venerdì 13 giugno 2014

Un paio di riflessioni su Spam e Social Network (in attesa dell’arresto di un pericoloso spammatore: tal Avv. Andrea Lisi)


Ma è possibile che con questo caldo devo ricevere (in modo indiretto) da Amici comunicazioni e-mail di questo tenore?


"Quindi state iscrivendomi senza previo consenso ad una newsletter pubblicitaria, chiedendomi di esplicitare il mio DINIEGO invece che CONSENSO. Interessante! Fatelo, per favore! Così ci vediamo direttamente dal Garante e vediamo un po' che succede a voi e soprattutto alla reputazione dello Studio Lisi. Iniziamo, anzi, con il pubblicare questa mail a una decina di migliaia di contatti su Facebook e Twitter per vedere, in termini di Reputazione cosa succede."


Proviamo a fare ordine partendo dal fatto: il Reparto Comunicazione del mio Studio Legale ha inoltrato ieri una comunicazione e-mail a professionisti e imprese acquisiti da miei contatti diretti di Linkedin. In tale comunicazione, in piena trasparenza e correttezza, si spiegava l'origine del trattamento  (contatto professionale dell'avv. Lisi su Linkedin) e si chiedeva a tali contatti se volessero in futuro ricevere dal nostro Studio Legale comunicazioni e-mail (ovviamente non commerciali) di carattere informativo e dai contenuti scientifici! Del resto uno Studio Legale per dovere deontologico non può fare pubblicità!


Trovo sia a questo punto giusto ricordare a TUTTI come - nonostante il "pericolosissimo e insidiosissimo Codice privacy" (davvero da pochi letto con doverosa attenzione nei suoi numerosi dettagli) - sia ancora in vigore il Decreto legislativo n. 70 del 2003, il quale all'art. 9 espressamente prevede che "fatti salvi gli obblighi previsti dal decreto legislativo 22 maggio 1999, n. 185 e dal decreto legislativo 13 maggio 1998, n. 171, le comunicazioni commerciali non sollecitate trasmesse da un prestatore per posta elettronica devono, in modo chiaro e inequivocabile, essere identificate come tali fin dal momento in cui il destinatario le riceve e contenere l'indicazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni".

In questo caso, lo ripeto ancora, di comunicazione commerciale neppure si tratta, essendo la nostra una comunicazione informativa e di contenuto didattico/scientifico ed evidentemente siamo nel B2B (e non nel B2C).


Inoltre, mi sembra utile ricordare sempre a TUTTI che anche il Garante Privacy nelle sue interessanti e recentissime "Linee Guida in materia di attività promozionale e di contrasto allo spam" (4 luglio 2013) ha precisato che "per quanto riguarda i fan della pagina di un’impresa o i follower di un determinato marchio, personaggio, prodotto o servizio, l'invio di comunicazione promozionale riguardante un determinato marchio, prodotto o servizio, effettuato dall'impresa a cui fa riferimento la relativa pagina, può considerarsi lecita se dal contesto o dalle modalità di funzionamento del social network, anche sulla base delle informazioni fornite, può evincersi in modo inequivocabile che l'interessato abbia in tal modo voluto manifestare anche la volontà di fornire il proprio consenso alla ricezione di messaggi promozionali da parte di quella determinata impresa. Se invece l'interessato si cancella dal gruppo, oppure smette di "seguire" quel marchio o quel personaggio, o comunque si oppone ad eventuali ulteriori comunicazioni promozionali, il successivo invio di messaggi promozionali sarà illecito, con le relative conseguenze sanzionatorie".

Parole sante del Garante privacy! :)


Del resto la funzione di Linkedin è inequivocabile: si tratta di un "business-oriented social networking service"...quindi, se noi ci siamo "legati" su Linkedin con qualcuno è "per fare affari insieme" o per ricevere reciprocamente notizie su attività professionali o commerciali. La funzione è questa ed è ineccepibile. E per attività di questo tipo, lo ricordo, si applicherebbero anche le "esimenti del consenso" previste dall’art. 24 del Codice per la protezione dei dati personali proprio per garantire un minimo di libertà nella gestione di fasi commerciali, anche di natura pre-contrattuale. Provo a fare un esempio che appartiene al mondo più “analogico”. Ci incontriamo domani ad un convegno. Ci stringiamo la mano e, (non per questioni sentimentali), ci scambiamo un biglietto da visita: questo scambio contiene in re ipsa la volontà di intrecciare rapporti d'affari e, quindi, ci autorizza a lasciare quel biglietto da visita nella disponibilità del nostro Reparto Comunicazione che lo deve ovviamente trattare con attenzione ed è implicitamente autorizzato anche ad inviare un messaggio non direttamente commerciale, ma informativo, su ciò che la nostra struttura scientificamente (o anche meno scientificamente) produce o realizza.

