[OT] Oriano e la Privacy. Era Re: Linux e Istituto Calvi di Belluno

Massimo Masson massimo@mail.studiomasson.it
Sab 24 Lug 2004 00:15:21 CEST 

Oriano ha scritto:
> Alberto Fornasier wrote:
[...]
>> Secondo me la situazione non è soggetta alla legge sulla privacy, ma

Sono parzialmente d'accordo a metà col Mister (hemm... con Alberto), nel 
senso che il problema privacy non dovrebbe riguardare direttamente noi 
in qualità di consulenti/installatori. Tuttavia...

[...]

> La mia analisi parte dal presupposto che nei log della macchina
> oggetto della discussione siano presenti delle informazioni che
> soddisfano una serie di requisiti citati dalla legge.
> In ordine:
> Decreto legislativo 30 giugno 2003, n. 196
> Art. 4. Definizioni
> a) "trattamento", qualunque operazione o complesso di operazioni,
> effettuati anche senza l'ausilio di strumenti elettronici, concernenti
> la raccolta, la registrazione, l'organizzazione, la conservazione,
> la consultazione, l'elaborazione, la modificazione, la selezione,
> l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco,
> la comunicazione, la diffusione, la cancellazione e la distruzione
> di dati, anche se non registrati in una banca di dati;
> b) "dato personale", qualunque informazione relativa a persona fisica,
> persona giuridica, ente od associazione, identificati o identificabili,
> anche indirettamente, mediante riferimento a qualsiasi altra
> informazione, ivi compreso un numero di identificazione personale;

Sempre l'art. 4 definisce anche, come poi esplicitato nei successivi 
artt. 28, 29 e 30 le figure del Titolare, del/degli eventuali 
Responsabili e degli Incaricati al trattamento dei dati.

E' onere del titolare prevedere la nomina degli incaricati e dei 
responsabili che sono gli unici soggetti che possono compiere operazioni 
di trattamento dei dati personali.
In un caso come quello prospettato, sicuramente non saremmo noi titolari 
dei trattamenti, e non saremmo noi a doverci attivare in tal senso (a 
meno di non iniziare specifiche raccolte di dati personali, ma questa è 
un'altra storia...) imho.

Le considerazioni che tu esponi sono ben valide in ogni caso per 
chiunque effettui dei trattamenti di dati personali, ma bisogna vedere 
quale sia il soggetto tenuto all'applicazione della normativa.

Piuttosto, per anticipare il campo delle misure minime di sicurezza che 
tu in seguito proponi, il Titolare dovrebbe richiedere (punto 25 del 
disciplinare tecnico) all'installatore una descrizione scritta 
dell'intervento effettuato che ne attesti la conformità alle 
disposizioni del disciplinare tecnico stesso.

Ecco, se questo lo dovessero chiedere (e forse dovrebbero...) allora 
anche gli installatori sarebbero tenuti a fornirlo, sempre imho... :)

[...]

> Quindi se quanto detto è valido si devono applicare le misure minime
> di sicurezza vedi:
> ALLEGATO B. DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI
> SICUREZZA (Artt. da 33 a 36 del codice)
> da cui si evince che chiunque accede a tale elaboratore (incaricati)
> deve essere nominato, autorizzato e formato.

Giusto, tutto a cura del titolare o dei responsabili da questo nominati. 
Che nel caso di specie non siamo noi...

Inoltre, mi domando (per facilitare la vita anche al povero "Titolare" 
di cui stiamo in questo momento parlando), quali dati personali sono 
trattati in un elaboratore che viene installato per la prima volta? Mi 
verrebbe da pensare nessuno, almeno durante la fase di installazione, o 
sbaglio?
Discorso diverso per l'amministratore di sistema che svolge il lavoro 
sulla macchina "in produzione", che controlla gli utenti, i log e un 
sacco di altre cose (e che a quanto mi risulta è spesso nominato come 
figura di responsabile in circostanze del genere).

> Questa mia personale interpretazione ipotizza quindi una serie di
> difficoltà gestionali nel caso dovessimo metterci le "mani" es. ssh.

Se il problema è fare proprio gli amministratori di sistema, quando il 
sistema stesso contiene anche dati personali, probabilmente si.
A meno che non si studino meccanismi per escludere l'accesso ai dati 
personali memorizzati anche all'amministratore di sistema... :)

> Mi piacerebbe approfondire l'argomento con altri interessati, Linux
> da questo punto di vista è sicuramente un passo avanti rispetto ad
> altri :-) non per niente le nuove politiche pubblicitarie di BillG

Sono qui, ben volentieri, tempo permettendo!!! :)

(Riservatamente) Ciao,
Max

Maggiori informazioni sulla lista blug