica del Garante privacy, prima della loro attivazione, i sistemi che presentino rischi per i diritti e le libertà fondamentali delle persone, come i sistemi tecnologicamente avanzati o "intelligenti". Conservazione a tempo delle immagini registrate. Rigorose misure di sicurezza a protezione delle immagini e contro accessi non autorizzati.

L'Autorità Garante per la protezione dei dati personali ha varato le nuove regole alle quali soggetti pubblici e privati dovranno conformarsi per installare telecamere e sistemi di videosorveglianza. Il periodo per adeguarsi è stato fissato, a seconda degli adempimenti, da un minimo di sei mesi ad un massimo di un anno.

Il provvedimento generale, che sostituisce quello del 2004 e introduce importanti novità, si è reso necessario non solo alla luce dell'aumento massiccio di sistemi di videosorveglianza per diverse finalità (prevenzione, accertamento e repressione dei reati, sicurezza pubblica, tutela della proprietà privata, controllo stradale, etc.), ma anche in considerazione dei numerosi interventi legislativi adottati in materia: tra questi, quelli più recenti che hanno attribuito ai sindaci e ai comuni specifiche competenze in materia di incolumità pubblica e di sicurezza urbana, così come le norme, anche regionali, che hanno incentivato l'uso di telecamere.

Il provvedimento, di cui è stato relatore Francesco Pizzetti, in via di pubblicazione sulla Gazzetta Ufficiale, tiene conto delle osservazioni formulate dal Ministero dell'interno e dall'Anci.

Ecco in sintesi le regole fissate dal Garante.

Principi generali

• Informativa: i cittadini che transitano nelle aree sorvegliate devono essere informati con cartelli della presenza delle telecamere, i cartelli devono essere resi visibili anche quando il sistema di videosorveglianza è attivo in orario notturno. Nel caso in cui i sistemi di videosorveglianza installati da soggetti pubblici e privati (esercizi commerciali, banche, aziende etc.) siano collegati alle forze di polizia è necessario apporre uno specifico cartello (allegato n. 2), sulla base del modello elaborato dal Garante. Le telecamere installate a fini di tutela dell'ordine e della sicurezza pubblica non devono essere segnalate, ma il Garante auspica comunque l'utilizzo di cartelli che informino i cittadini.
• Conservazione: le immagini registrate possono essere conservate per periodo limitato e fino ad un massimo di 24 ore, fatte salve speciali esigenze di ulteriore conservazione in relazione a indagini. Per attività particolarmente rischiose (es. banche) è ammesso un tempo più ampio, che non può superare comunque la settimana. Eventuali esigenze di allungamento dovranno essere sottoposte a verifica preliminare del Garante.

Settori di particolare interesse

• Sicurezza urbana: i Comuni che installano telecamere per fini di sicurezza urbana hanno l'obbligo di mettere cartelli che ne segnalino la presenza, salvo che le attività di videosorveglianza siano riconducibili a quelle di tutela specifica della sicurezza pubblica, prevenzione, accertamento o repressione dei reati. La conservazione dei dati non può superare i 7 giorni, fatte salve speciali esigenze.
• Sistemi integrati: per i sistemi che collegano telecamere tra soggetti diversi, sia pubblici che privati, o che consentono la fornitura di servizi di videosorveglianza "in remoto" da parte di società specializzate (es. società di vigilanza, Internet providers) mediante collegamento telematico ad un unico centro, sono obbligatorie specifiche misure di sicurezza (es. contro accessi abusivi alle immagini). Per alcuni sistemi è comunque necessaria la verifica preliminare del Garante.
• Sistemi intelligenti: per i sistemi di videosorveglianza "intelligenti" dotati di software che permettono l'associazione di immagini a dati biometrici (es. "riconoscimento facciale") o in grado, ad esempio, di riprendere e registrare automaticamente comportamenti o eventi anomali e segnalarli (es. "motion detection") è obbligatoria la verifica preliminare del Garante.
• Violazioni al codice della strada: obbligatori i cartelli che segnalino i sistemi elettronici di rilevamento delle infrazioni. Le telecamere devono riprendere solo la targa del veicolo (non quindi conducente, passeggeri, eventuali pedoni). Le fotografie o i video che attestano l'infrazione non devono essere inviati al domicilio dell'intestatario del veicolo.
• Deposito rifiuti: lecito l'utilizzo di telecamere per controllare discariche di sostanze pericolose ed "eco piazzole" per monitorare modalità del loro uso, tipologia dei rifiuti scaricati e orario di deposito.

