il blog di Paolo Giardini

Il nuovo Regolamento Europeo: Privacy Officer o Data Protection Officer?

aprile 4th, 2013 Pubblicato in Privacy, Sicurezza | Commenti disabilitati

Ormai dovremmo essere alle battute finali del lavoro  da lungo tempo iniziato dalla commissione europea incaricata di aggiornare le norme comunitarie sulla privacy, o meglio, sulla protezione dei dati personali.
Entro maggio 2104 (se le varie opposizioni dopo lo scandalo delle intercettazioni saranno superate)  dovrebbe vedere la luce, nonostante molte ombre rimangano (vedi i problemi nell’utilizzo di dati personali per scopi di studio) , il regolamento “on the protection of individuals with regard to the processing of personal data and on the free movement of such data”. Leggi il resto di questo articolo »

Linux Day 2012:

ottobre 20th, 2012 Pubblicato in Eventi, Open Source | Commenti disabilitati

Sabato 27 ottobre torna in tutta Italia la manifestazione che promuove il software libero e GNU/Linux in particolare.

L’argomento principale della giornata sarà “il software libero nella piccola e media impresa”.
Come recita lo slogan adottato, Abbattere i costi del software in azienda, senza rinunciare a nulla, e migliorando la sicurezza e la flessibilità dei sistemi: con Linux si può!

In particolare a Perugia l’appuntamento è con gli attivissimi ragazzi del GNU/LUG Perugia presso il centro congressi Mater Gratie,  Strada San Galigano Santa Lucia, 12/A, Località Montemorcino, Perugia.

L’articolo sul sito del GNU/LUG Perugia dove troverete anche il volantino dell’evento ed il link per la registrazione (gratuita).

 

 

 

Abrogato il DPS. Pubblicato il testo in Gazzetta Ufficiale

febbraio 15th, 2012 Pubblicato in Privacy, Sicurezza | Commenti disabilitati

Il testo del decreto-Legge “Disposizioni urgenti in materia di semplificazione e sviluppo” del 03/02/2012, n.5  è stato pubblicato sulla Gazzetta Ufficiale n. 33 del 09/02/2012. Vi sono state apportate alcune modifiche ma il testo dell’ art. 45, quello che modifica in qualche modo la percezione, più che la sostanza, della necessità di protezione dei dati personali, non è stato toccato. Questo è il testo dell’Art. 45.

(Semplificazioni in materia di dati personali)

1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a) all’articolo 21 dopo il comma 1 è inserito il seguente:

«1-bis. Il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici di cui all’articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.»;

b) all’articolo 27, comma 1, è aggiunto, in fine, il seguente periodo:

“Si applica quanto previsto dall’articolo 21, comma 1-bis.”;

c) all’articolo 34 è soppressa la lettera g) del comma 1 ed è abrogato il comma 1-bis;

d) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B sono soppressi i paragrafi da 19 a 19.8 e 26.

La parte che riguarda il DPS  la lettera c) e la lettera d).

La prima cosa da dire, anzi da sottolineare ben bene, è che questo non  significa assolutamente che siano aboliti gli obblighi delle misure di sicurezza (art. 34 del codice) ne alcuno degli altri obblighi sanciti dal d.lgs 196/2003 (informativa, consenso, lettere di nomina…) oltre a quanto previsto specificatamente nel disciplinare tecnico e dai provvedimenti del Garante (p.e. internet e posta elettronica, Amministratori di sistema, videosorveglianza…). Anzi, è prevedibile che in mancanza del DPS, gli eventuali controlli si focalizzeranno sulla verifica delle effettive misure di sicurezza applicate.

E’ evidente comunque che pur non esistendo più un obbligo di redazione di un DPS ne tanto meno un modello a cui dover rispondere, sarà comunque necessario, specialmente per le realtà più complesse, la redazione di un “documento riepilogativo” (chiamiamolo pure come vogliamo) che riassuma la situazione dei trattamenti effettuati, degli strumenti utilizzati e delle misure di sicurezza adottate.

