Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Sicurezza e protezione dei dati personali: le regole del codice, Appunti di Informatica Giuridica

Le regole del codice riguardanti la protezione dei dati personali, compresi i principi cardine, i diritti dell'interessato, le regole generali per il trattamento di dati elettronici e non elettronici, e le misure minime necessarie per garantire la sicurezza dei dati. Il documento include dettagli sui trattamenti di dati sensibili, la necessità di un documento programmatico sulla sicurezza (dps), e le misure da adottare per garantire l'integrità e la disponibilità dei dati.

Tipologia: Appunti

2010/2011

Caricato il 27/11/2011

toto26
toto26 🇮🇹

5

(1)

2 documenti

1 / 70

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
CAPITOLO 1: L’IDEA DI OPEN SOURCE (17)
Il linguaggio che un elaboratore elettronico è in grado di elaborare è composto
unicamente di sequenze di zero e di uno, che corrispondono alla presenza o
all’assenza del passaggio di corrente. Tuttavia sarebbe molto dicile programmare un
computer solo con queste sequenze, e a questa necessità sopperiscono i linguaggi di
programmazione. Il risultato della programmazione è un le di testo composto dalle
istruzioni del particolare linguaggio in cui si è deciso di scrivere il programma.
L’insieme delle istruzioni che costituiscono un programma si dice codice. Il le che
contiene il codice si dice le sorgente. Un programma di cui sia per tutti
disponibile il codice si dice a sorgente aperta, open source. Se possiamo
accedere al codice di un programma, possiamo modicarlo! (Bill Gates è l’inventore dell’idea del
software chiuso e a pagamento)
Attualmente, la circolazione, la distribuzione, la modicazione del software che
acquistiamo sono regolate dall’art. 64 della L. n. 633/1941, ossia la legge sulla
Protezione del diritto d’autore e di altri diritti connessi al suo esercizio.
Il free software. Richard Stallman lancia nel 1983 il progetto GNU con l’intento di
sviluppare un sistema operativo che fosse free-software. Nel 1985, fonda la Free
Software Foundation per studiare il problema del free-software dal punto giuridico.
Infatti si tratta di un “concetto giuridico”: è un programma la cui utilizzazione,
distribuzione, modicazione sono disciplinate da una particolare licenza e ad ogni
utente è permesso compiere gli atti sopra elencati. Si hanno dunque le seguenti
libertà:
Libertà d’uso: si deve poter usare per qualsiasi ne e poter studiare come funziona il
programma;
Libertà di modica: si deve poter adattare il programma alle proprie necessità e
poterlo migliorare;
Libertà di distribuzione : si deve poter redistribuire il programma, insieme ai
miglioramenti apportati.
Le libertà di modica e d’uso presuppongono l’accessibilità al codice sorgente; la libertà di distribuzione
implica che si possano distribuire copie del programma immediatamente utilizzabili dall’utente nale; e la
libertà di modica congiuntamente alla libertà di distribuzione implica che non sia necessaria nessuna
forma di autorizzazione per modicare i programmi e distribuirli; inne, le libertà di distribuzione
implicano che il software libero possa essere venduto.
L’unico divieto è che nessuno può sottoporre un free-software ad una licenza che ne
limiti la libertà (copy-left: prescrive cosa l’utente non può fare).
Licenza GPL (General Public License). È lo strumento giuridico che garantisce il
rispetto delle libertà elencate. La licenza stabilisce che il free-software può funzionare
solo insieme ad altro free-software. Questa “clausola” ha segnato il fallimento del
progetto GNU: da un lato, gli sviluppatori di software chiuso non potevano
sviluppare programmi che funzionassero insieme a sistemi free; dall’altra i
programmatori free non avevano interesse a sviluppare programmi per i quali
mancava un ambiente in cui girare: GNU, come sistema operativo, non ha mai visto la luce!
Nel 2006 esce la terza versione della GPL, in cui si aggiunge l’impossibilità di integrare
nei programmi rilasciati sotto di essa ogni forma di DRM (Digital Right Management).
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31
pf32
pf33
pf34
pf35
pf36
pf37
pf38
pf39
pf3a
pf3b
pf3c
pf3d
pf3e
pf3f
pf40
pf41
pf42
pf43
pf44
pf45
pf46

Anteprima parziale del testo

Scarica Sicurezza e protezione dei dati personali: le regole del codice e più Appunti in PDF di Informatica Giuridica solo su Docsity!

CAPITOLO 1: L’IDEA DI OPEN SOURCE (17)

Il linguaggio che un elaboratore elettronico è in grado di elaborare è composto unicamente di sequenze di zero e di uno , che corrispondono alla presenza o all’assenza del passaggio di corrente. Tuttavia sarebbe molto difficile programmare un computer solo con queste sequenze, e a questa necessità sopperiscono i linguaggi di programmazione. Il risultato della programmazione è un file di testo composto dalle istruzioni del particolare linguaggio in cui si è deciso di scrivere il programma.

L’insieme delle istruzioni che costituiscono un programma si dice codice. Il file che

contiene il codice si dice file sorgente. Un programma di cui sia per tutti

disponibile il codice si dice a sorgente aperta, open source. Se possiamo

accedere al codice di un programma, possiamo modificarlo! (Bill Gates è l’inventore dell’idea del software chiuso e a pagamento)

Attualmente, la circolazione, la distribuzione, la modificazione del software che

acquistiamo sono regolate dall’ art. 64 della L. n. 633/1941 , ossia la legge sulla

Protezione del diritto d’autore e di altri diritti connessi al suo esercizio.

Il free software. Richard Stallman lancia nel 1983 il progetto GNU con l’intento di

sviluppare un sistema operativo che fosse free-software. Nel 1985, fonda la Free Software Foundation per studiare il problema del free-software dal punto giuridico. Infatti si tratta di un “concetto giuridico”: è un programma la cui utilizzazione, distribuzione, modificazione sono disciplinate da una particolare licenza e ad ogni utente è permesso compiere gli atti sopra elencati. Si hanno dunque le seguenti libertà:

  • Libertà d’uso : si deve poter usare per qualsiasi fine e poter studiare come funziona il programma ;
  • Libertà di modifica : si deve poter adattare il programma alle proprie necessità e poterlo migliorare ;
  • Libertà di distribuzione : si deve poter redistribuire il programma, insieme ai miglioramenti apportati.

Le libertà di modifica e d’uso presuppongono l’accessibilità al codice sorgente; la libertà di distribuzione implica che si possano distribuire copie del programma immediatamente utilizzabili dall’utente finale; e la libertà di modifica congiuntamente alla libertà di distribuzione implica che non sia necessaria nessuna forma di autorizzazione per modificare i programmi e distribuirli; infine, le libertà di distribuzione implicano che il software libero possa essere venduto.

