[OT] Regolamento Europeo Protezione Dati Personali

[rino]

Suppongo che sul forum ci siano diversi sviluppatori, d'altronde SC serve a sviluppare, alcuni professionisti altri all interno di strutture .
Una cosa che ho sempre notato è la distrazione dei tecnici informatici verso le norme che regolano la nostra profesisone, norme di responabilità generiche sul prodotto realizzato , norme specifiche sui reati informatici , norme specifiche sui dati, norme sul diritto industriale etc; questo però è un comportamento pericoloso ogni giorno aumenta il rischio di dover pagare per cose da noi realizzate.

Ieri è stato pubblicato il Regoalmento Europeo per la protezione dei dati personali , è immediatamente in vigore in tutta Europa e lascia solo 24 mesi per adeguare i vari trattamenti .
Chi ha già operato prestando attenzione alla norma non dovrebbe avere grossi problemi, chi invece, e sono molti , non ha operato nel rispetto della norma avrà grosse e pesanti sorprese. Molti software dovranno essere rivisti e non tutti superficialmente. Il nuovo criterio è basato sulla privacy by design , una privacy pensata già in fase di disegno sia dei software , sia delle banche dati, sia delle procedure operative.
Il Regolamento prevede anche la possibilità di certificare il prodotto , a dimostrazione che siamo entrati su un livello superiore a prima. In molti anni di carriera non ho mai visto , tranne che per certi prodotti sanitari, una certificazione di prodotti software, da oggi invece è possibile certificare il proprio prodotto secondo normativa tecnica UNI EN ISO.

Non voglio ne posso qui fornire soluzioni a quello che è un serio problema , mio intento è solo eccitare una seria attenzione dei colleghi .

Faccio solo un esempio banale di cosa potrebbe accadere.
SC opera in ambiente WEB , significa che le APP girano sotto Apache o IIS (il masochismo non è vietato) , spesso i server non sono neanche in area protetta quindi l abiente è disponibile a subire attacchi di ogni genere.
SC fornisce strumenti veloci e eccezzionali per archiviare i c.d. documenti o file; i contenuti di questi file per una percentuale altissima rientrano di diritto nell ambito di tutela del regolamento.
Qualcuno si è mai domandato in che area vengono depositati e se quest'area offre le garanzie richieste dal buon senso prima e dalla norma oggi?
Gli strumenti offerti da SC permettono un corretto adeguamento ma quanti li hanno usati secondo questo criterio?
E' solo uno spunto di analisi in realtà ne avrei molti altri.

Se sono andato fuori tema forum chiedo scusa e mi ritiro in buon ordine.
Rino

[admin]

L'argomento è interessantissimo.
Il regolamento si occupa prevalentemente del diritto degli utenti di accedere ai propri dati e conoscere/modificare le autorizzazioni, più che di questioni di sicurezza. O sbaglio?

Si potrebbe indicare qualche link che riporta gli aspetti principali del regolamento?

[rino]

Ecco il link dove è possiible trovare la versioen ufficiale nelle varie lingue europee no link please:-lex.europa.eu/legal-content/ ... 16:119:TOC
La lettura va fatta in italiano perchè è la traduzione ufficiale della versioen originale scritta in inglese, leggere la versione inglese può portare a traduzioni non corrette.

In realtà il regolamento non si occupa del diritto di accedere ai propri dati ma di tutelare i propri dati. Il dato è proprietà del soggetto cui fa riferimento , l interessato, che lo concede in prestito ad altri soggetti , il titolare, per determinati scopi e finalità.
Il regolamento , ma tutto l impianto privacy, ha da sempre trasformato il dato personale in una parte indissolubile del soggetto cui fa riferimento riconoscendo nei fatti una doppia vita, quella analogica e quella digitale.
Il c.d. diritto di accesso è solo uno strumento a disposizione dell interessato per verificare che la sua proprietà sia usata secondo le regole stabilite. Insoma do in prestito una mia cosa e ho il diritto di controllare in ogni momento cosa e come la usi.
Questo in sintesi concreta.
Il regolamento ha introdotto il concetto/ filosofia di privacy by design .
In pratica sino a ieri chi trattava i dati si doveva preoccupare della loro sicurezza dopo averli acqusiiti e con strumenti che venivano adattati successivamente alla loro creazioen. Oggi invece questi strumenti devono essere già pensati con l ottica di detenere dati personali e quindi garantirne la sicurezza.
In sintesi Ieri disegnavo la banca dati o la procedutra informatica o manuale e dopo mi preoccupavo di difenderla in ottica privacy , oggi invece devo ragionare in ottica privacy già da subito.

Una prima differenza sta per esempio sulla necessità del dato.
Prendiamo ad esempio il numero telefonico che viene spesso obbligatoriamente richiesto per le consegne merce ( vedita ecommerce p.e.) Se ieri era necessario domandarmi della sua necessità a livello generale , oggi sono obbigato a pormi la domanda caso per caso .
Sempre per la vendita, ieri la scheda cliente era generata integralmente , specie nell ecommerce, nel tempo del primo contatto , l iscrizione al sito , oggi dovrà essere incrementata man mano che si sviluppa il rapporto , quindi i dati anagrafici necessari per fatturare solo al tempo della fatturazione e lo stesos per la consegna merce , in pratica a chiusura carrello. L'acquisizione in un tempo precedente non deve essere più obbligatoria.
Finalmente , e questo è in mio personale godimento, una legge parla di analisi RID per i trattamenti di dati .
Reperibilità Integrità Disponibilità
Nel disegnare un sistema di trattamento dati devo realmente e concretamente preoccuparmi di questi tre citati aspetti .

MI scuso per l'estrema sintesi, cerco di darvi spunti di ragionamento. Di questi problemi , credo si sia capito , me ne occupo dal '96 , ma secondo una mia filosofia che oggi trova conferma nel regolamento.
Quello cui tengo e crecare di far capire che al dilà del rispetto di un diritto primario indisponibile esiste anche un serio rischio per il produttore degli strumenti di trattamento, siano questi informatici o organizzativi, non è solo questione burocratica ma reale e concreta che ci obbliga a fare delle scelte in modo razionale e meditato caso per caso.