martedì 31 marzo 2020

Le scuole, la digitalizzazione forzata e le solite lezioni

Le scuole, causa la chiusura fisica, sono state "invitate" dal Ministero a usare strumenti di didattica a distanza. Ovviamente qualcuno va in giro a dire che si sta facendo grande opera di digitalizzazione, ma in realtà si sta facendo grande confusione.

La storia, per quanto abbia potuto ricostruire, è semplice e drammatica allo stesso tempo. A fronte dell'emergenza, sono stati identificati degli strumenti per la didattica a distanza e gli istituti sono stati invitati ad usarli. Questo senza che fossero elaborate delle istruzioni per i docenti e i genitori (il solito "armiamoci (male) e partite"), fossero fatte delle analisi per aiutare i docenti a scegliere gli strumenti e delle analisi sulla privacy.

Il Garante ha detto la sua solo il 30 marzo:
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9302778.

Molte famiglie si sono ritrovate con la necessità di mettere a disposizione dei figli degli strumenti informatici (so di alcune classi che fanno ore di lezione, ma so anche di famiglie che di digitale hanno solo i cellulari dei genitori che, ahiloro, in questi giorni devono comunque uscire per lavorare, oppure famiglie che hanno due figli, ma non due tablet o pc per far seguire le lezioni online ai due figli se in contemporanea). E chi ha i figli alle elementari ha dovuto registrarli ai sistemi, capire come funzionano e supportarli nel loro utilizzo. Quando, fino a ieri, le comunicazioni arrivavano solo via WhatsApp. Ma tutto questo non è sembrato di interesse a qualcuno, ma avrà come conseguenza che al rientro alcuni saranno allineati, altri saranno indietro e di solita l'arretratezza si accompagna a difficoltà già pregresse.

Ma parliamo anche degli strumenti.

Io ho avuto modo di usare Weschool e Edmodo.

Weschool non capisco perché sia indicato come strumento didattico. Sembra più una piattaforma per scambiarsi messaggi. Ma i software usati per le BBS negli anni Novanta erano meglio: almeno visualizzavano una bandierina sulle discussioni per cui c'erano messaggi da leggere. Weschool non fa questo e, oltra alla "board" non ha altre funzionalità. Quindi... bisogna riguardare tutte le discussioni e vedere se ci sono risposte, se le maestre hanno messo dei commenti e così via. Una a una.

Edmodo è un po' meglio perché, oltre a funzionalità "tipo Facebook", permette agli insegnanti di dare i compiti e farli visualizzare in una sezione apposta, ma solo se sono attivati come "eventi". Le risposte delle insegnanti sono notificate insieme a "tutto il resto" (e chi usa Facebook si può immaginare) e, nella versione per tablet, non è possibile nascondere le notifiche già approfondite.

Insomma: nulla che un uso attento dell'email o di WhatsApp non avrebbe permesso.

Ferruccio Militello, che fa il DPO per alcune scuole, mi conferma che alcune scuole superiori erano già avanti nel processo, ma altre no e hanno dovuto iniziare "in corsa" l'uso di questi strumenti, senza però che i dirigenti scolastici e gli insegnanti abbiano mai ricevuto formazione in materia (e non parliamo della privacy).

Aggiunge Ferruccio (e io appoggio il suo punto di vista): "Vale la pena sottolineare, a mio modo di vedere, che con uno staff importante e strutturato il MIUR avrebbe dovuto pensarci piuttosto che lasciare iniziativa ai singoli".

Io sarei brutale e direi che siamo di fronte alla solita cretinata di voler imporre tecnologia senza farsi domande.

A questo aggiungiamo il caso di Zoom: si è dimostrato che condivide i dati con Facebook (e molti istituti suggeriscono questo strumento per tenere le lezioni):
- https://www.repubblica.it/tecnologia/sicurezza/2020/03/27/news/zoom_l_app_per_videoconferenze_condivide_i_dati_con_facebook-252458567/.