Settori specifici

• Luoghi di lavoro: le telecamere possono essere installate solo nel rispetto dello norme in materia di lavoro. Vietato comunque il controllo a distanza dei lavoratori, sia all'interno degli edifici, sia in altri luoghi di prestazione del lavoro (es. cantieri, veicoli).
• Ospedali e luoghi di cura: no alla diffusione di immagini di persone malate mediante monitor quando questi sono collocati in locali accessibili al pubblico. E' ammesso, nei casi indispensabili, il monitoraggio da parte del personale sanitario dei pazienti ricoverati in particolari reparti (es.rianimazione), ma l'accesso alle immagini deve essere consentito solo al personale autorizzato e ai familiari dei ricoverati.
• Istituti scolastici: ammessa l'installazione di sistemi di videosorveglianza per la tutela contro gli atti vandalici, con riprese delimitate alle sole aree interessate e solo negli orari di chiusura.
• Taxi: le telecamere non devono riprendere in modo stabile la postazione di guida e la loro presenza deve essere segnalata con appositi contrassegni.
• Trasporto pubblico: lecita l'installazione su mezzi di trasporto pubblico e presso le fermate, ma rispettando limiti precisi (es.angolo visuale circoscritto, riprese senza l'uso di zoom).
• Webcam a scopo turistico: la ripresa delle immagini deve avvenire con modalità che non rendano identificabili le persone.

Soggetti privati.

• Tutela delle persone e della proprietà: contro possibili aggressioni, furti, rapine, danneggiamenti, atti di vandalismo, prevenzione incendi, sicurezza del lavoro ecc. si possono installare telecamere senza il consenso dei soggetti ripresi, ma sempre sulla base delle prescrizioni indicate dal Garante.

Roma, 27 aprile 2010

ALLEGATO n. 1

• Per le modalità di utilizzazione del modello, cfr. punto 3.1.
• Se le immagini non sono registrate, sostituire il termine "registrazione" con quello di "rilevazione".

- SCARICA FORMATO JPEG - EPS

ALLEGATO n. 2

• Per le modalità di utilizzazione del modello, cfr. punti 3.1.3 e 4.6, lett. c).
• Se le immagini non sono registrate, sostituire il termine "registrazione" con quello di "rilevazione".

- SCARICA FORMATO JPEG - EPS

Privacy, l'Unione Europea all'attacco di Facebook

2009-04-19T14:19:00.001-07:00

Il commissario Viviane Reding ha avvertito che Bruxelles agirà contro gli Stati che non applicheranno le regole comunitarie e ha chiesto di rafforzare le misure di protezione online
L'Unione Europea torna all'attacco di Facebook, My Space e social network più in generale. In un messaggio sul suo sito web, il commissario europeo Viviane Reding annuncia una serie di iniziative per garantire il diritto alla privacy in un momento in cui le mode tecnologiche rendono più facile fare un cattivo utilizzo delle informazioni personali.

Stop alle carte fedeltà se spiano nel carrello della spesa

2008-05-27T11:19:00.001-07:00

Il Garante applica una sanzione di 54mila euro La Gs non potrà utilizzare i dati già raccolti con le fidelity card offerte ai clienti, scrutare il contenuto dei carrelli della spesa, "profilare" consumatori inconsapevoli e sulla base dei loro gusti, scelte e volumi di spesa inviare, senza consenso, pubblicità per posta, e-mail o sms. L'alt è arrivato dal Garante privacy che ha sanzionato la Gs con una multa da 54 mila euro per non aver informato correttamente la clientela dell'uso che avrebbe fatto dei dati forniti al momento dell'adesione a un programma di fidelizzazione, e ha comunicato alla società di conformare, entro il 31 maggio, i trattamenti di dati alle disposizioni del provvedimento generale sulle fidelity card adottato a suo tempo dall'Autorità. Dagli accertamenti avviati fin dal 2005 sull'uso di queste tesserine magnetiche, che permettono di raccogliere punti e ricevere piccoli premi o usufruire di sconti al supermercato, sono emerse numerose irregolarità che a tutt'oggi non risultano ancora sanate. Sotto la lente del Garante in particolare, il modello sottoposto ai clienti per ottenere le carte fedeltà e nel quale non veniva specificato che i loro dati personali sarebbero stati utilizzati anche a fini di analisi delle abitudini, scelte di consumo e strategie di marketing. La società raccoglieva e elaborava, invece, all'insaputa dei clienti, oltre a nome, cognome e volumi di spesa, anche professione, indirizzo mail, numero di cellulare, numero degli scontrini emessi, dettagli dei prodotti e l'esercizio dove erano stati acquistati. Questa massa di informazioni permetteva alla Gs di costruire un "profilo" dei clienti in quanto consumatori, valutarne il grado di "fidelizzazione", classificarli in base ad un punteggio e di verificare anche il loro posizionamento geografico presso i singoli punti vendita del territorio nazionale. Per poi programmare campagne promozionali o inviare comunicazioni commerciali mirate. Nel corso del procedimento la Gs aveva modificato il modello per la raccolta dei dati, che era risultato però ancora irregolare. Pur essendo indicate, infatti, le finalità di "profilazione" e di marketing, il modello non consentiva al cliente di esprimere liberamente un consenso separato per i diversi usi dei dati, condizionandoli all'apposizione di un'unica firma. E questo è in contrasto con le disposizioni del Codice privacy che riconoscono al cliente il diritto di avere la fidelity card senza essere obbligato a dare il consenso anche per altri trattamenti e di poter liberamente autorizzare ogni singolo uso dei propri dati.