L’unico divieto è che nessuno può sottoporre un free-software ad una licenza che ne limiti la libertà ( copy-left : prescrive cosa l’utente non può fare ).

Licenza GPL (General Public License). È lo strumento giuridico che garantisce il

rispetto delle libertà elencate. La licenza stabilisce che il free-software può funzionare solo insieme ad altro free-software. Questa “clausola” ha segnato il fallimento del progetto GNU: da un lato, gli sviluppatori di software chiuso non potevano sviluppare programmi che funzionassero insieme a sistemi free ; dall’altra i programmatori free non avevano interesse a sviluppare programmi per i quali mancava un ambiente in cui girare: GNU, come sistema operativo, non ha mai visto la luce!

Nel 2006 esce la terza versione della GPL, in cui si aggiunge l’impossibilità di integrare nei programmi rilasciati sotto di essa ogni forma di DRM ( Digital Right Management ).

DRM e i diritti dell’utente. È un modo per controllare che ciò che gira su di un

computer rispetti determinate condizioni di condivisibilità legale. Il tipico campo di applicazione sono gli oggetti culturali in formato digitale protetti da copy-right (es. brani musicali).

Linux e l’ open source. È un sistema operativo che inizia a diffondersi negli anni

’90 e che ha un ideatore, Linus Torvalds, e circa 10000 sviluppatori. L’unico scopo era produrre un buon sistema operativo, senza alcuna finalità di carattere politico o

morale. Ed è nel ’96 che nasce l’idea di open source , che è un marchio e che si

distingue dal free-software perché (1) la licenza non deve contaminare gli altri programmi [cioè non deve porre limitazioni su un altro software che venga distribuito insieme con il software in licenza ] e (2) deve essere tecnologicamente neutrale [ cioè nessuna delle condizioni poste dalla licenza può essere in funzione di una particolare tecnologia o di un particolare stile di interfaccia ]. Inoltre vi è una differenza anche nella fondazione: progetto politico il free-software , di buona programmazione l’ open source.

Le licenze free di Microsoft. La Microsoft, ovvero il mondo del codice a sorgente

chiusa, è spesso identificata come l’antagonista del mondo dell’ open source. Nel 2005, la softhouse di Redmond ha fatto comparire sul suo sito quattro licenze, almeno due delle quali soddisfano le caratteristiche richieste dal software open source.

  • Microsoft Permissive License (Ms-PL): permette di vedere, modificare e redistribuire il codice sorgente sia per scopi commerciali che non. Sotto questa licenza si può cambiare il codice sorgente e condividerlo con gli altri. Si può anche far pagare per le modifiche.
  • Microsoft Community License (Ms-CL): è una licenza che può essere sfruttata al meglio per progetti di sviluppo collaborativi. È comunemente riferita a codici sorgente reciproci. Permette sia modifiche commerciali che non e la redistribuzione di software sotto licenza.
  • Microsoft Reference License (Ms-RL): è una licenza riservata alla consultazione. È permesso vedere il codice sorgente, ma non è consentita né la modificazione, né la redistribuzione.

Tutela giuridica del software in Italia. Da tempo si discute sulla tutela giuridica del

software, sa fosse da attuarsi attraverso lo strumento brevettuale o attraverso la disciplina del diritto d’autore. Non è mai stata presa in considerazione la proposta di creare una forma di protezione specifica per i programmi per elaboratore: si è sempre ritenuto che il diritto già esistente fosse sufficiente anche a tutelare il nuovo oggetto. Ma il software è da considerarsi un invenzione o un’opera dell’ingegno?

Prevale la prima tesi: la direttiva 91/250/CEE , recepita dal nostro ordinamento con il D. Lgs. n. 518/1992 protegge “ i programmi per elaboratore, in qualsiasi forma espressi, purché originali, quale risultato di creazione intellettuale dell’autore ”. Essa riguarda il programma espresso in forma sorgente, i dispositivi di output, e le interfacce con l’utente, ossia l’insieme di immagini grafiche, messaggi e suoni che guidano l’utente all’intervento sui comandi dell’elaboratore. A sostenere la tutela del software attraverso il diritto d’autore vi è, inoltre, il divieto di brevettabilità dei programmi per elaboratori.

I programmi per elaboratore sono tutelati dalla Legge sul diritto d’autore come opere letterarie. Restano tuttavia “esclusi dalla tutela [..] le idee e i principi [..] alla base delle sue interfacce”. Perciò oggetto della tutela è soltanto la forma espressiva esatta del programma e non l’idea in esso contenuta. Questa tutela è deliberatamente limitata, per non rischiare di arrestare il progresso tecnologico e scientifico da un lato, e per proteggere il singolo programma creato sulla base di quei principi dall’altro.

denominato paradigma dell’ informazionalismo , e si caratterizza per l’accresciuta capacità umana nell’elaborazione di questa informazione.

Questa capacità ha investito la società, determinandone un significativo mutamento nelle modalità della sua organizzazione, sia a livello locale che globale. Solo lo sviluppo delle nuove tecnologie informatiche ha permesso di superare efficacemente questi due problemi, connettendo in tempo reale soggetti, apparati, strutture. Il modello è quello della rete , del net. Internet è stato lo strumento chiave di questa nuova disarticolata organizzazione, priva apparentemente di centro e quindi di gerarchia. Su queste basi, C. ha deciso di chiamare network society la società attuale, basata su quella che egli stesso ha definito l’economia informazionale globale, in quanto strutturata attorno appunto all’organizzazione di network informazionali. Una società di questo tipo ha solo nodi in relazione reciproca ed interagente. Questo modello di organizzazione è stato subito assunto anche a nuovo modello di impresa per alcune peculiarità:

  • La gradualità: a seconda delle operazioni o delle transazioni economiche richieste questo modello di impresa può includere un numero differente di componenti a livello locale o globale. Assicura alle strategie d’impresa una variabilità senza costi gravosi.
  • L’interattività: interazioni in tempo reale nella circolazione dell’informazione tra soci, clienti, fornitori, operatori che ottimizza la diffusione delle informazioni stesse.
  • La gestione della flessibilità: la rete combina la guida strategica con l’interazione decentralizzata e multipla, decisiva per raggiungere gli obiettivi dell’impresa.
    • La differenziazione del marchio: consente di coniugare la garanzia di offrire un marchio riconosciuto e garantito, con l’esigenza di mercato di operare cmq sempre con altre aziende nella realizzazione di un prodotto.
    • La personalizzazione: la rete consente di diversificare la produzione per rispondere ad una domanda globale che vuole essere sempre meno massificata, ossia di adattare le caratteristiche del prodotto alle esigenze del cliente, pur restando ancorata ad un’economia di scala. Si ha un’economia di scala o in presenza di un accumulo delle esperienze precedenti che garantisce la progressiva acquisizione di competenze, tecnologie, che riducono i costi anche delle successive produzioni o in presenza di un aumento delle dimensioni dell’azienda e del volume della sua produzione. In entrambi i casi si ottiene una riduzione dei costi nelle produzioni successive che rimane un elemento fondamentale per tenere concorrenziali i prezzi dei prodotti.