Poi dicono di aver risolto, ma la questione fa rabbrividire:
https://www.repubblica.it/tecnologia/sicurezza/2020/03/29/news/privacy_zoom_ripara_la_falla_di_sicurezza_non_eravamo_a_conoscenza_dei_dati_raccolti_da_f
acebook_-252611458/.

Poi certamente è bello pensare che ci sono strumenti gratuiti da usare, ma si sa che non sono veramente gratuito in quanto pagati con i dati. E qui si parla di dati di minorenni.

C'è anche la solidarietà digitale (https://solidarietadigitale.agid.gov.it), ma questo è un altro argomento su cui dovrei riflettere molto di più: come sono stati selezionati, perché tanti offrono servizi basati sui soliti OTT (Google, Amazon, Facebook, Apple) e perché anche in questo non si sia approfittato per promuovere una digitalizzazione reale.

ISO 22313:2020 sulla business continuity

Franco Vincenzo Ferrari di DNV GL Business Assurance mi ha segnalato la pubblicazione della nuova versione della ISO 22313 dal titolo "Guidance on the use of ISO 22301":
- https://www.iso.org/standard/75107.html.

Non l'ho (ancora) letta e quindi non la commento.

Pubblicata una correzione alla ISO/IEC 27006

Pubblicato l'Amendment 1 della ISO/IEC 27006:2015 ("Requirements for bodies providing audit and certification of information security management systems":
- https://www.iso.org/standard/77722.html.

Poca roba, di (scarso) interesse anche per gli organismi di certificazione. Piccole puntualizzazioni su cose marginali.

Ricordo che la ISO/IEC 27006 è la norma che devono applicare gli organismi di certificazione, non le organizzazioni che intendono certificarsi.

Libro: IoT Security e Compliance

E' uscito il libro "IoT Security e Compliance" della Community for Security del Clusit:
- https://iotsecurity.clusit.it.

Anche io appaio tra gli autori.

lunedì 30 marzo 2020

Corea del Sud e Italia, cultura e tecnologia

Anche io entro in questa amena discussione sull'applicazione usata in Corea del Sud che permetterebbe di tracciare i movimenti delle persone e contrastare il diffondersi del COVID-19. Un articolo tra i tanti, che mi sembra molto esaustivo (grazie a un retweet di @brunosaetta):
- https://www.valigiablu.it/coronavirus-dati-tecnologia/.

Questo articolo, sempre su Valigia Blu, ma da un tweet di @fpietrosanti, parla di Singapore:
- https://www.valigiablu.it/coronavirus-singapore-contact-tracing-tecnologia-privacy/.

Molte critiche. Credo che questo articolo (da un retweet di @gbgallus) riassuma la questione:
- https://www.techeconomy2030.it/2020/03/21/coronavirus-contact-tracing-emergenza-sanitaria-cancella-altri-diritti/.

Il mio commento è che troppo spesso si pensa alla tecnologia senza pensare a tutti gli altri fattori (anche altri dicono, con parole più o meno diverse, questa stessa cosa). Siamo, come al solito, in mano a quelli che ragionano per tool e non per cultura e processi con risultati sempre negativi, come ho già scritto in passato.

Per esempio, ecco alcuni elementi culturali a cui ho pensato e che non ho visto approfonditi:
- nei Paesi asiatici l'uso della mascherina è molto più diffuso anche per le "normali" influenze (guardatevi in giro e pensate a quanti non si mettono la mascherina per non sembrare buffi; una mamma infermiera mi ha detto che sua figlia ha pianto quando l'ha vista con la mascherina);
- nei Paesi asiatici, solitamente, le persone appena possono stanno più distanti che da noi (giusto sabato ho visto uno che a piedi superava un'altra a non più di 5 cm di distanza e mi sono chiesto perché tanta fretta; al supermercato si vede sempre il "corridore" che, evidentemente per tornare a casa in fretta, si avvicina a tutti e senza mascherina);
- nel nostro Paese il richiamo alle regole genera fastidio e anche derisione, piuttosto che solidarietà (venerdì, dal fruttivendolo, mi sono arrabbiato con il garzone che, senza mascherina, continuava a passarmi vicinissimo e, ovviamente, io ho fatto la figura del rompiscatole, non lui quella dello sconsiderato);
- non abbiamo mascherine neanche le volessimo.