Fonte Garante della Privacy

Furti d’identità, protezione "Identikit"

2008-05-27T11:06:00.001-07:00

Cresce in Italia il rischio di vedere i propri dati personali e la propria identità utilizzati in maniera fraudolenta. Oggi, per essere vittima di furto di identità, ossia l’appropriazione indebita dei dati personali di ignari cittadini da parte di criminali che li utilizzano, ad esempio, per richiedere finanziamenti o acquistare beni a loro nome, basta infatti semplicemente possederne una. All’ampliamento del fenomeno – che registra una continua crescita contribuisce la diffusione incontrollata di dati anagrafici e informazioni personali, che possono facilmente essere riutilizzati illecitamente nel mondo "virtuale" o in quello "fisico". Pochi, e poco efficaci, i limiti normativi e gli elementi di deterrenza, con il risultato che questa tipologia di crimine, oltre che di facile attuazione, risulta poco rischiosa per coloro che la perpetrano. Questo è quanto emerge nell’ambito del progetto "Nessuno", il primo in Italia ad indagare in maniera strutturata il fenomeno del furto di identità nel nostro Paese. La ricerca, in costante aggiornamento e sviluppo, ha preso il via nel 2007 dalla collaborazione tra MISTER CREDIT, la divisione consumer di CRIF, e RiSSC, Centro Ricerche e Studi su Sicurezza e Criminalità.Da un recente approfondimento di tipo qualitativo emergono i profili comportamentali delle fasce di popolazione più a rischio di diventare "vittime". La categoria più esposta è quella degli uomini di età compresa tra i 30 e i 49 anni. Trentenni e quarantenni sono più facili da impersonificare da parte dei ladri di identità, e vittime molto appetibili anche per il buon potenziale di credito che i frodatori possono sfruttare. Inoltre, si tratta della categoria che, più delle altre, produce e lascia "tracce personali", che possono essere raccolte e riutilizzate da malintenzionati. Tracce che appartengono fondamentalmente alle normali abitudini di vita, come viaggiare, pernottare in albergo, cenare fuori casa, acquistare beni, richiedere finanziamenti. Dal punto di vista lavorativo, i liberi professionisti sono le persone che, in virtù della propria attività, sono più visibili: nel caso degli iscritti ad albi professionali, ad esempio, i dati personali sono generalmente pubblici e accessibili anche online su Internet. Per contrastare il fenomeno, CRIF, che gestisce il principale Sistema di Informazioni Creditizie nel nostro Paese, ha realizzato "Identikit", il servizio della linea MISTER CREDIT che consente al cittadino di essere informato tempestivamente via sms o email nel caso in cui qualcuno utilizzi i suoi dati personali illecitamente per richiedere finanziamenti o acquistare beni a suo nome. Il servizio offre anche assistenza specifica a coloro che si trovano a essere vittime di questo fenomeno. Sul sito di Mister Credit (www.mistercredit.it) è disponibile una sezione informativa sul fenomeno delle frodi di identità e un vademecum di consigli utili a evitarle.