A questo proposito, quanti si sono fatti rilasciare dal consulente, dal tecnico, dalla ditta che fa assistenza informatica, l’attestato di conformità previsto dal punto 25 del disciplinare tecnico? Adesso questo documento assumerà valore ancora maggiore, dato che sarà forse l’unico documento obbligatorio che attesti l’adozione di misure di sicurezza.
Questo avrà sicuramente il suo peso nel caso in cui ci si trovi a dover rispondere di danni causati dal trattamento di dati personali a norma dell’art. 15 del codice:

art. 15 -1 Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile.

che detto per inciso, è famoso per il ribaltamento del concetto dell’onere della prova. Ovvero, in caso di richiesta di risarcimento danni sarò io a dover dimostrare di aver messo in atto tutte le misure atte a far si che l’evento dannoso non si verifichi.

E questo è anche uno dei motivi per i quali il miglior consiglio che si può dare  è questo: non buttate alle ortiche il DPS. Magari semplificatelo,  ma continuate ad aggiornarlo al variare dei vostri trattamenti, degli strumenti, delle misure di sicurezza adottate.

Tenete pure presente che chi è soggetto alla legge 231/2000 potrà utilmente impiegare il proprio DPS (o comunque lo abbiate chiamato) come parte della documentazione a corredo delle attività previste .

 

 

DPS Addio! Stavolta sul serio.

gennaio 27th, 2012 Pubblicato in Privacy | Commenti disabilitati

Forse questa è la volta buona, dopo il clamore che sollevò nel giugno del 2008 il decreto che introduceva l’autocertificazione in vece del DPS (il famigerato Documento programmatico sulla sicurezza dei dati personali, ne parlai qui) questa volta si fa sul serio.
Via dal Codice la lettera g) del  comma 1 dell’art. 34 e via tutto il comma 1 bis sempre dell’art. 34.

Di conseguenza, via dall’allegato B, il disciplinare tecnico, tutto il paragrafo dedicato al DPS, ovvero dal punto 19 al punto 19.7, (dove venivano dettagliate le modalità di redazione del DPS) oltre all’obbligo di annotare l’aggiornamento del DPS nelle relazioni di bilancio (il punto 26).

Attenzione però. Eliminare l’obbligo del DPS non significa che non vi sia più l’obbligo delle misure di sicurezza.

E il dubbio che rimane è: se non ho un DPS che raccoglie tutte le informazioni sui trattamenti effettuati, su chi li effettua, con quali strumenti, quali sono i rischi  individuati e le relative contromisure,… come farò a dimostrare, in caso di necessità, di avere adottato tutte le misure di sicurezza minime e soprattutto le misure di sicurezza adeguate? Eh. Già. Ho come l’impressione che torneremo sull’argomento.

Ricordiamoci inoltre che entro 60 giorni dalla data di pubblicazione in Gazzetta Ufficiale del decreto approvato oggi sarà  necessaria la sua conversione in legge. Questo il testo del comunicato sul sito del governo:

PRIVACY – eliminato l’obbligo di predisporre e aggiornare il documento programmatico sulla sicurezza (DPS) che, oltre a non essere previsto tra le misure di sicurezza richieste dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, rappresenta un adempimento meramente superfluo. Restano comunque ferme le misure di sicurezza previste dalla normativa vigente. Il risparmio stimato per le PMI è di circa 313 milioni di euro all’anno.

 

 

 

 

Linux Day 2011

ottobre 6th, 2011 Pubblicato in Eventi, Open Source, Sicurezza | Commenti disabilitati
Consulta la mappa degli eventi in Italia

Consulta la mappa degli eventi in Italia

Si avvicina la data del Linux Day 2011 che si terrà sabato 22 ottobre in contemporanea in  moltissime città italiane. Come sappiamo Linux Day è un evento nazionale organizzato da Italian Linux Society e da  associazioni e gruppi italiani per la promozione dell’utilizzo di GNU/Linux e del software libero.

A Perugia e precisamente a Magione,la giornata del Linux Day sarà dedicata all’utilizzo di Linux e del Software Libero in azienda. I talk saranno pertanto indirizzati ad un pubblico professionale, non trascurando però l’aspetto divulgativo con la presentazione di varie distribuzioni Linux (Fedora, Backtrack) e con la classica install fest: portate i vostri pc o notebook, vi aiuteremo ad installare Linux!
Saranno inoltre in funzione laboratori e “Clinics” dove esperti mostreranno in pratica le cose discusse durante i talk.
Io in particolare mi occuperò di attrezzare e gestire un laboratorio di sicurezza informatica per mostrare dal vivo  le tecniche utilizzate dai Cracker (non ho sbagliato a scrivere, è il termine corretto per indicare chi  utilizza competenze “hacker” per commettere illeciti e reati), le vulnerabilità più comuni che si trovano nei pc aziendali e le contromisure possibili.