L’evoluzione sociale descritta da Castells implica ad una nuova fase della società che è quella capitalista.

L’impostazione dell’opera di Himanen rimanda all’analisi compiuta dal sociologo tedesco Max Weber sulle condizioni che avevano prodotto il sorgere e l’affermarsi del capitalismo. L’intento di Himanen è di mostrare come le nuove tecnologie aprano opportunità storiche analoghe, ossia di passaggio ad una nuova età per l’umanità. Ed ecco gli aspetti teorici fondamentali dell’opera di Weber. Egli ha offerto un fondamentale contributo al dibattito sulla nascita dell’economia capitalistica: è stato un mutamento socio-culturale, la nascita e lo svilupparsi della comunità protestante, a giocare un ruolo esiziale nell’affermarsi del capitalismo e di quella spinta alla ricerca e all’innovazione che costituisce uno dei capisaldi del modus operandi di questo sistema economico e del suo processo di razionalizzazione del mondo. E anche la rivoluzione informatica è occorsa all’interno di questo quadro economico-produttivo.

Ne L’etica protestante e lo spirito del capitalismo , Max Weber ipotizza una stretta relazione tra l’affermarsi del movimento protestante e l’origine del modo capitalistico di produzione. Centrale tra le tesi protestanti e quelle della Chiesa di Roma è la diversa interpretazione del peccato originale. Per la Chiesa di Roma, esso avrebbe corrotto solo parzialmente l’animo umano: l’uomo sarebbe ancora capace di compiere il bene e la salvezza sarebbe raggiungibile anche attraverso delle opere di bene; l’uomo deve guadagnarsi meriti agli occhi di Dio attraverso le sue azioni quotidiane. Per il Protestantesimo, invece, il peccato originale ha irrimediabilmente corrotto l’uomo: egli non è più capace di volere il bene, di ricercarlo, di perseguire la salvezza. Non si può più parlare di libero arbitrio , bensì di servo arbitrio. Se l’uomo è schiavo di questa condizione dannata, solamente da Dio può arrivare la grazia della salvezza. L’uomo può solo avere fede.

Lo spirito del capitalismo, ossia quella mentalità orientata ad un guadagno crescente, frutto di un’attività professionale seria, sistematica e tendente alla razionalizzazione del processo lavorativo, propria della società capitalistica, sarebbe nata e si sarebbe diffusa attraverso quelle disposizioni etiche indotte dall’educazione protestante. L’etica protestante, intendendo il lavoro come vocazione , come compito assegnato da Dio all’uomo, ha fatto della condotta professionale l’ambito attraverso il quale a ciascun individuo è data la possibilità di raggiungere la sicurezza di sé come eletti, respingendo ogni dubbio frutto tanto di una fede insufficiente, quanto di una insufficiente azione della grazia divina. Si ottiene la salvezza con il raggiungimento di obiettivi professionali ( il guadagno innanzitutto), risultato di una condotta costante , di un autocontrollo sistematico , tutti segni distintivi dell’essere stati unti dal Signore, di essere destinati alla salvezza eterna dalla Grazia divina. È su quest’idea di un dovere professionale che è emersa l’etica sociale della civiltà capitalistica.

L’avvento della borghesia e del capitalismo ha portato con sé l’imporsi di una razionalità, di una visione razionale del mondo che ha coniugato lo sviluppo del capitalismo alla costante ricerca scientifica ed alla incessante innovazione tecnologica. L’informatica è il prodotto ultimo ed estremo di questo stesso processo di razionalizzazione.

Dovremmo valutare la portata dell’impatto che le ultime innovazioni tecnologiche hanno avuto sulla società e valutare la loro portata effettivamente rivoluzionaria. Ecco la tesi sostenuta da Himanen per analizzare quali mutamenti sociali le innovazioni tecnologiche recenti hanno apportato e quali possibilità di mutamento sono frenate e osteggiate. Il suo libro si intitola L’etica hacker e lo spirito dell’età dell’informazione. Al concetto di hacker è normalmente associata l’immagine del pirata informatico, di persone che tentano di entrare illegittimamente in qualche banca dati o che inviano via rete virus responsabili di danni irreparabili nei computer di tutto il mondo. In realtà a questa immagine negativa il mondo informatico ha associato un altro termine, quello di cracker. Il termine h. ha invece una valenza positiva e viene in tal senso assunto da Himanen. L’hacker è una persona che programma con entusiasmo, credendo nel potere positivo della diffusione dell’informazione, e cercando di conseguenza di creare software che siano free e possano facilitare a tutti e ovunque l’accesso all’ informazione e alle risorse di calcolo. L’intervento di Himanen ha come obiettivo quello di analizzare il nuovo modo di concepire il lavoro e le sue finalità e che si propone come alternativo a quello che caratterizza il modo capitalistico di produzione. Questo nuovo modello rappresenta l’esplicitazione di un nuovo paradigma di organizzare dei rapporti sociali, reso possibile dalle innovazioni tecnologiche.

un’accelerazione dei ritmi di produzione e, conseguentemente, dei ritmi di vita e di consumo delle merci. Tutto il ritmo della vita quotidiana ha subito le conseguenze di questa accelerazione e compressione dei tempi.

La cultura hacker pensa diversamente il rapporto con il proprio tempo: e può pensarlo in maniera diversa perché esso è sganciato dal guadagno come finalità ultima, come motivazione preminente di un’attività. Gli stimoli a fare si originano da un modo diverso di intendere la community. Il lavoro è importante se ha una valenza sociale , se si ha un riconoscimento sociale di quel che si sta facendo. Creare qualcosa che collettivamente sia approvato come valido e significativo: è una delle motivazioni primarie per l’ hacker. Questa attenzione per la comunità si traduce nel secondo valore cardine, l’ openness , l’apertura. Il prodotto della propria attività deve essere accessibile a tutti, però non vi è una visione univoca tra gli stessi hackers su come realizzare questo accesso. Esiste una tensione di fondo tra i valori espressi dall’etica hacker su questo punto e l’atteggiamento nei cfr dell’economia di mercato.