Fonte La Repubblica.it

Assunti per spiare le email

2008-05-27T11:00:00.001-07:00

Roma - Inutile sbandierare un qualche diritto alla privacy nelle imprese, vano cercare di svicolare dagli accordi contrattuali presi con l'azienda per la quale si lavora: le email che circolano negli uffici delle corporation statunitensi possono essere lette a piacimento dai datori di lavoro. Cosa che effettivamente accade. Sempre più spesso. E sempre più spesso sono coloro che vengono assunti appositamente per leggere le email altrui.Il 41 per cento delle imprese che contano più di 20mila dipendenti ha ammesso di aver assunto personale per "leggere o analizzare" i contenuti della posta in uscita. A dirlo è l'ultimo studio di Proofpoint, che indaga sui problemi di sicurezza dei dati delle imprese. Molti sono infatti i rischi legali che vengono associati all'abuso delle email aziendali: dal pubblicare messaggi in certi forum al condividere materiali e contenuti su siti di sharing, le corporation tremano all'idea che il nome aziendale, se non persino i segreti aziendali, possano circolare senza controllo.Incidenti che sono meno isolati di quanto si potrebbe pensare: il 44 per cento delle grandi imprese, intervistate da Proofpoint, ha dichiarato di aver subito un qualche leaking attraverso l'email, una qualche "spiata" o "perdita di dati" che può provocare danni all'immagine o alle attività aziendali. Il 23 per cento ha dichiarato di aver accertato negli ultimi 12 mesi il verificarsi di un qualche danno causato dal leaking.Sono proprio questi incidenti, dunque, a spingere le imprese a dare uno sguardo più da vicino a quello che i propri impiegati fanno con il computer e con la connessione ad Internet e, dunque, a quello che scrivono nelle email in uscita, a come usano gli indirizzi e le mailbox a loro assegnati.I risultati di questo monitoraggio continuativo e preventivo non si contano: il 26 per cento delle grandi società ha dichiarato che negli ultimi 12 mesi ha effettuato almeno un licenziamento a causa dell'email, ossia di comportamenti che non aderivano alla policy aziendale che viene sottoscritta dai dipendenti.L'abuso degli strumenti informatici, o comunque l'utilizzo non conforme alle policy delle imprese, coinvolge da sempre anche la navigazione Internet. Di questi tempi si parla molto della frequentazione di siti social, anche dai telefonini, e comunità web come YouTube sono gettonatissime tra i dipendenti delle corporation. Anche su questo fronte le aziende si danno da fare per monitorare e punire i dipendenti infedeli. Delle imprese quotate in borsa, il 14 per cento ha denunciato la pubblicazione non autorizzata di materiali riservati su siti, blog o reti sociali, mentre l'11 per cento negli ultimi 12 mesi ha fatto ricorso a sanzioni specifiche per l'uso di forum di discussione e social network da parte dei dipendenti.Va detto che negli Stati Uniti, come ben sanno i lettori di Punto Informatico, si sta consolidando un approccio piuttosto severo contro certi abusi commessi al computer dai lavoratori: recenti studi indicano che una impresa su due negli States è propensa a ricorrere al licenziamento in caso di errori grossolani da parte dei dipendenti nella gestione delle infrastrutture informatiche aziendali.

Fonte Punto Informatico

Segnala il tuo caso

2007-06-02T14:25:00.000-07:00

Informativa per il trattamento dei dati personali D.lgs. 196/2003

2007-06-02T13:57:00.000-07:00

Ai sensi dell'articolo 13 del codice in materia di dati personali si informa che il trattamento dei dati personali, anche sensibili, forniti in sede di iscrizione finalizzato ad adempiere agli obblighi normativi, in particolare quelli contabili e fiscali, avverrà presso l’Associazione Nazionale per la Difesa della Privacy con sede in Napoli alla Via L. Marsicano 2 – 80136 Napoli, titolare del trattamento, con l'utilizzo di procedure anche informatizzate, nei modi e nei limiti necessari per perseguire le predette finalità. Dei dati potranno venire a conoscenza i dipendenti, i collaboratori e gli incaricati al trattamento appositamente nominati. Il conferimento dei dati è obbligatorio per l’esatta esecuzione degli adempimenti di rito e la loro mancata indicazione comporta l’impossibilità di portare a termine in maniera esatta l’adempimento delle obbligazioni a nostro carico ecc. Agli interessati sono riconosciuti i diritti di cui all'articolo 7 del citato Codice e in particolare il diritto di accedere ai propri dati personali, di chiederne la rettifica, l'aggiornamento e la cancellazione, se incompleti, erronei o raccolti in violazione della legge, nonché di opporsi al loro trattamento per motivi legittimi, rivolgendo le richieste al titolare del trattamento.