Ad essere sinceri solitamente gli amici e gli interessati ci ringraziano per questa attività che svolgiamo di carattere informativo e di approfondimento… ;)

Cosa cambia, in effetti, tra uno scambio di biglietti da visita cartacei e uno scambio professionale più dinamico su Linkedin?
Su Linkedin, in verità, chi è collegato con il nostro profilo professionale già da noi riceve automaticamente notifiche costanti con informazioni commerciali e aggiornamenti e decide di riceverle, quindi, proprio per il tipo di servizio che ha richiesto a quel determinato Social Network.

Mi sembra giusto riferire, per concludere, che a volte abbiamo la sensazione che il Garante per la protezione dei dati personali sia un “talebano burocrate della privacy”, invece tale importante Authority cavalca da tempo l'innovazione (anche quella digitale più social oriented che a volte ci spaventa così tanto!), pur tutelando gli interessati con doverosa attenzione (ma da reali violazioni e non da fantomatiche azioni di illecito trattamento!).
In realtà, in Italia a parlar male ci si mette sempre poco....e poi con questo caldo ci si fa prendere ancora di più la mano! E ricordiamoci sempre che la diffamazione on line (o off line) è e rimane un illecito penale, quindi facciamo sempre molta attenzione a cosa liberamente diciamo in giro, senza conoscere le sfumature di ogni azione che viene compiuta…

Quindi, ciò che riteniamo SPAM siamo davvero sicuri che sia l'indigesta carne in scatola e non invece un buon
energy drink? ;)

giovedì 17 aprile 2014

Se insultate qualcuno su Facebook potreste essere condannati per diffamazione

Da oggi se insultate qualcuno su Facebook o altri social network, anche senza fare nomi, rischiate di essere denunciati e condannati per diffamazione. La Corte di Cassazione ha di fatto annullato l'assoluzione di un maresciallo capo della Guardia di Finanza che aveva scritto sulla sua bacheca:  "attualmente defenestrato a causa dell'arrivo di in collega sommamente raccomandato e leccaculo" riferendosi a un collega.
Il tribunale di Roma l'aveva condannato a tre mesi di reclusione per diffamazione pluriaggravata. In secondo grado era stato assolto per insussistenza del fatto, dato che non aveva fatto il nome dell'interessato.
La Corte di Cassazione però ha accolto il ricorso del procuratore generale militare annullando l'ultima sentenza perché sempre attraverso le piattaforme social  "chiunque, collega o conoscente dell'imputato, avrebbe potuto individuare la persona offesa".
L'errore del maresciallo è stato anche quello di lasciare il profilo completamente pubblico. "Le impostazioni di privacy della bacheca sono un dettaglio importante", ha spiegato Caterina Malavenda, avvocato esperto di diritto dell’informazione e del reato di diffamazione. "Se la bacheca è aperta e quindi accessibile a chiunque sia iscritto al social network, si può considerare Facebook un mezzo di comunicazione di massa, facendo scattare anche un'aggravante, perché appunto non limitata a destinatari specifici".
Dunque insultare in forma anonima paradossalmente è meno rischioso nella vita reale.

venerdì 4 aprile 2014

Google paga una multa da 1 milione di euro inflitta dal Garante privacy per il servizio Street View