Proprio il 30 marzo è uscito un articolo sul Corriere della Sera dal titolo "Controlli: 5.000 multati (e 50 positivi in giro)". Il problema non è quindi l'uso delle tecnologie, se una domenica 50 persone positive vanno in giro e 5.000 vanno in giro senza alcuna ragione. Mi spiace, ma forse l'articolo è "bloccato". Ad ogni modo, il link è questo:
- https://www.corriere.it/politica/20_marzo_30/coronavirus-sabato-nero-controlli-5000-multe-quei-50-positivi-spasso-8dae3e98-71f8-11ea-b6ca-dd4d8a93db33.shtml.

Sulla questione delle mascherine, sempre il 30 marzo è uscito un articolo sul Corriere della Sera:
- https://www.corriere.it/dataroom-milena-gabanelli/coronavirus-perche-non-si-trovano-mascherine/7233d98a-71fc-11ea-b6ca-dd4d8a93db33-va.shtml.

Mi vengono poi ulteriori domande sulla reale capacità di usare questi strumenti, su quante persone competenti ci sono in giro per installarli, usarli efficacemente e mantenerli. Visto che già nelle aziende private vedo situazioni imbarazzanti, mi permetto di avere qualche dubbio per un progetto pubblico di questa dimensione (e ho anche dei dubbi sui tempi; ora che sarà tutto pronto spero che l'emergenza sarà finita).

venerdì 27 marzo 2020

Linee guida AgID per usare SPID per firmare

Diego Padovan degli Idraulici della privacy ha segnalato le Linee guida AgID contenenti le "Regole Tecniche per la sottoscrizione elettronica di documenti ai sensi dell'art. 20 del CAD":
- https://anorc.eu/attivita/firmare-i-documenti-con-spid-emanate-le-linee-guida-agid/.

I destinatari delle Linee Guida sono i fornitori dei servizi SPID. Ma interessa anche chi con SPID ha poco a che fare perché potrà utilizzare SPID per sottoscrivere atti e contratti aventi validità giuridica. Molto utile.

domenica 22 marzo 2020

Corona virus e privacy (quarta parte - una riflessione)

Riccardo Lora degli Idraulici della privacy ha condiviso questa riflessione di Matteo Flora dal titolo "La Guida Completa allo Stato di Polizia":
- https://www.youtube.com/watch?v=rsu-LHNcyEM.

Quindi c'è qualcuno che studia le cose prima di voler importare soluzioni da altri Paesi senza un minimo di analisi!

mercoledì 18 marzo 2020

Corona virus e privacy (terza parte - EDPB)

Il 16 marzo, sempre in merito alla raccolta di dati da parte delle aziende e all'elaborazione dei dati di posizionamento in possesso delle compagnie di telecomunicazioni per fronteggiare l'emergenza COVID-19, l'EDPB ha fatto una dichiarazione:
- https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_it.

Mi è sembrata meno approfondita di quello che speravo.

Ringrazio sempre la mia fonte (anonimizzata).

Corona virus e privacy (seconda parte)

Avevo scritto il 1 marzo sulle fantasiosie interpretazioni privacy ai tempi del COVID-19:
- http://blog.cesaregallotti.it/2020/03/corona-virus-e-privacy.html.

E però non avevo detto che il giorno dopo il Garante aveva fatto un comunicato proprio su questo argomento (ringrazio chi me l'ha segnalato):
- https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9282117.

Me ne scuso. Anche perché il Garante, più o meno, era sulla mia stessa linea di pensiero. Dico "più o meno" perché la posizione del Garante è ovviamente più approfondita della mia.