Nel corso della giornata saranno trattati temi legati alla programmazioni in Python, Android, Ruby, Django, VTK. Si parlerà  anche di grafica con Blender, di creazione di siti web con Drupal, di commercio elettronico con Magenta, di business intelligence con strumenti open source, di elettronica con Arduino, … Insomma davvero un ricco menu sarà servito nelle due sale riservate all’evento nelle quali si terranno due talk contemporaneamente dalle 8.30 del mattino alle 19.00.

Per ogni informazione e per registrarsi all’evento consultate il sito dello GNU/LUG Perugia, che organizza l’evento in collaborazione con il Python User Group di Perugia.  La registrazione non è obligatoria  ma serve per organizzare meglio il buffet (offerto dall’organizzazione) e la pausa pranzo presso un ristorante convenzionato.

 

Come si diventa un Hacker?

giugno 7th, 2011 Pubblicato in Corsi, Eventi, Sicurezza, Tecnica | 2 Commenti »

E’ una delle domande che più spesso si sente fare.

Studiare, provare, riprovare, e provare ancora. Tenersi aggiornati. Scambiare informazioni. Studiare ancora. Non so se sia la ricetta “universale” ma sicuramente è quanto credo dovrebbe fare chiunque voglia entrare nel mondo della sicurezza informatica e del pentesting.
Ovviamente esistono anche corsi specifici che possono portare ad acquisisre una certificazione specialistica nel settore, ad esempio quelli tenuti da Tiger Security relativi alla certificazione  OSCP (Offensive Security Certified Professional)  o da @Mediaservice.net relativi alla certificazione OPSA (OSSTMM Professional Security Analyst).

Chi volesse avere una guida autorevole nel proprio percorso formativo può senz’altro rivolgersi a queste aziende, tenendo però ben presente che lo strumento migliore siete voi, con  la vostra volontà, la vostra intelligenza, la vostra curiosità.

Siete ancora qui? Createvi un laboratorio di test con delle macchine virtuali, ad esempio utilizzando una delle distribuzioni ed applicazioni realizzate appositamente per studiare ed esercitarsi come badstore, Damn Vulnerable Linux o Damn Vulnerable Web Application,(ed anche  webgoat di OWASP e  metasploitable) ed iniziate i vostri esperimenti, magari utilizzando gli strumenti contenuti in BackTrack o BackBox.
E ricordatevi che l’Hacker non è un criminale.
Se volete saperne di più venite ad Orvieto il 16 luglio prossimo, per la quinta edizione di CAT – Cracca al Tesoro, il contest che mette in gioco gli hacker in una vera e propria “caccia al tesoro” dove gli indizi sono nascosti dietro le vulnerabiltà inserite nei server bersaglio appositamente installati  nelle reti wireless nascoste in tutto il centro storico dallo Staff di CAT;  è una occasione unica per mettere alla prova le proprie capacità, confrontarsi, imparare, crescere.

PS: Le iscrizioni (gratuite) sono già aperte!

 

E-privacy 2011

maggio 16th, 2011 Pubblicato in Eventi, Privacy | Commenti disabilitati

Si rinnova l’appuntamento con E-privacy,  uno dei più importanti eventi italiani con focus sulla riservatezza e sui diritti individuali in Rete, giunto al traguardo della decima edizione.

Dieci anni fa leggevamo sul sito dell’evento  “Il diffondersi dell’uso generalizzato di internet e della comunicazione elettronica introduce una serie di nuovi rischi legati al controllo ed al monitoraggio della vita privata dei cittadini, configurando nuove e gravi possibilità di violazione della riservatezza e dei diritti individalla protezione  della Privacy“.  Dobbiamo con disappunto annotare che questa frase è ancora terribilmente attuale.
Per questo,  nella prestigiosa cornice di Palazzo Vecchio a Firenze, dal 3 al 4 giugno,  esperti si confronteranno sul tema scelto  quest’anno, “Cloud Computing e Privacy ” analizzando questa tecnologia dal punto di vista legale, tecnico e pratico.