Google ha pagato una sanzione di 1 milione di euro applicata dal Garante privacy per il servizio Street View. I fatti contestati risalgono al 2010 quando le auto del colosso di Mountain View percorrevano le strade italiane senza essere perfettamente riconoscibili e non consentendo, in tal modo, alle persone presenti nei luoghi percorsi dalle "Google Cars" di decidere se sottrarsi o meno alla "cattura" delle immagini. Numerose erano state le segnalazioni all'Autorità da parte di persone che non desideravano comparire nelle foto pubblicate on line (che, peraltro, permangono in rete per un tempo considerevole e possono essere ingrandite).
Il Garante aveva prescritto [doc. web n. 1759972] alla società di Mountain View di rendere le "Google cars" facilmente individuabili, attraverso cartelli o adesivi ben visibili, di pubblicare sul proprio sito web, tre giorni prima dell'inizio delle riprese, le località visitate dalle vetture di Street View, stabilendo che per le grandi città è necessario indicare i quartieri in cui circolano le vetture. Analogo avviso deve essere pubblicato da Google sulle pagine di cronaca locale di almeno due quotidiani e diffuso per mezzo di un'emittente radiofonica locale per ogni regione visitata. Le misure sono state tempestivamente adottate da Google.
A conclusione dell'intero procedimento sanzionatorio il Garante ha ritenuto di applicare [doc.web n. 2954309], anche in relazione al fatto che i dati raccolti illecitamente erano destinati a confluire all'interno di una grande banca dati di particolare rilevanza, quale è sicuramente quella gestita da Google nell'ambito del servizio Street View, la sanzione nella cifra complessiva di un milione di euro, pagata qualche settimana fa da Google.
Proprio tenendo conto di trovarsi di fronte a una società che, nell'anno 2012, ha registrato un fatturato consolidato pari a oltre 50 miliardi di dollari, il Garante ha deciso di avvalersi della norma del Codice privacy che mira a rendere effettive le sanzioni quando sono dirette a soggetti di notevoli dimensioni economiche.

mercoledì 12 marzo 2014

Le regole tecniche sono in GU!!!!

Sono state finalmente pubblicate nella Gazzetta Ufficiale del 12 marzo 2013 (Supplemento ordinario alla G.U. n. 59 del 12 marzo 2014) i due Decreti firmati il 3 dicembre 2013 sulle nuove Regole tecniche in materia di sistema di conservazione  e di protocollo informatico.
 Tra le tantissime novità che riguardano pubbliche amministrazioni, operatori economici e conservatori nell'allegato 1 delle Regole tecniche sulla conservazione (dedicato alle definizioni si legge):
-          responsabile della gestione documentale o responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi: dirigente o funzionario, comunque in possesso di idonei requisiti professionali o di professionalità tecnico archivistica, preposto al servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi, ai sensi dell’articolo 61 del D.P.R. 28 dicembre 2000, n. 445, che produce il pacchetto di versamento ed effettua il trasferimento del suo contenuto nel sistema di conservazione.
-          responsabile della conservazione: soggetto responsabile dell’insieme delle attività elencate nell’articolo 8, comma 1 delle regole tecniche del sistema di conservazione
-          responsabile del trattamento dei dati : la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali
-          responsabile della sicurezza: soggetto al quale compete la definizione delle soluzioni tecniche ed organizzative in attuazione delle disposizioni in materia di sicurezza.
 Ciò avvalora ulteriormente la posizione critica di Anorc in relazione alla norma tecnica UNI - in fase di consultazione - che definisce i requisiti professionali per la figura dell'archivista, facendola di fatto (ed erroneamente) coincidere con quella del Responsabile della conservazione digitale.
L'ordinamento italiano, infatti, (come si può facilmente verificare consultando il Codice dell'Amministrazione Digitale e ora le nuove Regole tecniche), per la corretta gestione e la tutela di un archivio elettronico prevede obbligatoriamente la presenza di un team composto dal Responsabile della conservazione, dal Responsabile della sicurezza, dal Responsabile del trattamento dei dati e dal Responsabile del protocollo (ove previsto) che devono operare d'intesa tra loro.
Anzi, c'è da notare che la figura dell'archivista è accompagnata dal poco rassicurante inciso "ove previsto", proprio a rimarcare una (assurda) non indispensabilità della sua partecipazione a questo processo.
Per un approfondimento http://www.anorc.it/notizia/544_Responsabile_della_conservazione_o_Archivista_2.0__Si_decide_il_destino_dei.html