Su questo aggiungo che mi sto ponendo un'altra questione: se una persona è venuta nei locali di un'azienda e si è successivamente accorta di essere infetta e poi telefona all'azienda per segnalare l'evento, come deve comportarsi l'azienda? Io, indicativamente, direi che l'azienda dovrebbe identificare le persone e informare le persone con cui è entrata in contatto. E quindi questa cosa andrebbe prevista e gli interessati informati.

Certo... dovrei cercare di passare dal medico del lavoro. Però la situazione non mi sembra facile.

Detto questo, mi è arrivata notizia che sono arrivate segnalazioni di data breach e anche reclami relativi a persone la cui privacy è stata violata perché positivi al COVID-19 (p.e. attraverso diffusione su social del nome della persona, diffusione dei risultati del test, pubblicazione del provvedimento di isolamento).

Accanto a questo trovo incredibile (e inquietante) il diffondersi delle notizie relative ai magnifici risultati della Corea del Sud che ha usato i dati personali dei cittadini per contrastare efficacemente il COVID-19. Su questo ho i miei dubbi perché non ho sufficienti notizie. Forse dovremo rimandare le valutazioni sull'efficacia degli interventi alla fine dell'emergenza e poi dovremo anche considerare le grandi differenze tra i nostri Paesi, che forse celano ulteriori cause per i risultati ottenuti (ricordo, per esempio, che in certi Paesi è normale indossare la mascherina quando si ha il raffreddore; ma dovremmo anche riflettere sui diversi regimi politici e altre condizioni).

lunedì 16 marzo 2020

Solidarietà digitale

Lo Studio legale Stefanelli & Stefanelli mette a disposizione dei documenti standard, predisposti dai professionisti dello studio, soprattutto relativi alla privacy, utili per riorganizzare i processi interni in questo momento di emergenza per il COVID-19:
https://www.studiolegalestefanelli.it/it.

Iniziativa lodevole. Io adotto uno stile meno formale, ma ho apprezzato molto i modelli predisposti.

domenica 15 marzo 2020

"Pandemic Planning and Implementation for Business Resiliency" dal BCI

Segnalo questa breve pubblicazione dal titolo "Pandemic Planning and Implementation for Business Resiliency" del BCI e scritta da Laura Zarrillo (che ho il piacere di conoscere personalmente):
- https://www.thebci.org/news/coronavirus-pandemic-planning-and-implementation-for-business-resiliency.html.

Ci sono molte indicazioni interessanti.

venerdì 13 marzo 2020

Rapporto Clusit 2020

Il 17 marzo sarà pubblicato il Rapporto Clusit 2020. La pagina dove prenotarlo è (dal 17 marzo!):
- https://clusit.it/rapporto-clusit/.

Il rapporto è sempre interessante, anche se negli ultimi anni è sempre più apocalittico. Ne consiglio la lettura.

martedì 10 marzo 2020

ENISA e linee guida per la sicurezza negli ospedali

Mi hanno segnalato la pubblicazione di questa interessante guida dal titolo "Procurement guidelines for cybersecurity in hospitals":
- https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services.

L'ho trovata molto interessante, anche considerando che molte cose non sono applicabili solo agli ospedali ma a tutti gli ambienti "industriali".

Inoltre ho trovato interessanti la tassonomia di minacce, visto che sono 31 divise in 5 famiglie (molto maneggevoli, ma solo di tipo informatico). Accanto a queste, ho trovato utile la lettura delle sfide (challenge) e delle vulnerabilità (che indica impropriamente come "rischi").

Le misure sono un po' deludenti in quanto alcune troppo generiche, ma forse utili per alcuni lettori non troppo esperti della materia.

Segnalo la misura G 20 (Set gateways to keep legacy systems/machines connected) relativa ai dispositivi obsoleti e vulnerabili.

sabato 7 marzo 2020

Garante, Aruba e la gestione delle prime password e delle credenziali amministrative

Questo Provvedimento del Garante mi piace un sacco (non per Aruba, ma per il contenuto tecnico, ovviamente):
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9283040.