Pubblicazioni

2007-06-02T13:00:00.000-07:00

L'evoluzione della privacy come diritto fondamentale del cittadino

Con questo lavoro un gruppo di giuristi dell’ANDIP (Associazione Nazionale per la Difesa della Privacy) specializzati nello specifico settore della protezione dei dati personali affronta le principali tematiche della materia approfondendo le questioni più rilevanti.
Vengono esaminati in chiave divulgativa il diritto alla riservatezza e la tutela dell’interessato, gli adempimenti degli incaricati, la privacy e le nuove tecnologie, le misure minime ed idonee di sicurezza, il documento programmatico sulla sicurezza e le certificazioni, la tutela giudiziaria, il Garante per la protezione dei dati personali, la tutela dei dati sanitari, i codici deontologici.
L’obiettivo del libro è tracciare un quadro esauriente e sufficientemente chiaro della riservatezza intesa nel senso più ampio del termine fornendo al lettore una chiave di lettura semplice e di immediata percezione.
Una materia complessa e tanto dibattuta come la privacy viene suddivisa nelle sue principali componenti e passata sotto la lente d’ingrandimento con la consapevolezza di avere come destinatari anche l’uomo della strada e non solo studiosi della materia.
Il lavoro è stato coordinato dal Presidente dott. Michele Iaselli.

acquista on line su IBS.it

Obiettivi primari

2007-06-02T12:33:00.000-07:00

L’ANDIP si propone:

a) di formare e preparare i propri associati al pieno rispetto attivo e passivo delle norme e dei principi in materia di protezione dei dati personali.

b) di formulare le regole di comportamento conformi alla normativa, alla correttezza e alla lealtà che improntino il comportamento degli associati nella acquisizione, nel trattamento e nella gestione di dati personali nell’ambito della loro attività.

c) di proteggere i soggetti dei dati contro metodi di acquisizione, trattamento e gestione dei dati non conformi a normativa, correttezza e lealtà.

d) di studiare e sollecitare presso le Autorità Competenti l’adozione di tutti quei provvedimenti, norme e disposizioni che garantiscono misure adeguate e proporzionate per la tutela dei dati personali.

e) di attestare e garantire la conformità dei comportamenti dei soci alle norme ed ai principi di cui sopra.

f) di tenere aggiornati i propri associati sulla evoluzione legislativa e giurisprudenziale italiana e straniera. g) di tenere aggiornati i propri associati in ordine alle misure tecniche necessarie per una corretta gestione dei dati personali.

Il Presidente

2007-06-02T12:18:00.000-07:00

Michele Iaselli
e-mail: m.iaselli@micheleiaselli.it

Istruzione
laureato in giurisprudenza a Napoli presso l’Università “Federico II” il 09/12/1987.

Qualifiche personali
- Abilitato all’esercizio della professione di Avvocato presso la Corte di Appello di Napoli in data 18/06/1991;
- funzionario del Ministero della Difesa dal 07/01/1992 con sede di lavoro a Napoli presso il 10° Reparto Infrastrutture con incarico di Capo Ufficio Demanio e Servitù Militari.

Specializzazioni professionali
- Specializzato presso la Scuola Superiore della Pubblica Amministrazione di Caserta in data 10/06/1995 (corso di formazione per funzionari ministeriali);
- partecipazione ad un seminario tenutosi presso la Scuola Superiore di Pubblica Amministrazione in materia di “contratti della P.A.” nel 1997;
- partecipazione ad un seminario tenutosi presso la Scuola Superiore della Pubblica Amministrazione in materia di “informatica ed office automation” nel 1998;
- partecipazione ad un seminario tenutosi presso la Scuola Superiore della Pubblica Amministrazione in materia di “giurisprudenza applicativa sulla legge 241/90” nel 1998;
- partecipazione ad un corso tenuto dal CEIDA per conto della scuola Tributaria in materia di “diritto comunitario ed impiego di fondi strutturali” nel 1998;
- partecipazione ad un seminario tenutosi presso la Scuola Superiore della Pubblica Amministrazione in materia di “riforme amministrative avviate con le leggi n. 59/97, n. 127/97 e n. 80/98” nel 1999;
- partecipazione ad un seminario tenutosi presso la Scuola Superiore della Pubblica Amministrazione in materia di “semplificazione e razionalizzazione di norme e procedure” nel 1999.
- partecipazione ad un seminario tenutosi presso la Scuola Superiore della Pubblica Amministrazione in materia di “reingegnerizzazione dei processi e workflow management” nel 2000.
- partecipazione ad un seminario tenutosi presso la Scuola Superiore della Pubblica Amministrazione in materia di “architettura di sistemi informativi automatizzati, reti di computer, servizi telematici, internet” nel 2000.
- partecipazione ad un corso di apprendimento del programma “Easy Find” per l’addestramento della ricerca documentale nella banca dati del C.E.D. della Corte di Cassazione tenutosi presso lo stesso Centro Elettronico della Suprema Corte nel 2000.
- partecipazione al corso di specializzazione tenuto dall’Università degli Studi di Napoli Federico II in “Esperto in tecniche e metodologie informatiche giuridiche” nel 2001.
- partecipazione al Seminario "Più valore alla Pubblica Amministrazione – Appalti pubblici tra efficienza e trasparenza" svoltosi a Roma il 23 novembre 2005 ed organizzato dall'Associazione Fare Rete Onlus.
- partecipazione al corso tenutosi presso il CEIDA in materia di "I Ricorsi giurisdizionali e amministrativi nelle Forze Armate e la difesa dell'Amministrazione Militare" il 5 e 6 dicembre 2005.