giovedì 6 marzo 2014

I sette guardiani del web

L’Icann è un ente internazionale che ha l'incarico di: assegnare gli indirizzi IP, identificare il protocollo, occuparsi della gestione del sistema dei nomi a dominio di primo livello (Top-Level Domain), del codice internazionale (ccTLD) e dei sistemi di root server. Detta in parole povere, l’Icann controlla e gestisce l’assegnazione degli indirizzi web a cui noi tutti i giorni ci colleghiamo.
Immaginate la quantità di dati, tra cui molti sensibili, che l'Icann custodisce. La sicurezza dei suoi server è dunque di vitale importanza. In casi di estrema necessità è stato ideato un piano di Recovery degno di un film di fantascienza. Il programma si chiama Recovery Key Share Holders e prevede che sette esperti di sicurezza informatica selezionati nei quattro angoli del globo, ciascuno dei quali detiene un frammento di codice segreto, si incontrino a El Segundo (California) per far ripartire il web in caso di hackeraggio, attacco terroristico, guerra o calamità naturale.
Nessuno conosce la password per intero, ognuno di loro ha una chiave, simile a una smart card, in cui è racchiuso il microchip che solo se unito ai restanti fornisce il codice di accesso.
Non crediate che alcune pratiche di sicurezza informatica si vedano solo in Matrix.


mercoledì 26 febbraio 2014

The Circle di Dave Eggers racconta un mondo senza privacy



George Orwell ci aveva messo in guardia dal Big Brother, ma la fervida immaginazione dello scrittore americano avrebbe potuto concepire tutto quello che il datagate ha scatenato?
A prendere il testimone delle tematiche tanto care a Orwell ci prova Dave Eggers con il suo nuovo romanzo: The Circle. Il racconto di un mondo in cui la privacy viene sostituita dalla totale trasparenza e tutto diventa visibile e accessibile.
La storia ha tra i protagonisti Mae Holland, una giovane ragazza di vent’anni  che viene assunta, grazie alla sua compagna di scuola Annie, in una importante società IT. Un ibrido fra Google e Facebook, fondato da 
tre uomini che solo pochi hanno avuto la fortuna di conoscere. Solo uno di loro Eamon Bailey, ha un ruolo operativo. Mae, come tutte le nuove arrivate, inizia il suo percorso professionale dal Customer Service.
Il motto aziendale è “sharing is caring”, oltre agli obiettivi quotidiani a Mae viene imposto di fare parte della comunità, inserendo nel social The Circle tutta la sua storia personale, le viene affidato un tablet e da quel momento non avrà più alcuna privacy.
Siamo in grado di curare qualsiasi malattia, dare un termine alla fame nel mondo. Tutto ciò é possibile perché non verremo più gestiti dalle nostre debolezze, dai nostri inutili segreti  o dalla mania di tenere per se stessi informazioni e conoscenza. Abbiamo finalmente raggiunto il nostro pieno potenziale”. Sono le parole di Eamon Bailey, durante una riunione aziendale, usate per incoraggiare e stimolare centinaia di impiegati.
Mae viene completamente assorbita da questa realtà dove vige un’ utopica trasparenza senza rendersi conto del pericolo che essa cela, fino a quando  Kalden, un uomo dai capelli grigi estraneo a The Circle, piano piano cercherà di mostrarle un altro punto di vista. 
Le domande più o meno celate tra le righe del libro e che arrivano al lettore come riflessione sull'epoca che stiamo vivendo sono: "Chi mai farebbe qualcosa di immorale o di illegale se sapesse di essere osservato?" o "Se non sei trasparente, cos'hai da nascondere?".
Quello di Eggers può essere annoverato tra i romanzi distopici, a nostro avviso trasparenza e privacy non sono i mostri di uno scenario apocalittico, basterebbe informarsi, conoscere e avvicinarsi con spirito critico a tutto ciò che potrebbe interferire con esse.



martedì 18 febbraio 2014

Windows XP va in pensione: a rischio i nostri dati?

L’azienda Microsoft ha operato una scelta strategica che potrebbe ripercuotersi negativamente sulla sicurezza dei nostri dati: ha infatti annunciato che Windows XP, uno dei sistemi operativi maggiormente diffusi al mondo, verrà mandato in soffitta a 10 anni dalla sua creazione, e quindi, a partire dall’8 aprile non verrà più aggiornato o come si dice in gergo “supportato”, con chiare conseguenze per la sicurezza. Per comprendere appieno la portata di questa svolta bisogna tenere presente che Windows XP è il sistema operativo maggiormente usato nei terminali della pubblica amministrazione, delle piccole banche e dei piccoli ospedali, quelli che gestiscono i nostri dati personali più sensibili.
Per invogliare gli utenti italiani che usano XP a passare a un sistema operativo più aggiornato e sicuro la Microsoft ha tenuto un incontro ieri a Milano per spiegare esattamente cosa potrebbe succedere: i computer con XP non smetteranno di funzionare, ma saranno meno protetti di fronte possibili virus e malware e “se oggi vengono aggrediti 15 pc su 1000, presto potranno essere 100 o anche 200” ha puntualizzato Carlo Purassanta, amministratore delegato di Microsoft Italia.
E il problema non riguarda esclusivamente la PA, ma anche molte piccole e medie aziende: una ricerca di IDC, commissionata da Microsoft, ha infatti evidenziato che  il 24% delle piccole e medie aziende lavora con Windows XP per oltre l'80% del parco PC aziendali, mentre tra i singoli utenti privati, il 16% ha un computer con il sistema operativo di oltre 12 anni fa.