Da una verifica al servizio PEC di Aruba a seguito di alcune segnalazioni di violazioni, il Garante ha identificato 3 criticità:
- al momento dell'assegnazione iniziale della password ai titolari delle caselle di posta, non veniva richiesta la modifica obbligatoria con anche criteri di lunghezza e complessità (questo fino al 25 settembre 2019);
- accesso ai log da Internet di persone che usavano credenziali condivise (e di tipo amministrativo);
- memorizzazione, all'interno dei file di log applicativi, di troppi dati (incluse username e password riportate in chiaro).

Immagino tutti sappiano che queste sono criticità, ma tanti di noi sanno che spesso non sono affrontate per mille motivi (soprattutto di carico di lavoro e perché, ahinoi, inizialmente il servizio non è stato progettato pensando a questo aspetto). Ora il Garante ribadisce che vanno corrette. Non ha dato alcuna multa, ma spero che questo sia sufficiente per tutti.

giovedì 5 marzo 2020

IusLaw WebRadio: tutto sullo smart working

Segnalo la puntata del 2 marzo di IusLaw WebRadio dal titolo "Tutto sullo smart working":
- https://webradioiuslaw.it/speciale-adeguamento-privacy-tutto-sullo-smart-working/.

Riassume molte delle cose che ci stiamo dicendo in questi giorni. Interessante però il fatto che, sebbene sia una puntata nata dalla situazione contingente, cerca di uscire dalla contingenza vera e propria.

Successivamente, molte cose dette a voce sono state ribadide per iscritto:
- https://www.agendadigitale.eu/sicurezza/smart-working-come-garantire-sicurezza-informatica-e-privacy/.

Aggiungo che, quando si parla di smart working, mi piacerebbe approfondire anche le tematiche non di sicurezza, visto che lo strumento può introdurre inefficienze e problemi, che poi si riversano sulla sicurezza. Esempi che mi vengono in mente: come assicurare la presenza di un ambiente "alienante" (ossia che produce ricchezza ai partecipanti grazie alla presenza degli "altri", al contrario degli ambienti "estranianti"), come evitare il senso di solitudine, come educare al movimento fisico. Segnalo che si tratta di cose di cui ho parlato con alcune persone in questi giorni, visto che le stiamo sperimentando direttamente.

BCI Horizon Scan Report 2020

Il BCI ha pubblicato il rapporto "BCI Horizon Scan Report 2020" sui rischi di interruzione delle attività:
- https://www.thebci.org/resource/bci-horizon-scan-report-2020.html.

Non è relativo ai servizi informatici, ma a tutti i tipi di organizzazione.

Il primo rischio, quest'anno, è quello di pandemia, che ha superato quello di interruzione dei servizi informatici. Nulla di sorprendente...

Sanzione del Garante in ambito sanitario

Mi hanno segnalato questo interessante provvedimento del Garante privacy "Ordinanza ingiunzione nei confronti di Azienda Ospedaliero Universitaria Integrata di Verona" del 23 gennaio 2020 (doc web 9269629):
- https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9269629.

Qui trovo interessante la prima osservazione del Garante (punto 6, primo elemento dell'elenco puntato). La traduco: "vi multo perché avete dimostrato di non aver adottato misure idonee, visto che sin dal 2013 vi dicevo di attuare le misure che, mancando, vi hanno portato ad una violazione di dati personali".

Traduco ulteriormente: meglio seguire le misure segnalate dal Garante.

mercoledì 4 marzo 2020

Si fa presto a dire "smart working"

Da milanese, sono interessato ad alcune cose sul corona virus. Una di queste riguarda il consiglio di attivare il lavoro da casa. Sono numerosi gli articoli e gli interventi che, in sintesi, dicono di pensare alla continuità operativa e di attivare lo smart working. Alcuni più prolissi, altri più sintetici, ma trovo pochi approfondimenti (ho già consigliato una buona pubblicazione svizzera poco tempo fa).