Pubblicazioni
- “Manuale di informatica giuridica” edito dalla Casa Editrice “EsseLibri” nel 1997;
- “Sistemi Esperti Legali” edito dalla Casa Editrice “EsseLibri” nel 1998;
- “La Rete Unitaria della Pubblica Amministrazione” edito dalla Casa Editrice “EsseLibri” nel 1999;
- “Internet per la Pubblica Amministrazione” edito dalla Casa Editrice “EsseLibri” nel 2000;
- Coautore di “Il diritto nel Cyberspazio” edito dalla Casa Editrice “EsseLibri” nel 1999;
- Coautore di “Informatica Giuridica” edito dalla Casa Editrice “EsseLibri” nel 2001;
- Coautore di “Diritto delle tecnologie informatiche e dell’ Internet” edito dalla Casa Editrice “Ipsoa” nel 2002;
- “Manuale di Informatica Giuridica” edito dalla Casa Editrice “EsseLibri”, II Edizione, 2002.
- Coautore di “I contratti informatici” edito dalla Casa Editrice “La Tribuna”, 2003;
- Coautore di “E-Government” edito dalla Casa Editrice “La Tribuna”, 2003;
- Coautore di “La privacy in Internet” edito dalla casa Editrice “EsseLibri”, 2003;
- Coautore del Commentario al codice in materia di protezione dei dati personali edito dalla casa editrice "Ipsoa", 2004.
- Coautore di "Diritto alla riservatezza nelle biblioteche" edito dalla casa editrice "DEC", 2005
- "L'E-Procurement: l'acquisizione di beni e servizi della P.A. nel quadro del piano di e-government", Liguori, 2005
- Curatore e Coautore di "Sicurezza e anonimato in rete" edito dalla casa editrice "Nyberg", 2005
- Coautore del Commentario al Codice della Pubblica Amministrazione digitale edito dalla casa editrice Giuffré, 2005
- Coautore di “Sistemi alternativi di risoluzione delle controversie nella società dell’informazione” edito dalla casa editrice “Nyberg”, 2006
- Coautore dei “I Nuovi Contratti” edito da Il Sole 24 Ore, 2006
- “La Ricerca giuridica in Internet – Manuale operativo per la ricerca di sentenze, atti normativi e dottrina”, Halley, 2006
- Coautore del Commentario al “Codice dei contratti pubblici” edito dalla casa editrice EsseLibri, 2006
- Coautore del Commentario al “Codice della Pubblica Amministrazione digitale” edito dalla casa editrice Liguori, 2006
- “Compendio di informatica giuridica”, III Edizione, Simone, 2007
- Coautore del “Manuale breve di informatica per avvocati” a cura di F. Celentano, Utet giuridica, 2007
- Coautore del “La Posta elettronica – Profili giuridici e tecnico –informatici”, The Castle Caracciolo inc., 2007
- Autore di diversi articoli di informatica giuridica e commenti giurisprudenziali pubblicati principalmente su riviste in formato elettronico (Diritto & Diritti, StudioCelentano, Diritto su web, Nuova Giurisprudenza On Line, Diritto & Giustizia, il Quotidiano Giuridico) ed anche cartaceo (Bancamatica, Holding Italia Trend, Diritto ed economia dei mezzi di comunicazione, Diritto dell’Internet).
- Membro del Comitato di redazione di diverse riviste del settore (Diritto dell'Internet della casa editrice Ipsoa; Rivista di diritto, economia e gestione delle nuove tecnologie della Nyberg edizioni).