lunedì 10 febbraio 2014

Privacy Officer DOP: Quando un marchio non tutela! che ne pensate?

Ho lanciato questa provocazione sulla mia pagina FB (https://www.facebook.com/andrea.lisi.948) (e c'è un copioso dibattito in corso in queste ore):

Ma chi è questo "Privacy Officer"? Ed esiste in Italia questa figura professionale??
Corsi per privacy officer! Certificazioni per Privacy Officer! Volumi sul Privacy Officer! e persino proposte di legge per modificare il Codice privacy in attesa che arrivi il Regolamento Europeo che lo dovrebbe prevedere e tarda ad arrivare!
Ma siamo tutti impazziti??? Abbiamo bevuto un po' troppo??
il Codice privacy già prevede (a differenza di ordinamenti giuridici di altri paesi europei) la figura del Responsabile del trattamento dei dati, che opportunamente disegnato per le proprie esigenze aziendali, ben potrebbe assolvere a tutti i compiti del "privacy officer" che prima o poi e forse arriverà!
Intanto abbiamo un ordinamento giuridico piuttosto strutturato ed elastico che permette di disegnare l'organizzazione privacy secondo le proprie esigenze servendosi di uno o più responsabili, interni o esterni. C'è bisogno oggi, in attesa di questo benedetto Regolamento Europeo, di stravolgere quel poco di buono che abbiamo nel Codice Privacy?
C'è bisogno di illudere professionisti che i "privacy officer" oggi esistono in italia certificandoli? 
Non stiamo prendendo in giro il nostro Sistema Paese comportandoci così?
Non basterebbe oggi per certe categorie di trattamento di dati personali prevedere come obbligatoria la figura del responsabile del trattamento di quei dati adeguatamente istruito ed aggiornato sulla normativa e sui suoi adempimenti?
Io sono letteralmente allibito da come si stia con leggerezza parlando di "privacy officer", si stia cercando di imporre questa figura che nell'ordinamento oggi non esiste, certificandone l'esistenza a colpi di corsi (a pagamento) e certificazioni (anch'esse ben retribuite).
Mah...

che ne dite di un bel dibattito pubblico (ovviamente invitando il Garante per la protezione dei dati personali) su questa tematica così attuale e delicata?

venerdì 7 febbraio 2014

Copyright digitale, nuove norme europee per la musica online


Il copyright ricopre un ruolo essenziale per l'economia digitale è quindi opportuno tutelarlo con norme adeguate. Lo scorso martedì, 4 febbraio, il Parlamento Europeo ha approvato le nuove norme sulla musica d'autore. Le regole agevoleranno i fornitori online a ottenere le licenze per lo streaming di musica in più di un paese europeo. La legge, già informalmente concordata con il Consiglio, dovrebbe stimolare lo sviluppo di servizi di musica online a livello europeo per i consumatori e garantire che i diritti degli artisti siano maggiormente protetti e le royalty versate tempestivamente.
La direttiva, approvata con 640 voti favorevoli, 18 voti contrari e 22 astensioni, deve ancora essere formalmente approvata dal Consiglio. Successivamente, i Paesi membri dell'UE avranno 24 mesi di tempo per incorporare la direttiva nella legislazione nazionale.
Le nuove regole proteggeranno efficacemente gli interessi dei creatori europei e agevoleranno agli utenti finali l'accesso ai contenuti protetti da copyright in tutta Europa.
In base alle nuove regole, i fornitori di servizi di musica on-line nell'Unione europea potranno ottenere le licenze da parte degli organismi di gestione collettiva, che rappresentano, attraverso le frontiere, i diritti d'autore. Le licenze che coprono più di uno Stato membro faciliteranno lo streaming dei servizi musicali in tutta l'UE per i prestatori di servizi. Tutti gli organismi di gestione collettiva saranno tenuti a garantire che gli artisti ricevano un'adeguata remunerazione per l'uso dei loro diritti in tempo utile. In generale, le royalty dovranno essere versate agli artisti il più rapidamente possibile e, comunque, entro nove mesi dalla fine dell'esercizio finanziario in cui i proventi dei diritti sono stati riscossi.