La tendenza prevalente è il tentativo di non superare il capitalismo, bensì di modificarne appunto lo spirito , le finalità. Il concetto che emerge è quello del capitalist hackering , ispiratore di una diversa economia di mercato incentrata sulla cosiddetta impresa open source. L’esempio storico è quello dell’accademia scientifica, quale luogo di libero sviluppo delle conoscenze e delle ricerche, fondato sulla condivisione dei risultati, la partecipazione reciproca nella discussione di questi ultimi e dei progetti stessi di indagine, e nella attestazione della validità delle nuove acquisizioni. L’impresa open source è concentrata nello sviluppo di software aperto : si intende la possibilità collettiva di accedere a dei codici sorgente, di essere partecipi della loro evoluzione e di condividere gli sviluppi e i programmi da questi derivati. Nel modello di impresa open source il rilascio dei diritti di utilizzo e implementazione di un codice sorgente comporta due obblighi da parte del ricevente: questi stessi diritti devono essere a loro volta trasmessi con la versione perfezionista del codice sorgente o dei programmi ricevuti; chi ha contribuito allo sviluppo delle versioni precedenti deve essere sempre citato e vedere sempre riconosciuto il proprio contributo all’avanzamento della ricerca.

Lo sviluppo delle conoscenze procede in modo più marcato quando può contare su un coinvolgimento il più ampio possibile. Inoltre, la consapevolezza di un’ ottica di mercato a lungo periodo : imponendo una licenza su di un programma sorgente si realizzerebbero forse utili nell’immediato, ma si precluderebbe la partecipazione allargata allo sviluppo di tale programma e quindi la possibilità di elaborare programmi diversificati e più numerosi nel lungo periodo , con una diminuzione della ricchezza totale prodotta e della sua distribuzione a livello sociale. Il modello di Himanen si propone come antiautoritario : senza un centro direzionale che valuti, controlli e decida lo spessore dei problemi posti dalla ricerca, e che attesti la riuscita meno di una soluzione proposta.

Una delle grandi questioni poste dalla tutela dei diritti d’autore è la pirateria. Essa si sta sempre più diffondendo con la circolazione di c.d. masterizzati, videocassette contraffatte, programmi per PC copiati e quant’altro. La risposta data è stata costantemente quella della repressione, mentre proprio esperienze inspirate al modello open source indicano strade diverse e alternative. Ad es. il progetto Open Course Ware del MIT consiste nella messa in rete dei materiali di insegnamento utilizzati dai docenti del MIT per tutti gli oltre 2000 corsi dell’Istituto. La funzione che si propone il progetto è sociale : permettere anche ai non iscritti all’Istituto la possibilità di accedere al contenuto delle lezioni e consentire anche ai docenti di altre Università o di altre istituzioni di utilizzare questi materiali e di integrarli. La ricaduta commerciale sta nel fatto che molti dei testi utilizzati in questi corsi sono pubblicati dalla casa editrice del MIT; ma la valenza sociale dell’iniziativa non è sminuita: significa ribadire che la cultura è un patrimonio dell’umanità e che ogni comunità

scientifica è progredita attraverso la condivisione e il libero apporto di tutti a questo stesso patrimonio.

General intellect : ogni pensiero, esperienza, cultura non è riducibile a una forma privata di proprietà, in quanto è sempre da intendersi come il prodotto dell’interazione e degli scambi interni ad una comunità, ossia è il frutto di un lavoro sociale, collettivo. È in sostanza la forma collettiva di produzione dell’intelligenza e di ogni sapere, che si determina appunto nel dispiegarsi in un orizzonte sociale di ogni capacità individuale di apprendere, discutere, esprimere le proprie idee, ascoltare, mettersi d’accordo, rimettersi in discussione ed evolversi continuamente. La cultura è ontologicamente sociale!

Nethic. È un neologismo originatosi dalla contrazione di network ethic : è l’etica del network, l’orizzonte dei diritti fondamentali attraverso i quali andrebbe delineata l’apertura della possibilità partecipativa dei soggetti nel cyberspazio. Questi diritti fondamentali sarebbero riconducibili a due valori etici: activity e caring. Con il primo si vuole sottolineare come la nuova società del network dovrebbe tendere allo sviluppo delle possibilità dei suoi membri a partecipare attivamente ad essa. Due garanzie da accordare a ognuno risultano essere quelle della libertà d’espressione e del rispetto della privacy. Per libertà di espressione si intende la possibilità di accesso alla rete senza censure: numerosi sono i gruppi attivi in questa direzione e che hanno dato vita anche all’alleanza telematica nota con il nome di Global Internet Liberty Compaign. La libertà di espressione riguarda anche i controlli restrittivi, privati o governativi, tanto sul hardware che sul software, nonché sulle telecomunicazioni o le infrastrutture degli apparti di comunicazione, che lederebbero la possibilità d’accesso al net da parte dei cittadini ed essere quindi fonte di discriminazione nel coinvolgimento dei medesimi nei processi democratici. L’idea sottesa è che il network sia fonte di democrazia, in quanto fonte di partecipazione: l’operare si traduce in una restrizione delle libertà democratiche. Il problema non è più di accesso alla produzione, ma di accesso alla comunicazione, agli spazi di discussione e di influenza dell’opinione pubblica. La questione è quella di valutare il grado di democrazia di una società sulla base della possibilità di accesso che i suoi membri hanno rispetto ai canali attraverso i quali viene a formarsi la public opinion. Castells ha posto il problema in questi termini: nei regimi democratici l’accesso alle istituzioni dello stato è regolato dalla capacità di ottenere voti dai cittadini, ossia consenso nell’opinione pubblica, e se questa si forma attraverso i media è lecito porsi il problema della proprietà, del controllo e della possibilità di accesso a questi veicoli fondamentali di comunicazione, informazione e persuasione. Dunque porre la questione dell’accesso ai media diviene questione vitale per ogni democrazia che voglia restare tale non solamente da un punto di vista formale, ma anche nella sostanza della sua vita comunitaria! Bisogna allora considerare con preoccupazione il processo di privatizzazione e di concentrazione ( sostenute da grossi gruppi finanziari) di proprietà degli stessi media. Ecco che diventa sempre più importante la tutela e lo sviluppo del diritto di accesso ai media. L’esplosione delle telecomunicazioni è un esempio di un modo diverso di fare informazione e quindi di tentare di contribuire a formare l’opinione pubblica. Ma qual è il rapporto fra democrazia liberale e nuovi media? Diverse personalità politiche hanno prospettato l’uso di internet come strumento attraverso il quale consentire ai cittadini di esprimersi direttamente su tutte le questioni. Una sorta di democrazia diretta via internet! Ma questa non è certo la risposta ai problemi posti. Si determinerebbe un regime plebiscitario , fondato sul populismo e la demagogia, che è ben diverso dalla democrazia. Democrazia non è votare, ma implica una comunità politica che si crea attorno ai problemi e alla partecipazione, al dibattito sui modi di risolverli. C’è democrazia autentica solo dove tutti i cittadini, senza distinzione di sesso, censo, religione, opinione politica, etc.. possono concorrere a formare l’opinione pubblica, a formare la soluzione ai problemi della collettività e indicando anche quali problemi ritengono prioritari, formando una comunità politica propriamente detta.

