Linux e Istituto Calvi di Belluno

Oriano oriano@iol.it
Mar 20 Lug 2004 19:06:52 CEST


Alberto Fornasier wrote:
> Da quel che ho capito, il progetto riguarda solo la parte didattica
> della rete. La rete amministrativa è fisicamente separata, dunque non
> credo proprio che dovremo preoccuparci della presenza di dati sensibili.
> A meno che l'appartenenza ad una classe, l'unico dato che credo serva
> per gestire gli utenti in questa specifica situazione, non sia un dato
> sensibile, ma non mi pare (anche se sono un po' arrugginito, l'esame di
> diritto privato l'ho dato tipo 4 anni fa...).
> Secondo me la situazione non è soggetta alla legge sulla privacy, ma
> magari sento un mio amico avvocato su questo.

La mia analisi parte dal presupposto che nei log della macchina
oggetto della discussione siano presenti delle informazioni che
soddisfano una serie di requisiti citati dalla legge.
In ordine:
Decreto legislativo 30 giugno 2003, n. 196
Art. 4. Definizioni
a) "trattamento", qualunque operazione o complesso di operazioni,
effettuati anche senza l'ausilio di strumenti elettronici, concernenti
la raccolta, la registrazione, l'organizzazione, la conservazione,
la consultazione, l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco,
la comunicazione, la diffusione, la cancellazione e la distruzione
di dati, anche se non registrati in una banca di dati;
b) "dato personale", qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale;

I dati raccolti nei file di log contengono indirizzi e-mail,
username di login, ecc. perciò dati che permettono l'dentificazione
di una persona fisica, ecc.
Qualunque amministratore di sistema sà come incrociare queste
informazioni e quindi tracciare un profilo della persona oggetto della
ricerca (in palese contrasto con la legge in questione), ma necessario
quando bisogna capire cosa non funziona.
Quindi se quanto detto è valido si devono applicare le misure minime
di sicurezza vedi:
ALLEGATO B. DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI
SICUREZZA (Artt. da 33 a 36 del codice)
da cui si evince che chiunque accede a tale elaboratore (incaricati)
deve essere nominato, autorizzato e formato.

Cito solo un punto del CAPO II - ILLECITI PENALI
Art. 169. Misure di sicurezza
1. Chiunque, essendovi tenuto, omette di adottare le misure minime
previste dall'articolo 33 è punito con l'arresto sino a due anni
o con l'ammenda da diecimila euro a cinquantamila euro.

Questa mia personale interpretazione ipotizza quindi una serie di
difficoltà gestionali nel caso dovessimo metterci le "mani" es. ssh.

Mi piacerebbe approfondire l'argomento con altri interessati, Linux
da questo punto di vista è sicuramente un passo avanti rispetto ad
altri :-) non per niente le nuove politiche pubblicitarie di BillG
sono tutte rivolte a 'ma quanto è sicuro!'.

Ciao Oriano
-- 
  _________________________________________________________
| Oriano Chiaradia | oriano@iol.it | GPG KeyID: 0x9F64DD7D
| GPG Public Key:  http://users.libero.it/oriano/mail.html



Maggiori informazioni sulla lista blug