lunedì 3 febbraio 2014

Governi e violazione della privacy, ecco cosa è accaduto in Ucraina

Abbiamo spesso trattato il tema dell'abuso della privacy soprattutto in ambito marketing, lo scandalo americano del Datagate ha poi fatto scattare il campanello d'allarme sull'utilizzo dei dati da parte dei Governi
L'imponente rilevanza mediatica del caso non è però riuscita a fungere da deterrente per altri governi nazionali. E' il caso dell'Ucraina, alcuni cittadini hanno ricevuto sul loro cellulare il seguente messaggio: "Gentile abbonato, Lei è stato registrato come partecipante a una manifestazione  che mette a rischio l’ordine pubblico”. 
Il breve messaggio di testo è stato recapitato, il 20 gennaio 2014, a persone che si trovavano in prossimità degli scontri avvenuti a Kiev. Un sms con mittente anonimo il cui incipit: "Gentile abbonato" fa pensare a una comunicazione proveniente dal proprio gestore telefonico.
Le tre principali compagnie telefoniche ucraine: Kyivstar, Life e Mts, negano di aver inviato il messaggio come pure di aver fornito i numeri dei cellulari. Non c'è stata dunque nessuna attività esplicita di Tower Dump, ossia quando le autorità chiedono ufficialmente i dati agli operatori per motivi di sicurezza.
Probabilmente il messaggio è stato inviato dalle forze di polizia con l'obiettivo di intimidire i partecipanti alla sommossa, ma come ha fatto il governo ucraino a reperire i dati? Quello che hanno in comune tutti i cellulari a cui è stato recapitato l'sms è che fossero tutti collegati alla stessa cella gsm.
Il quotidiano Ukrainskaya Pravda scrive, in un commento all'accaduto, che il messaggio potrebbe essere stato inviato da una finta cella GSM.
E' infatti possibile mettere in piedi una torre di comunicazione fittizia a cui tutti i telefoni della zona si colleghino e intercettare le comunicazioni.
Considerato che la legge ucraina proibise le assemble pubbliche non autorizzate e punisce il reato con quindici anni di carcere, siamo di fronte non solo a un gravissimo caso di violazione della privacy ma anche a comportamenti antidemocratici e intimidatori.

mercoledì 29 gennaio 2014

Educare alla Rete…sì, ma come, su cosa e per fare cosa?