con Hardt e Negri l’idea che il lavoro sia di per sé pensabile come un’attività di produzione soggettiva, di soggettivazione. Il lavoro viene pensato secondo una determinazione astratta, mentre è sempre espresso da una sua forma organizzata socialmente e dalla quale non si può prescindere. Il lavoro è una forma sociale della produzione. Le attività che non sono ascrivibili entro quelle forme socialmente identificate non sono propriamente lavoro. Ogni etica del lavoro non può prescindere dall’assumere il dato della determinazione sociale dei fini ultimi della produzione e delle forme susseguenti della loro attuazione. L’affermarsi di un’etica alternativa del lavoro non può eludere il problema politico di un mutamento che deve investire nella radicalità queste finalità. È dalla capacità che si organizzi un’azione politica e sociale di trasformazione del lavoro che si misura la possibilità auspicata da Himanen che l’etica hacker possa esercitare il medesimo impulso sulla società che il protestantesimo ha effettivamente giocato nei cfr del capitalismo.

Andrè Gorz , L’immatèriel. Connaisance, valeur et capital. Egli si concentra ad analizzare quella che ritiene essere la caratteristica portante del capitalismo attuale: la valorizzazione non più di grandi masse di capitale fisso materiale, bensì di capitale immateriale , capitale umano, capitale conoscenza o capitale intelligenza. La conoscenza è divenuta la forza produttiva principale nella cosiddetta knowledge society. Mentre il lavoro di produzione materiale era misurabile in unità di prodotto per unità di tempo, le forme del lavoro caratterizzate dallo sfruttamento di questo bene immateriale, che è il sapere, sfuggono all’applicabilità delle unità di misura classiche. Era possibile stabilire l’esatto contributo del lavoratore alla produzione conteggiando il numero di merci prodotte in un’ora di lavoro e retribuirlo di conseguenza. Il lavoratore post-fordista è costantemente incitato a essere soggetto attivo e coinvolto nel processo stesso, apportando la propria cultura, le proprie esperienze al servizio della produzione medesima e della sua incessante innovazione. Il soggetto è incitato a produrre producendo. La difficoltà sta nel misurare questo crescente coinvolgimento soggettivo. La conoscenza come principale forza produttiva non può essere immediatamente tradotta e misurata in unità astratte semplici. Ogni tentativo di una sua formalizzazione ne rappresenta un impoverimento, e ciò che va perduto è proprio quel marchio personale che maggiormente interessa al capitale.

La crisi della misura del lavoro è la crisi della misura del valore inteso come rapporto di equivalenza delle merci le une rispetto alle altre e rispetto a una merce campione, il denaro. Il capitalismo cognitivo pone in essere i limiti della riduzione dell’attività umana a produzione di merci in vista del loro scambio. Questo è un fattore rivoluzionario per Gorz: la difficoltà di far funzionare con regole capitalistiche ciò che vi sfugge perché non ha valore oggettivabile, pone la necessità storica del passaggio a una economia plurale, ossia che accolga altre modalità di accesso ai beni.

Questo crescente coinvolgimento assume altre due valenze sociali:

(a) il superamento del precedente rapporto salariato che implicava un discrimine netto tra la sfera del lavoro e quella della vita privata. Questo è un aspetto già colto da Himanen nell’analizzare il modello di vita hacker: il punto di vista di Gorz è diametralmente opposto → infatti l’incitamento alla partecipazione porta alla creazione di un continuum tra i due ambiti con caratteristiche tutt’altro che libertarie, quali invece le prospetta Himanen.

(b) Lo sfruttamento attuale del c.d. general intellect , ossia di quel bagaglio culturale elaborato da un’intera collettività in attività extralavorative, non remunerate e perciò prive di un valore di scambio, evidenzia come il sistema di produzione capitalistico si è sviluppato sulla c.d. predazione di esternalità.

Secondo Gorz, il sistema capitalistico si è evoluto attraverso una redazione costante e crescente di esternalità, a partire dalla recinzione delle terre comuni, bene collettivo coltivato o utilizzato come pascolo e che i primi proprietari terrieri recintarono e parcellizzarono appropriandosene ( oggi, con l’acqua ).

L’ultima parte del lavoro di Gorz è infatti dedicata a discutere quel processo di ridefinizione dell’essere umano operato dalle biotecnologie attraverso le possibilità messe a disposizione non solo dalla Intelligenza Artificiale, ma anche dalla Vita Artificiale e teso alla evoluzione del soggetto in termini sempre più omogenei alle esigenze dell’apparato produttivo.

CAPITOLO 3: LA PRIVACY INFORMATICA E LA SICUREZZA (17)

Dal 1996 ( anno in cui è stata introdotta la prima legge di carattere generale sul trattamento dei dati personali ) ad oggi sono state emanate numerose disposizioni. Il 27 Giugno 2003 è stato approvato il Testo Unico in Materia di Protezione dei Dati Personali , il “Codice della privacy ”, che ha recepito le norme della Direttiva n. 2002/58/CE, relativa al “Trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche”.

Il testo del codice è divisibile in 3 parti: la prima è relativa alle disposizioni generali, in cui vengono sanciti i principi cardine su cui si basa tutta la disciplina, cioè il diritto alla protezione dei dati personali , che si rivolge al singolo individuo e non a categorie determinate di soggetti, e il principio di necessità del trattamento dei dati , volto a ridurre al minimo l’utilizzazione dei dati personali ed escludendone il trattamento ogni qual volta sia possibile perseguire le finalità che ci si prefigge attraverso l’utilizzo di dati anonimi.

Dopo aver individuato i diritti dell’interessato e aver esposto le modalità per il loro esercizio, il codice sancisce in modo sistematico le regole generali per il trattamento dei dati a seconda che questo sia effettuato da soggetti pubblici o privati e a seconda del tipo di dato.