Partecipazioni a Convegni
- Quinto Convegno internazionale “Il diritto nella società dell’informazione” organizzato dall’Istituto di documentazione giuridica di Firenze dal 2 al 5 dicembre 1998 con una relazione “Problemi giuridici della rete Unitaria della P.A.”.
- Convegno su “informatica Giuridica e Diritto dell’informatica” tenutosi all’Università di Pisa il 27 ed il 28 ottobre 2000 con una relazione “Stato di informatizzazione della P.A. in Italia:problemi giuridici”.
- Prima Conferenza Nazionale sull’Informatica giudiziaria tenutasi a Firenze presso il Palazzo dei Congressi il 23 febbraio 2001 con un contributo “Le nuove prospettive nel campo dell’informatica giudiziaria”.
- Primo Convegno nazionale “Diritto amministrativo elettronico” tenutosi all’ hotel “Excelsior” di Catania il 5-6 luglio 2002 con una relazione “Il piano d’azione per l’ e-government e la nuova Agenzia Nazionale per l’Innovazione e le Tecnologie”.
- Secondo Convegno nazionale “Diritto Amministrativo elettronico” tenutosi all’ hotel Excelsior” di Catania il 27-28 giugno 2003 con una relazione “Trasparenza ed interoperabilità delle P.A.: protocollo informatico e registri automatizzati”.
- Terzo Convegno Nazionale “Diritto Amministrativo elettronico” tenutosi all’ hotel Katane palace di Catania il 02 – 03 luglio 2004 con una relazione "Un particolare atto amministrativo elettronico: La carta multiservizi della difesa"
- Convegno “Privacy e Nuove Tecnologie negli Studi Professionali” tenutosi presso il Tribunale di Foggia il 4 giugno 2004, organizzato dalla Scuola Forense di Capitanata e StudioCelentano.it, con una relazione "Privacy e studi legali".
- Convegno "Il Libretto Elettronico della Pratica Forense: tra Innovazione, Praticità e Tecnologia" tenutosi presso il Tribunale di Foggia il 5 ottobre 2004, organizzato dall'Ordine degli Avvocati di Foggia e dalla Scuola Forense di Capitanata, con una relazione "Nascita ed evoluzione delle carte elettroniche".
- Convegno "Firma digitale, e-mail certificata, carta nazionale dei servizi" tenutosi a Milano presso l'Hotel Melià il 20 e 21 giugno 2005, organizzato dall'Istituto Internazionale di Ricerca come Chairman e con una relazione sulla regolamentazione giuridica e profili privacy della carta nazionale dei servizi e posta elettronica certificata.
- Convegno "Open source, Liberi di fare" tenutosi a Foggia presso la Provincia il 29 giugno 2005 organizzato dal Gruppo di lavoro Open Source Ordine Avvocati di Foggia con una relazione sui rapporti tra Open Source e Pubblica Amministrazione.
- Convegno "Il Codice in materia di protezione dei dati personali nella P.A. e nell’ azienda: adempimenti tecnico-pratici per un corretto adeguamento” tenutosi a Roma il 23 settembre 2005 organizzato dal Centro Studi Informatica Giuridica con una relazione "il trattamento dei dati personali nel rapporto di lavoro".
- Convegno "XIII Giornate mediche Daune – Attualità in diritto sanitario" tenutosi a Foggia il 24 ottobre 2005 organizzato dal Consiglio dell'Ordine dei medici chirurghi e degli odontoiatri di Foggia con una relazione "Gli adempimenti in tema di privacy per gli operatori sanitari: obblighi, sanzioni e pronunce".
- Convegno "T-Government, Digitale terrestre, carta nazionale dei servizi" tenutosi a Milano presso lo Starhotel Business Palace il 27 e 28 ottobre 2005, organizzato dall'Istituto Internazionale di Ricerca con una relazione sulla regolamentazione giuridica, profili privacy e rapporti con il digitale terrestre della carta nazionale dei servizi.
- Convegno "Il Codice dell'Amministrazione digitale" tenutosi a Teramo il 12 novembre 2005 presso la sala convegni della Camera di Commercio organizzato dal Centro Studi Informatica giuridica – osservatorio di Teramo con una relazione sui contenuti del Codice dell'Amministrazione digitale.
- Convegno "Firma digitale, e-mail certificata, carta nazionale dei servizi" tenutosi a Roma presso l'Hotel Starhotel Metropol il 23 e 24 novembre 2005, organizzato dall'Istituto Internazionale di Ricerca con una relazione sulla regolamentazione giuridica e profili privacy della carta nazionale dei servizi.
- Convegno “Online Dispute Resolution – Internet per la gestione della conflittualità nel mercato virtuale” tenutosi a Roma presso la residenza Ripetta il 25 marzo 2006, organizzato dal Centro Studi Informatica Giuridica con una relazione su Sicurezza informatica e data protection.
- Convegno "Firma digitale, e-mail certificata, Attività amministrative digitali" tenutosi a Milano presso l'Hotel Starhotel Tourist il 4 e 5 aprile 2006 organizzato dall'Istituto Internazionale di Ricerca con una relazione sulla tutela della privacy nei processi gestionali di innovazione tecnologica.
- Convegno “e-privacy 2007: controllo sociale e tecnocontrollo” tenutosi a Firenze il 18 e 19 maggio 2007 organizzato dal Progetto Winston Smith con una relazione sulle nuove potenzialità dei sistemi Rfid associati a dati biometrici.