Dopo un lungo e lucido confronto istituzionale in Banca d’Italia in merito alla regolamentazione in Italia dei futuri processi di dematerializzazione degli assegni, ho seguito stamattina il prestigioso convegno “Educare alla Rete” - svoltosi in data odierna dalle 11.30 in poi presso la sala convegni di Piazza Montecitorio a Roma - organizzato dal Garante per la protezione dei dati personali (anche in occasione della presentazione della omonima pubblicazione cartacea) con la partecipazione del Ministro per l’istruzione, dell’università e della ricerca, Maria Chiara Carrozza, del Commissario di Governo per l’attuazione dell’Agenda Digitale, Francesco Caio, del Direttore della Rai, Luigi Gubitosi e del Presidente dell’Autorità Garante per la protezione dei dati personali, Antonello Soro.
Da un convegno del genere, con personaggi così illustri, c’era da aspettarsi tanto: aperture verso il futuro digitale, importanti prese di posizione, strategie lungimiranti e tensione verso i nuovi binari targati 2.0, con (ovviamente) attenzione costante alla delicata questione dei dati personali da trattare. Invece, come purtroppo troppo spesso succede, poco o nulla di nuovo all’orizzonte. E quel poco era anche sofferto e raramente lucido.
Non è facile la strada della digitalizzazione ed è senz’altro importante che la Rai educhi i cittadini italiani, come peraltro è previsto da tempo – inutilmente - nel Codice dell’amministrazione digitale, dove si chiede con forza che i cittadini siano alfabetizzati e i dipendenti pubblici formati in materia di digitale.
Quindi, gli intenti del Garante sono nobili e gli sforzi apprezzabilissimi, ma da questi incontri si evince purtroppo come del roboante e pomposo “bla, bla, bla” poco rimane se non la sensazione che il digitale sia ancora una noiosa nota a margine per le nostre politiche nazionali e soprattutto quanto le nostre istituzioni subiscano tra loro un pericoloso scollamento, perseguendo obiettivi diversi e avvertendo la stessa materia del digitale secondo dinamiche differenti e livelli di attenzione opposti.
Il Ministro dell’istruzione candidamente ha ammesso la propria inadeguatezza in materia, scarsa conoscenza sulla particolare e complessa tematica, pur confermando un’attenzione istituzionale. Il Direttore della Rai, anche se con un avvio tecnologicamente controverso, è riuscito a far trasmettere un vivace video promozionale dal quale si evinceva un impegno della Rai verso questi temi. Il Garante ha dimostrato dimestichezza nell’affrontare la questione dal punto di vista della protezione del dato personale in un mondo che utilizza ormai quotidianamente e diffusamente strumenti di accesso al digitale (dal pc al tablet sino allo smartphone, i quali consentono un’interazione costante con i mondi social). E il Commissario di Governo per l’attuazione dell’Agenda Digitale ha svolto, pur con rispettabile rigore, il suo compitino parlando del suo mondo immaginifico: l’Agenda Digitale con i suoi tre obiettivi primari e i suoi diversi strumenti (PEC, firma digitale, documento digitale unificato e così via).
Peccato che nei processi di “educazione alla rete” individuati dal Garante di questi strumenti non ci sia traccia. Sembra quasi che si stia parlando di due mondi distinti: l’odierna realtà digitale da una parte (dei rischi della quale si interessa il Garante e, con diversi gradi di attenzione, le altre istituzioni coinvolte), e la rivoluzione digitale che si insegue dal 1993 (e di cui si interessa chi si occupa oggi di Agenda Digitale).
O almeno questa è stata la spiacevole sensazione che ho avvertito durante il convegno: una evidente cesura tra ciò che c’è e si vede e ciò che ancora non si vede e si sogna da anni, pur se continuiamo pubblicamente a dichiarare che sta per arrivare.
E i fallimenti della Carta di identità elettronica e da ultimo dell’AVCPASS ne sono l’evidente attestazione.
C’è una ferita che continua a sanguinare in Italia per chi si occupa con attenzione ed entusiasmo di queste materie e non possiamo continuare a chiudere gli occhi, facendo finta di nulla.
L’Italia non lo merita.
Perché è vero quando si dice e si ripete che noi siamo all’avanguardia su queste tematiche più tecniche, ma è pur vero che occorre guardare con attenzione la realtà che c’è, quella del web 2.0, se vogliamo davvero rendere operativi gli strumenti di digitalizzazione su cui stiamo puntando da vent’anni a questa parte.
E c’è senz’altro bisogno di alfabetizzazione diffusa (e ben vengano quindi queste iniziative), ma anche di formazione di professionalità nella PA e nel mondo dell’impresa. E soprattutto dobbiamo metterci d’accordo su cosa e come insegnare e per realizzare quali processi.
Facciamolo subito (e troviamo i fondi necessari).

E soprattutto, che le Istituzioni si mettano d’accordo tra loro su cosa fare …e magari si facciano anche aiutare da chi queste materie le studia da anni!

martedì 28 gennaio 2014

Violazione della Privacy, sotto accusa anche gli Angry Birds

Quante volte vi siete accaniti contro i maialini verdi scagliando con una fionda i noti Angry Birds? Sappiate che tutte le volte che lo avete fatto, la Nsa (National Security Agency, agenzia americana dei servizi segreti) e il Gchq britannico (Government Communications Headquarters, segmento dei servizi segreti britannici) hanno potenzialmente avuto accesso a tutti i vostri dati. Se l'APP è installata su un modello di cellulare di ultima generazione, la quantità di dati estraibili può essere ampia e diversificata e contenere anche delle informazioni sensibili come: il sesso, l’orientamento sessuale, lo stato civile, l’appartenenza etnica o l’esatta posizione del giocatore, in quanto permettono di accedere ai codici dello smartphone sul quale è stata installata l’applicazione. 
Stesso meccanismo a chi utilizzata i social network per attivare la piattaforma di gioco. Se considerate che il gioco è stato scaricato oltre un milione di volte, è facile immaginare la miniera di dati a disposizione del governo britannico e/o americano. Sulla base delle rivelazioni di Snowden, grazie ad un sistema di data analysis, sarebbe stato tracciato anche l'orientamento politico degli utenti.
La società finladese proprietaria di Angry Birds, la Rovio, ha naturalmente smentito ogni collaborazione con i servizi segreti americani e inglesi.