Nella mia vita lavorativa e in questi giorni ho però raccolto alcune indicazioni per cui dire "lavoro da casa" (o, "lavoro agile" o, in inglese, "smart working", anche se non sempre è agile - ci si alza meno dalla sedia e qualcuno ne ha sentito la fatica -, non sempre è da casa e non sempre è furbo) non è così semplice.

Prima: molti contratti non lo prevedono. E allora ringrazio la circolare di Borioli & Colombo che mi ha segnalato il fatto che sono state attivate misure provvisorie per accedere a questo strumento. Ecco il link:
- https://www.lavoro.gov.it/strumenti-e-servizi/smart-working/Pagine/default.aspx.

Interessante ricordarsi dei rischi e la circolare segnala il sito dell'INAIL (che, colpevolmente, non conoscevo per niente):
- https://www.inail.it/cs/internet/attivita/prevenzione-e-sicurezza/conoscere-il-rischio.html.

Seconda: non tutti hanno il pc portatile aziendale; non tutti quelli che ce l'hanno se l'erano portato via il venerdì sera. Ancora peggio: alcuni non hanno proprio un pc in casa (né quello aziendale). E altri ancora non hanno connessioni sufficienti per il telelavoro. Bisognava preventivamente fare un censimento della strumentazione che la persona metterebbe a disposizione e SE è disponibile a farlo. Sono questioni non semplici, su cui alcuni ci stanno lavorando da anni per trovare la giusta quadra tra le esigenze aziendali e quelle dei lavoratori.

Terza: se è richiesto il BYOD con strumenti di emergenza (ossia il pc personale che fino a ieri non era previsto fosse usato per ragioni di lavoro), come configurare questi strumenti? Come la singola persona può installarsi il software per la VPN o il software necessario? E si ricorda tutte le password? Come sopra, questo doveva essere pianificato preventivamente. Devo dire che ho visto aziende molto organizzate per questo tipo di situazione, ma la maggior parte non lo è.

Quarta: se è tutto a posto, l'organizzazione ha la capacità per sostenere tutto il traffico, che prima era interno, da Internet e sulle VPN?

Quinta: ora che la riunione non la facciamo più in una sala riunioni in azienda, riusciremo a farla ognuno in casa propria e con i bambini a casa da scuola?

Ripeto: queste sono questioni che ho visto direttamente e che mi sono state poste da alcuni clienti nel corso degli anni. Sicuramente ce ne sono altre e sarebbe interessante raccoglierle in modo da migliorare le nostre competenze.

Alla fine di questo elenco di possibili problemi, devo dire che molti hanno attivato il "lavoro da casa" con successo e quindi forse alcuni miei dubbi non sono così significativi.

martedì 3 marzo 2020

Manuale per il piano pandemico

Guido Uglietti mi ha segnalato questo interessante manuale dell'Ufficio federale della sanità pubblica della Confederazione Svizzera:
- https://www.bag.admin.ch/bag/it/home/krankheiten/ausbrueche-epidemien-pandemien/pandemievorbereitung/pandemiehandbuch.html.

E' ovvio che i tempi sono questi, ma penso che questo manuale sia fatto bene e completo (anche se, come sempre succede, in ogni situazione emergono casi particolari vari).

lunedì 2 marzo 2020

Articolo sull'accreditamento dei laboratori di VA

Appena pubblicato il mio articolo sull'accreditamento, Paolo Sferlazza di Gerico mi ha segnalato un suo articolo dal titolo "L'accreditamento dei laboratori che effettuano Vulnerabily Assessment":
- https://www.ictsecuritymagazine.com/articoli/laccreditamento-dei-laboratori-che-effettuano-vulnerabily-assessment/.

Mi pare un ottimo approfondimento su questo tipo di accreditamento.

Mio articolo sull'accreditamento

E' stato pubblicato questo mio articolo dal titolo "Accreditamento e certificazioni: regole, metodologie e norme di riferimento":
- https://www.cybersecurity360.it/legal/accreditamento-e-certificazioni-regole-metodologie-e-norme-di-riferimento/.

Mi ha chiesto un po' di lavoro di studio, visto che volevo essere sicuro dei tipi di accreditamento di cui volevo scrivere.