Come si può evincere dal programma delle due giornate, che può essere consultato sul sito del Progetto Winston Smith, verranno trattati  anche altri temi legati alla privacy ed alla protezione dei dati personali.

Sarò presente fra i relatori del convegno per analizzare  insieme al collega Eric Falzone le ricadute  sulla Privacy dei cittadini del decreto legge sviluppo approvato dal Governo pochi giorni fa e proporre una riflessione sul significato e sull’opportunità dell’applicazione del Codice in materia di protezione dei dati personali così com’è per le piccole e micro imprese.

 

 

Privacy: nuove “semplificazioni” con il decreto sviluppo

maggio 10th, 2011 Pubblicato in Privacy | Commenti disabilitati

Nata: questo articolo ha più di 6 mesi e non contiene informazioni aggiornate

Eh, già. Ci risiamo.

Il Governo nella riunione del consiglio dei ministri del 5 maggio scorso ha messo a punto una nuova “semplificazione”  degli adempimenti richiesti alle aziende in materia di protezione dei dati personali. In cosa alcune delle modifiche proposte  possano aiutare lo sviluppo, proprio non riesco a comprenderlo.
Ma andiamo con ordine, vediamo in breve cosa cambia e cerchiamo di capire cosa comporta in pratica.

All’articolo 5 è aggiunto in fine il seguente comma:

“3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni amministrativo – contabili, come definite all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice.”

In pratica, i rapporti fra aziende ed enti , ed esclusivamente nei rapporti fra loro effettuati per fini amministrativo – contabili, come definite all’articolo 34, comma 1-ter non sono più soggetti ad alcun obbligo fra quelli sin’ora previsti dal Codice in materia di protezione dei dati personali. Attenzione.  Prima nota importante. Non sono più soggetti al Codice solo i dati personali trattati a fini amminsitrativo- contabile, e finalmente abbiamo una definizione legale di questi termini:

“1-ter. Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo – contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale – assistenziale, di salute, igiene e sicurezza sul lavoro”;

Almeno sappiamo di cosa si parla e si potrà mettere fine alle ipotesi fin qui espresse sul reale significato di “finalità amministrativo – contabili” . O no?  Mah.
Mi sorgono dubbi, ad esempio, sui dati sensibili trattati da studi medici o laboratori privati di analisi cliniche, trattati su richiesta dell’interessato e quindi “finalizzati all’adempimento di obblighi contrattuali e precontrattuali”.

Andiamo avanti. Si parla ora di curriculum. I curriculum inviati spontaneamente dagli aspiranti candidati ad un posto di lavoro potranno essere trattati senza particolari obblighi, infatti viene modificato l’art. 13 (informativa) aggiungendo quanto segue:

 

“5-bis. L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).”;

Vengono modifcati anche l’art. 24 (quello relativo ai trattamenti per i quali è esclusa la necessità di consenso) e l’art.  26 consentendo il trattamento dei curricula senza necessità di consenso quando questi siano inviati spontanemente, anche quando questi contengano dati sensibili.

all’articolo 24,  è aggiunta la seguente:
“i-bis) riguarda dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis;”

 

all’articolo 26, comma 3, dopo la lettera b) è aggiunta la seguente:
“b-bis) dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis.”;

Sembra restare impregiudicato il trattamento di curricula ricevuti su richiesta diretta, quindi resta obbligatorio formire preventivamente l’informativa, ad esempio negli annunci di lavoro e nel caso, acquisire il consenso.

Sempre l’art. 24 viene modificato estendendo l’esenzione dall’obbligo di consenso per la comunicazione  di dati personali all’interno di gruppi societari, associazioni d’impresa, ecc. purchè di questo ne sia stata data preventiva informativa agli interessati.

 

“i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall’art. 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell’articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all’articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa di cui all’articolo 13.”;

Significa, ad esempio,  che i dati personali dei clienti e degli utenti potranno essere liberamente scambiati fra aziende che facciano parte dello stesso gruppo.

E siamo ad un altro punto interessante delle modifiche apportate alla normativa. Sostituendo integralmente l’attuale art. 34 – 1 bis viene esteso l’obbligo di autocertificazione sostituiva del Documento programmatico sulla sicurezza per quelle aziende che trattino solo dati personali non sensibili e dati personali di qualunque tipologia dei dipendenti e dei collaboratori.