Circa il consenso dell’interessato, esso deve essere espresso liberamente e specificatamente in riferimento ad un trattamento chiaramente individuato.

Per quanto riguarda il settore delle telecomunicazioni, il Codice introduce delle novità: la conservazione dei dati relativi al traffico telefonico non può essere superiore a 6 mesi, se per fini civilistici, e di 30 per fini di accertamento.

Invece per il regime sanzionatorio, sono aumentate nel loro importo le sanzioni amministrative, in modo da costituire un più efficace deterrente.

Sicurezza informatica = insieme di tutte le attività volte a garantire la protezione delle informazioni elaborate e trasferite elettronicamente da attacchi di natura dolosa o colposa che possano minacciare la riservatezza, l’integrità e la disponibilità delle informazioni stesse.

La prima normativa a ciò relativa è stata formulata negli Stati Uniti, negli anni ’ ( Orange Book ), in cui si individuavano i principali obiettivi che un valido sistema di sicurezza informatica deve raggiungere:

Art. 34 : riguarda i trattamenti effettuati con strumenti elettronici ed elenca le

specifiche misure minime necessarie affinché il trattamento possa ritenersi lecito, che nel dettaglio sono:

  • Autenticazione informatica
  • Adozione di procedure di gestione
  • Adozione di un sistema di autorizzazione
  • Aggiornamento periodico dell’ambito di autorizzazione dei singoli incaricati
  • Protezione degli strumenti elettronici e dei dati rispetto ad eventuali trattamenti illeciti o accessi non consentiti
  • Adozione di procedure di custodia di copie di sicurezza e il ripristino della disponibilità dei dati
  • Tenuta e aggiornamento di un Documento Programmatico sulla Sicurezza (deve essere redatto dal titolare del trattamento e tenuto in costante aggiornamento, seguendo specifiche modalità prestabilite dal Disciplinare Tecnico)
  • (^) Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati sensibili

Il DPS è un documento programmatico esclusivamente per il trattamento di dati sensibili; ha data certa e permette così ai titolari del trattamento di provare l’adeguamento alle misure minime richieste dalla legge. Il suo scopo è descrivere la situazione attuale in cui si trova il sistema interno e il percorso scelto per l’adattamento alle disposizioni del Codice sulla privacy. Tale documento dovrà essere redatto entro il 31 marzo di ogni anno ad opera del titolare del trattamento dei dati sensibili o giudiziari e ne dovrà essere custodita una copia presso la sede dell’azienda pubblica o privata, per poter essere consultata in caso di controlli. Essa deve contenere idonee informazioni relative a:

  • Elenco dei trattamenti di dati personali
  • Distribuzione dei compiti e delle responsabilità nelle strutture preposte al trattamento dei dati
  • Analisi dei rischi che incombono sui dati
  • Le misure da adottare per garantire l’integrità e la disponibilità dei dati
  • La descrizione dei criteri per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento
  • La previsione di interventi formativi degli incaricati del trattamento (programmati prima della loro entrata in servizio o del loro cambio di mansione)
  • La descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all’esterno della struttura del titolare
  • Per i dati personali idonei a rilevare lo stato di salute e la vita sessuale, l’individuazione di criteri da adottare per la cifratura o per la separazione di questi dagli altri dati personali dell’interessato

Art. 35 : riguarda le misure minime da adottarsi al trattamento dei dati senza l’ausilio

di strumenti elettronici, ovvero:

  • Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati (verifica con scadenza annuale del profilo di autorizzazione di ogni incaricato)
  • Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti
  • Previsione di procedure per la conservazione di determinati atti in archivio ad accesso selezionato e la disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati

Inoltre viene disposto che agli incaricati debbano essere impartite istruzioni specifiche in merito alle procedure di custodia e di conservazione degli atti e dei documenti contenenti i dati, valide per tutta la durata del trattamento, e sulle modalità di accesso agli archivi e sulle relative procedure d’identificazione.

Anche agli incaricati per il trattamento dei dati con strumenti diversi da quelli elettronici, devono essere impartite istruzioni scritte circa il controllo e la custodia di documenti e atti contenenti dati personali, valide per tutto il periodo necessario per il trattamento. Inoltre deve essere verificata periodicamente, con cadenza almeno annuale, sia l’individuazione dell’ambito del trattamento consentito che la lista degli incaricati.

Gli incaricati a cui vengono affidati documenti e atti contenenti dati sensibili o giudiziari devono custodirli e controllare che ai documenti non accedano soggetti non autorizzati, fino al termine delle operazioni. Essi devono essere custoditi in specifici archivi ad accesso controllato, attraverso sistemi elettronici o di vigilanza.

Anche nel caso di trattamento senza strumenti elettronici, per i dati sensibili e giudiziari valgono le stesse misure necessarie per gli strumenti elettronici, ovvero l’applicazione di tecniche di cifratura, l’utilizzo di codici identificativi o di altre soluzioni idonee a rendere impossibile l’identificazione dell’interessato, se non quando sia necessario.

In allegato al Codice sulla privacy , il legislatore ha inserito il “ Disciplinare Tecnico in materia di misure di sicurezza ”, con cui illustra tutte le modalità tecniche che devono essere adottate dal titolare, dal responsabilità, e dall’incaricato affinché le misure minime di sicurezza individuate dal Codice trovino piena applicazione e affinché siano adottate le necessarie cautele per assicurare la segretezza della parola chiave e la diligente custodia, e per impedire che gli stessi lascino incustoditi e accessibili a chiunque gli strumenti elettronici durante le sessioni di trattamento.

Nel caso di trattamento di dati sensibili o giudiziari , il Disciplinare Tecnico dispone che vengano adottati idonei strumenti per garantire la loro protezione da potenziali accessi abusivi e stabilisce che si debbano dare agli incaricati le opportune istruzioni circa l’organizzazione e le tecniche utilizzate per la custodia e l’uso dei supporti rimovibili su cui i dati vengono memorizzati.

La specifica disciplina prevede che, qualora i dati siano contenuti in elenchi, registri o banche dati, il trattamento deve avvenire con tecniche di cifratura o con l’utilizzazione di codici identificativi in modo da renderli inintelligibili anche a soggetti autorizzati.

  1. Autenticazione : in conseguenza di esso, il sistema informatico dovrà essere in grado di riconoscere un soggetto autorizzato a trattare un determinato dato da uno non autorizzato, e sarà perciò necessaria una procedura di autenticazione che possa realizzare l’identificazione univoca del soggetto. I mezzi di autenticazione più diffusi si basano sulle psw di accesso o di modifica dei dati.