Mi spiace che nei ringraziamenti non appaia Stefano Ramacciotti insieme a Franco Ferrari e Alice Ravizza. Purtroppo per colpa mia e per la mia fretta di inviare l'articolo (anche se quelli di Cybersecurity 360 potrebbero correggerlo senza fatica).

Traduzione in italiano della ISO 22301

E' stata pubblicata la ISO 22301:2019 in italiano. Come spesso succede, visto che il recepimento come norma UNI e la traduzione sono successive al recepimento come norma europea (EN), la norma prende nome UNI EN ISO 22301:2019:
- http://store.uni.com/catalogo/uni-en-iso-22301-2019.

domenica 1 marzo 2020

Corona virus e privacy

Lo confesso... non ce l'ho fatta e ho risposto su LinkedIn a questo articolo dal titolo "Tutelare la privacy sui luoghi di lavoro ai tempi del coronavirus: ecco come":
- https://www.cybersecurity360.it/news/tutelare-la-privacy-sui-luoghi-di-lavoro-ai-tempi-del-coronavirus-ecco-come/.

Purtroppo ho risposto malamente anche ad uno come Luca Bolognini, da cui dovrei solo imparare.E però volevo avere un'occasione per allegare la foto che segue. Non riesco a risalire all'autore, ma spero accetti questa diffusione.


Comunque... come descritto dall'articolo, alcune aziende mandano questionari ai dipendenti, collaboratori e visitatori per chiedere se sono stati in Cina o Codogno o se sentono i sintomi del corona virus. Alcuni consulenti privacy si chiedono quanto tempo conservare questi dati e come fare l'informativa.

La risposta è già nella domanda: il trattamento è completamente inutile e proprio per questo non è possibile stabilire i tempi di conservazione dei dati e come fare l'informativa.

Una risposta più tecnica è che, per il principio di minimizzazione, meglio sarebbe non raccogliere proprio i questionari, visto che ci sono strade alternative. Ossia informare bene le persone e dire loro cosa devono fare. Fare un bello schema, magari ispirandosi alle FAQ del Ministero della salute: http://www.salute.gov.it/portale/nuovocoronavirus/dettaglioFaqNuovoCoronavirus.jsp?lingua=italiano&id=228.

Viene da chiedersi come possa essere venuto in mente alle aziende di raccogliere i dati per proteggere il proprio personale. Infatti saprebbero interpretare le risposte? Se uno dice di essere stato a Codogno, sanno cosa fare? E allora perché chiederlo a tutti e non dire semplicemente cosa devono fare quelli che sono stati a Codogno? E poi, come interpretare i sintomi?

Purtroppo alcuni pensano di fare la cosa "giusta" (e soprattutto coprirsi le spalle) inviando questionari e raccogliendo dati, senza chiedersi cosa farsene veramente e senza fare reale informazione. La burocrazia inutile, purtroppo, sembra sempre una buona soluzione, ma non lo è.

Alcuni si sono lamentati perché il Garante non si pronuncia. Ma il Garante non è competente per dire cosa fare in caso di emergenza in sanità. Quindi non sa dire se è necessario per le aziende raccogliere i dati delle persone (visitatori e dipendenti e simili) per tutelare le aziende. Quindi: prima l'autorità competente (Ministero della salute? Protezione civile? non lo so perché su questo sono assolutamente impreparato) deve dire quali misure intraprendere, poi (o consultanto preventivamente) il Garante dirà la sua nel caso in cui queste misure includano il trattamento dei dati personali.

Se consultato preventivamente, immagino chiederà (come dovremmo fare noi consulenti privacy) se è proprio necessario raccogliere i dati personali o non ci sono altre strade per ottenere gli stessi (o forse migliori) risultati.

PS: qualcuno mi ha detto che dovrei essere meno "massimalista". Sono comunque pronto a sapere se ci sono eccezioni da cosiderare (ossia aziende che devono necessariamente raccogliere dati personali per il corona virus e non possono seguire strade alternative).