 

all’articolo 34, il comma 1-bis è sostituito dai seguenti:

“1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall’obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell’articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell’allegato B).

In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrativo – contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l’innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all’adozione delle misure minime di cui al comma 1.”

Infine, un altro passo verso il soffocamento da pubblicità. Viene consentito l’invio di materiale pubblicitario cartaceo senza necessità di consenso nei confronti di chi non abbia provveduto alla iscrizione al già famoso “registro delle opposizioni” non solo del proprio numero telefonico ma anche del proprio indirizzo civico. Ovviamente la Fondazione Bordoni, che gestisce il registro dovrà aggiornare il sistema prevedendo l’inserimento dei nuovi dati ed estendendo  le procedure di verifica, ecc. Tutte cose che dovranno in qualche modo essere regolate e per le quali ancora non si sa nulla.

 

“all’articolo 130, comma 3-bis, dopo le parole: “mediante l’impiego del telefono” sono inserite le seguenti: “e della posta cartacea” e dopo le parole: “l’iscrizione della numerazione della quale è intestatario” sono inserite le seguenti: “e degli altri dati personali di cui all’articolo 129, comma 1,”

Concludendo, anche se alcune delle semplificazione apportate alla normativa sulla protezione dei dati personali vanno nella giusta direzione, vi sono sicuramente delle cose ancora da mettere a punto. Aspettiamo di vedere cosa cambierà fino al momento della pubblicazione in Gazzetta Ufficiale.

The CAT is back!

febbraio 22nd, 2011 Pubblicato in Eventi, Sicurezza | Commenti disabilitati

“The CAT is back” scrive Raoul Chiesa in un articolo su www.craccaaltesoro.it, il sito ufficiale di Cracca Al Tesoro annunciando la nuova edizione del gioco per Hacker che si svolgerà sabato 12 marzo a Milano, con sede presso ATAHotel Executive e con zona delle operazioni in Corso Como e dintorni.

Anche questa volta, CAT sarà l’evento di avvio del Security Summit, la più importante  manifestazione italiana della scena Security.

CAT è un gioco per hacker, esperti di sicurezza informatica ed appassionati che dovranno, in una specie di caccia al tesoro informatica,  individuare gli access point installati dall’organizzazione e connessi a server bersaglio  appositamente configurati con falle di sicurezza che dovranno essere individuate e sfruttate dai giocatori per  recuperare le indicazioni necessarie a completare la “caccia”.

Al via il registro delle opposizioni

febbraio 1st, 2011 Pubblicato in Privacy | 1 Commento »

Forse ora “difendere la propria privacy dal telemarketing subito ” sarà  più facile.

Oggi è  diventato  operativo il Registro pubblico nel quale chi non voglia ricevere telefonate pubblicitarie può iscrivere il  proprio numero di telefono.

Come sappiamo esistono varie modalità per effettuare l’iscrizione: mediante compilazione di apposito modulo elettronico sul sito web del gestore del registro pubblico; mediante chiamata effettuata dalla linea telefonica per la quale si chiede l’iscrizione nel registro;  mediante invio di lettera raccomandata o fax al recapito del gestore; mediante posta elettronica.

Purtroppo stiamo provando da stamane ad effettuare la registrazione tramite il sito web www.registrodelleopposizioni.it ma finora ogni tentativo è stato frustrato dalla caduta della connessione al server (pagina scaduta).

Ora il server risulta addirittura irraggiungibile con un triste errore 503.

La gestione del Registro delle opposizioni è stata affidata alla Fondazione Ugo Bordoni, ed il sito pare essere ospitato da GARR.

In un articolo presente al momento nella home page della Fondazione si legge invece “Pur in presenza del picco di traffico iniziale, peraltro già previsto, il sistema sta rispondendo bene secondo le previsioni“.

Nello stesso articolo si legge che le registrazioni effettuate tramite web sono al momento 3147 su un totale di 11.137.

Comunque la perseveranza paga: abbiamo finalmente effettuato la registrazione e siamo in attesa della e-mal di conferma con il codice assegnato. Quindi non disperate se non riuscite al primo tentativo.

Vedremo nel tempo se questo sarà sufficiente a fermare il telemarketing selvaggio. Ad ora  sono solo quattro gli operatori che si sono iscritti al registro.