  2. Integrità : si riferisce alla fungibilità del dato. Un sistema sicuro deve garantire che il dato desiderato sia sempre disponibile in forma integra, e dovrà garantire la riduzione dei livelli di rischio di cancellazione o modifica del dato.

  3. Riservatezza : tale per cui il dato dovrà essere accessibile solo a chi è appositamente autorizzato a fruirne. Non si potrà definire “sicura” una rete che consenta a persone non munite di autorizzazione di visualizzare o manipolare dati.

La scienza dell’ information security individua altri due obiettivi molto importanti, verificabilità e reattività.

  1. Verificabilità : si intende la capacità di riconoscere e collocare temporalmente i trattamenti avvenuti sui dati e di accertare le relative eventuali responsabilità.

  2. Reattività : inerisce alla capacità del sistema di rispondere ad atti o fatti potenzialmente dannosi.

Tracciare il profilo delle vulnerabilità più diffuse non è affatto facile. Il costante

progresso tecnologico propone sempre nuovi software ed è inevitabilmente accompagnato da nuovi problemi inerenti la sicurezza. Perciò diversi istituti internazionali hanno come obiettivo il monitoraggio e la diffusione quotidiana di informazioni circa le vulnerabilità più recenti, così da consentire ai sysadmin di configurare al meglio i propri sistemi e di integrare il requisito dell’adeguamento al “progresso tecnologico”. Alcuni istituti addirittura pubblicano periodicamente un elenco contenente le 20 vulnerabilità più critiche per la sicurezza. Il documento viene poi utilizzato da migliaia di organizzazioni per risolvere rapidamente i buchi di sicurezza. Le vulnerabilità trattate sono divise in tre categorie: vulnerabilità generali , di Windows e di UNIX.

Installazioni predefinite dei sistemi operativi e delle applicazioni. Questa vulnerabilità nasce dal fatto che la maggior parte dei software contengono script o programmi di installazione tesi a semplificare le procedure all’utente finale, rendendo l’installazione dei sistemi più rapida possibile e abilitando le funzioni ritenute più importanti dal creatore del programma. Per raggiungere questo scopo, gli script installano più componenti di quelli necessari alla maggior parte degli utenti, al fine di evitare di porre domande alle quali i non esperti avrebbero difficoltà a rispondere. Questo approccio, sebbene possa sembrare una comodità per l’utente, in realtà è una delle principali cause di vulnerabilità dei sistemi, perché gli utenti non pensano ad aggiornare né ad applicare le patch di sicurezza alle componenti software che non sono utilizzate. Questi software , non aggiornati mediante patch di sicurezza, costituiscono una delle vie preferenziali attraverso la quale gli intrusi possono ottenere il controllo del sistema.

Limitatamente ai sistemi operativi, le installazioni predefinite introducono spesso servizi indesiderati o non necessari, con corrispondente apertura di “porte” del sistema, quasi sempre all’insaputa dell’utente. E saranno proprio queste porte ad essere sfruttate dagli aggressori, al fine di introdursi nei sistemi. Per le applicazioni, le installazioni predefinite di solito contengono programmi o script idonei ad abilitare

eventuali funzioni aggiuntive ma non necessari. Questi script però non sono sottoposti alle stesse procedure di controllo di qualità adottate per gli altri software , cioè una qualità scadente del codice, che può costituire terreno fertile per gli attacchi di tipo buffer overflow ( sfrutta dei difetti costruttivi del software tali da consentire ad un aggressore di far “traboccare” dei dati dal buffer di memoria che dovrebbe contenerli in un altro buffer. Poiché i buffer possono contenere una quantità determinata di dati, un attacco così si sostanzia nella corruzione dei dati del sistema, e nell’esecuzione di codice appositamente creato dall’aggressore ).

Account senza password o con password “deboli”. La maggior parte dei sistemi è configurata per utilizzare la psw come prima ed unica linea di difesa da tentativi di autenticazione non autorizzati. Gli user -ID sono abbastanza facili da ottenere e la maggioranza delle reti locali è dotata di accesso dial-up che scavalca il firewall per cui, se un aggressore riuscisse a determinare il nome di un account e la sua psw , potrebbe tranquillamente autenticarsi nella rete e violarne la sicurezza. Se ci sono problemi con le psw facili da indovinare perché direttamente riconducibili all’utente e con quelle predefinite dai sistemi, figuriamoci con gli account del tutto privi di psw. Sarebbe consigliabile verificare, con cadenza periodica, tutti gli account che utilizzino psw deboli, psw predefinite o che non utilizzano alcuna psw , e rimuoverli dal sistema.

Infine molti sistemi sono dotati di account incorporati o predefiniti che non possono nemmeno essere eliminati. Di solito gli account di questo tipo adoperano delle psw standard, magari passibili di attacco c.d. “a dizionario”. È in ogni caso consigliabile eliminare tutti gli account predefiniti o incorporati dal sistema.

Backup inesistenti o incompleti. Dopo un “disastro informatico”, per ripristinare le condizioni preesistenti, sarà necessario disporre di backup aggiornati e metodi di ripristino dei dati di provate efficacia. Pur effettuando un backup quotidiano di tutto il sistema è necessario verificarne il loro effettivo funzionamento. Spesso si creano policy e procedure per i backup , senza però definire policy e procedure per il ripristino dei dati. Il vero problema è che errori progettuali di questo tipo vengono evidenziati troppo tardi, cioè solamente dopo che i fati sono già stati distrutti o danneggiati da aggressori che si sono introdotti nei sistemi. Un altro problema ricorrente è dato dalla scarsa protezione fisica dei supporti di backup. I backup contengono le stesse informazioni sensibili presenti sul server , e devono essere protetti da accessi indesiderati mediante procedure che inibiscano la lettura dei dati ivi contenuti, utilizzando un’applicazione crittografica che renda i dati fruibili solo dopo una robusta procedura di autenticazione.

Numero elevato di porte aperte. Sia gli utenti illegittimi che gli intrusi si connettono ai sistemi attraverso le porte lasciate incautamente o consapevolmente aperte. Più porte aperte ci sono, più alte sono le possibilità offerte a chi voglia collegarsi ad un sistema. È quindi importante lasciare aperto solo il minimo numero di porte indispensabile perché il sistema funzioni correttamente. Tutte le altre porte devono essere chiuso o cmq controllate da appositi dispositivi hardware o software che ne regolamentino e monitorizzino il traffico transitante, nel rispetto della privacy dell’utente.