giovedì 23 gennaio 2014

I danni economici del cyber crime

Il World Economic Forum (WEF), nel suo ultimo rapporto, ha dichiarato che le perdite economiche conseguenti a attacchi informatici potrebbero raggiungere i tremila miliardi di dollari entro il 2020. I dati sono il risultato di un’indagine compiuta su un campione di oltre 250 dirigenti d’azienda. Per scongiurare il pericolo è necessario, secondo il WEF, adottare strategie nazionali di lotta al cyber crime, ampliare il settore assicurativo in quest’ambito e attivare dei servizi tempestivi di scambio di informazioni sugli attacchi pervenuti in tutto il mondo. La paura di subire attacchi da parte di hacker sta di fatto rallentando anche l’utilizzo del cloud computing, il 78% degli intervistati ha infatti rimandato l’adozione del cloud di almeno un anno, tempo necessario a effettuare le valutazioni in termini di sicurezza e protezione dei dati. Dal rapporto emergono tre diversi scenari a cui far fronte: gli hacker utilizzano competenze e tecnologie superiori rispetto a quelle adottate dai governi, gli attacchi informatici sono sempre più diffusi e capaci di arrecare danni più gravi rispetto al passato, bisogna adottare strategie preventive e dotarsi di soluzioni altamente innovative per limitare la proliferazione dei crimini informatici. La percezione di una mancata sicurezza rispetto alla circolazione dei propri dati frena i consumatori sui mercati online e quelli mobile con una notevole perdita economica.

mercoledì 15 gennaio 2014

Cloud e start up insieme per la crescita


Il cloud sembra destinato in Italia a una diffusione estesa, nonostante lo scenario attuale sia piuttosto variegato: lo conferma la quantità di nuove iniziative imprenditoriali che hanno fatto di questa nuova tecnologia il loro strumento principale. Questo è quanto emerge dall’analisi condotta dall’Osservatorio Cloud & ICT as Service, insieme all'Osservatorio Startup Digitali e  Polihub (l'incubatore del Politecnico di Milano) su 248 nuove iniziative imprenditoriali legate al cloud e suddivise in due grandi categorie: le startup cloud-based (che utilizzano servizi cloud) e i cloud provider (che offrono soluzioni as a Service).
Le start up si candidano quindi a svolgere un ruolo di primo piano nella diffusione delle soluzioni cloud nel prossimo futuro, soluzioni che sono state già adottate anche da aziende di lungo corso, soprattutto in quelle di maggiori dimensioni: dalle ricerche dell’Osservatorio risulta infatti che il 70% delle grandi aziende italiane attualmente adotta le tecnologie cloud in modo pervasivo o con sperimentazioni avanzate, mentre per le PMI con un numero di dipendenti compreso tra 50-249 purtroppo la percentuale di utilizzo scende al 28%.
Cifre che descrivono la forte dicotomia esistente tra le aziende che si sono affidate al cloud e quelle (ancora numerose) che continuano a non farne uso, generalmente per motivazioni legate alla sicurezza dei dati o al fenomeno del lock-in.

venerdì 10 gennaio 2014

La Francia multa Google per violazione sul trattamento dei dati personali

Ammonta a 150 mila euro la multa che la CNIL (Commission nationale de l’informatique et des libertés), l’autorità francese equivalente al nostro Garante per la privacy, ha inflitto al colosso Google per non aver adeguatamente informato gli utenti sul trattamento dei dati personali.
Pur essendo la più alta cifra mai stabilita per multare una violazione di questo genere, l'azienda di Mountain View non avrà nessun problema a pagare l'importo, ma la decisione che probabilmente avrà maggiore impatto sull'immagine aziendale è l'obbligo di pubblicazione sull'home page francese del motore di ricerca le motivazioni della sanzione.
L'ammonimento della Francia non è il primo che Google raccoglie in Europa, in Spagna l’Agenzia per la protezione dei dati personali ha già provveduto a sanzionare la società americana con un’ammenda di 900 mila euro per aver commesso tre tipi di violazione: la raccolta dei dati degli utenti, la loro combinazione tramite vari servizi e la conservazione degli stessi per un periodo indefinito senza il loro consenso.