Esperienze didattiche
- Corso sull’e-procurement nel corso dell’evento “Nei Giorni di Internet” della Scuola Superiore G. Reiss Romoli tenutosi a L’Aquila dal 16 al 20 dicembre 2002.
- Insegnamento del modulo “Legislazione e Fiscalità” del Master in “Tecnologie digitali e Net Economy” tenuto dal Carid (Università di Ferrara).
- Insegnamento del modulo "Elementi di diritto amministrativo" del Master "Manager dei servizi formativi" tenuto dal Carid (Università di Ferrara)
- Insegnamento in diversi Master di diritto delle tecnologie informatiche tenuti dal Centro Studi di informatica giuridica (CSIG) e dal Centro Studi per l'Internazionalizzazione e l'Innovazione Tecnologica (SCINT)
- Insegnamento nel corso di “diritto dell’Internet” presso la Scuola Forense di Capitanata.
- Insegnamento nel corso di informatica giuridica presso il Tribunale di Napoli.
- Ha inoltre tenuto diversi seminari in materia di privacy in vari comuni della Capitanata come Foggia, Lucera, Cerignola, Manfredonia.

Referenze
- vincitore del concorso “Award 1999 World Wide Jus” organizzato dalla rivista telematica “Studiocelentano.it” con un articolo sulla “natura giuridica di Internet”;
- Compiacimento del Comandante della Regione Militare SUD del 24 settembre 1999 per la propria attività d’ufficio.
- Elogio del Comandante dell’Ispettorato delle Infrastrutture dell’Esercito – Comando Infrastrutture SUD del 21 dicembre 2006 per la propria attività di Capo Ufficio
- Membro del Comitato scientifico di Assodigitale (Associazione italiana operatori media digitali).
- Vicedirettore dell’ Osservatorio Centro Studi Informatica Giuridica di Napoli
- Presidente dell’Associazione Nazionale per la difesa della privacy

Contatti

2007-06-02T12:16:00.000-07:00

tel 081 2298688
fax 081 3606900
cell 3384722823
cell 3319664545
e-mail: difesaprivacy@yahoo.it

orari di apertura
Lun-Ven dalle ore 10:00 alle ore 18:00
Sabato dalle ore 10:00 alle ore 13:00

___________________________________

Organigramma

2007-06-02T12:05:00.000-07:00

Presidente (link)
Avv Michele Iaselli
m.iaselli@micheleiaselli.it
cell. 333 1142001

Coordinatore Nazionale
Pietro Di Scala
pietrodiscala@yahoo.it
cell. 338 4722823

--------------------------------

tel 081 2298688
fax 081 3606900
cell 3384722823
cell 3319664545
e-mail difesaprivacy@yahoo.it

orari di apertura
Lun-Ven dalle ore 10:00 alle ore 18:00
Sabato dalle ore 10:00 alle ore 13:00

--------------------------------

Delegazioni :

Roma
Milano
Genova
Padova
Bologna
Firenza
Perugia
Napoli
Foggia
Crotone
Messina
Cosenza
Palermo

------------------------------

CHI SIAMO

2007-06-02T11:59:00.000-07:00

L'Associazione Nazionale per la Difesa della Privacy (ANDIP) è nata per tutelare il diritto della riservatezza dei dati ed il rispetto della dignità della persona. In virtù di tale proposito si avvale della collaborazione di diversi professionisti del settore giuridico-legale, della sanità, della sicurezza informatica ed è sempre alla ricerca di nuove sinergie per migliorare i suoi intenti. L'ANDIP offre, con il suo centro studi, alle istituzioni, agli enti, alle associazioni, la necessaria collaborazione per la risoluzione di problematiche sociali, la promozione di iniziative collettive di indottrinamento, la realizzazione di eventi e manifestazioni per stimolare la promozione e l'applicazione del Codice sulla Privacy (d.lgs 196/2003).