I pacchetti non vengono filtrati per determinarne il corretto indirizzo in ingresso e in uscita. Lo spoofing degli indirizzi IP, consistente nel mascherare l’IP reale con un IP fasullo, è un metodo comune utilizzato dagli aggressori per nascondere

sicurezza nel trattamento dei dati personali. Egli dà per acquisite ed implementate le misure minime di sicurezza in precedenza contenute nel D.P.R. n. 318/1999, partendo da esse come base necessaria.

Le misure minime di sicurezza si trovano nel disciplinare tecnico ( Allegato B ): alcuni ritengono che sia un testo avente pari grado, nella gerarchia delle fonti, rispetto alla legge; altri invece propendono per una sua natura regolamentare ( anche perché ne è previsto un aggiornamento periodico attraverso decreto del Ministro della Giustizia con il Ministro per le Innovazioni e le Tecnologie ). Si assiste ad un processo di semplificazione, che ha prodotto una revisione delle categorie identificate dalla vecchia normativa in materia di sicurezza nel trattamento dei dati personali sia per l’identificazione degli ambiti operativi, sia per i soggetti preposti alla sicurezza. Si assiste all’influsso di normativa tecnica altamente specialistica. Ciò ha portato ad una visione della sicurezza progettuale e implementativa. Si tende a puntare sulla formazione dei responsabili ed incaricati che trattano i dati con o senza l’ausilio di strumenti elettronici, si caldeggia la predisposizione di apposite policy di comportamento; si attua uno spostamento progressivo “lato utente” della responsabilità circa la funzionalità del sistema. Ecco i principi maggiormente innovativi:

a. Semplificazione , sia delle procedure sia degli scenari interessati dall’applicabilità delle normative in materia di misure minime;

b. Novità , intesa come recepimento degli standard tecnico-informatici internazionali, per poter affermare di avere una normativa tecnica realmente valida in materia di sicurezza informatica;

c. Progettualità , ossia una visione della sicurezza come processo più che come prodotto.

Misure “idonee” e misure “minime” di sicurezza. Una distinzione che solleva accesi dibattiti tra gli studiosi della sicurezza informatica e dei suoi aspetti giuridici è quella tra le misure minime di sicurezza e quelle c.d. “idonee”. Mentre gli studiosi di formazione puramente tecnico-informatica non sono interessati a questo genere di classificazioni, quelli di formazione giuridica ritengono che questa distinzione non sia di poco conto: il qualificare una misura di sicurezza come “idonea” o “minima” è importante in sede di valutazione delle eventuali responsabilità (civili e penali ) in caso di mancata adozione della stessa. L’omessa adozione delle misure minime infatti fa sorgere in capo a “chiunque, essendovi tenuto” delle responsabilità penali, mentre l’omissione di misure idonee da parte di “chiunque ( titolare, responsabile, incaricato ) cagiona danno ad altri” fa sorgere un obbligo risarcitorio. Spesso la stessa dottrina ha parlato di “grado di obbligatorietà” superiore delle misure minime rispetto a quelle idonee, derivante dalle conseguenze penali originate dalla mancata adozione delle prime. È dunque necessaria l’adozione di “idonee e preventive misure di sicurezza”, che devono essere implementate in caso di trattamento di dati personali.

Da subito si stabilisce nel testo di legge che una misura “idonea” dovrà tenere conto dei seguenti fattori:

(c) le conoscenze acquisite in base al progresso tecnico;

(d) la natura dei dati oggetto di trattamento;

(e) le specifiche caratteristiche del trattamento, se viene effettuato con l’ausilio di mezzi elettronici o meno.

Il Legislatore ha adottato due diversi regimi di responsabilità nel caso di violazione di misure minime o di misure idonee, assegnando alle prime una rilevanza penale e, alle

seconde, una rilevanza essenzialmente civile , con valutazioni da compiere al verificarsi del caso concreto. Sarebbe stata un’utopia riunire in un testo di legge tutte le possibili misure di sicurezza, idonee o minime che siano. La scoperta delle vulnerabilità in merito alla sicurezza dei dati procede in modo più veloce e repentino rispetto agli aggiornamenti legislativi. Questi motivi hanno condotto ad una soluzione tale per cui si è preferito adottare quella che si potrebbe definire un “ updating automatico”, in modo che queste siano sempre aggiornate alle nuove scoperte della tecnologia, mentre per le misure minime si è prevista la necessità della puntuale identificazione da parte del Legislatore, resa necessaria dalla connessa previsione penale per la mancata adozione.

Lo scopo cui devono tendere le misure idonee prende le mosse dai principi generali contenuti in qualsiasi testo che tratti di sicurezza informatica, ossia riservatezza, autenticazione, integrità, non-ripudio, controllo dell’accesso e disponibilità. L’obiettivo è la riduzione al minimo dei “ rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta ”.

Disciplina delle misure minime di sicurezza. Già la legge n. 675/1996 prescriveva una serie di misure a tutela della sicurezza dei dati personali. Era espressamente prevista:

  • nell’art. 7, in merito alla notificazione al Garante, cui è tenuto il titolare del trattamento;
  • nell’art. 8, in cui veniva esplicitato come parametro per l’individuazione del responsabile che questi doveva essere un soggetto dotato di capacità ed affidabilità a garanzia del pieno rispetto delle vigenti disposizioni di legge.

Il regime attuale di sicurezza dei dati personali è quello dettato dall’art. 31 del D.Lgs. n. 196/2003, per cui “ i dati sono custoditi e controllati in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta ”.

Soggetti “codificati” della sicurezza. Già nel D.P.R. n. 318/1999 la disciplina relativa alla sicurezza nel trattamento dei dati personali estendeva i soggetti individuati dalla normativa, consegnando al mondo giuridico l’ amministratore di sistema e il custode delle parole chiave. Nell’attuale formulazione è scomparsa la figura dell’amministratore di sistema, mentre viene ridimensionata quella del custode delle parole chiave, laddove si prevedeva che “quando l’accesso ai dati è consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee disposizioni scritte. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, che devono informare tempestivamente l’incaricato dell’intervento effettuato”. La finalità è duplice deve proteggere la segretezza della parola chiave e anche evitare che il trattamento dei dati possa subire una battuta d’arresto per via dell’assenza dell’incaricato. Sarà poi compito degli incaricati comunicare ogni eventuale cambiamento della parola chiave, sempre scelta tenendo presente i principi in materia di sicurezza che prescrivono di adoperare parole chiave di sufficiente lunghezza, di cambiare sovente tutte le parole chiave, e di non utilizzare mai parole chiave che abbiano una diretta correlazione con il soggetto autorizzato al dine di renderne più difficile l’individuazione.