Ancora richiedono i nominativi degli AdS

Piccolo sfogo pre-natalizio: ancora molti miei clienti, in qualità di responsabili di trattamenti di dati personali, ricevono richiesta dei nominativi degli amministratori di sistema.

Questo è un simpatico caso di non-aggiornamento, ormai dal 2009. A fine del 2008, tutti a correre per adeguarsi al Provvedimento del 27 novembre 2008 [doc. web n. 1577499], ma pochissimi a chiedersi perché il Provvedimento fu modificato il 25 giugno 2009 (a parte chiedere proroghe).

Io fui fortunato perché assistei al dibattito. Però sono sorpreso nel vedere che tanti ancora oggi, dopo più di 15 anni, non abbiano recepito la modifica. Temo che troppi corsi di formazione non siano abbastanza aggiornati e così vengono formate persone in modo scorretto.

E allora ripassiamo. La modifica del Provvedimento riguardava, oltre all'eliminazione di un riferimento obsoleto al DPS e a un chiarimento sul fatto che il mantenimento dei nominativi degli AdS sia da prevedere contrattualmente, all'aggiunta di due "o il responsabile", in modo che gli adempimenti in merito al mantenimento dei nominativi degli AdS non siano necessariamente in carico al titolare.

Uno dei motivi è evitare che vengano diffusi i nominativi di persone che potrebbero essere bersaglio di attacco. Pertanto i responsabili dovrebbero rigettare tali richieste per assicurare la sicurezza dei loro clienti.

Purtroppo il Provvedimento lascia ancora margini di ambiguità e questo dimostra come sia stato concepito e scritto male e, ahinoi, quanto è sbagliato il mantenerlo in vita.

Si potrebbe però aggiungere che il principio di minimizzazione imporrebbe ai titolari di non chiedere i nominativi in ogni caso perché già in possesso del responsabile.

 Inoltre, la lettura del Provvedimento dice che l’elenco va tenuto aggiornato e disponibile in caso di accertamenti da parte del Garante. Quindi il responsabili deve rendere sicuramente disponibile tale elenco in caso di accertamenti e su richiesta dell’autorità, ma non prima.

Ultima nota polemica: voglio vedere quanti hanno chiesto i nominativi degli AdS agli OTT (Amazon, Google, eccetera) e  li hanno cambiati perché non li hanno ricevuti.

Guida CISA per i dispositivi mobili

La Cybersecurity and Infrastructure Security Agency statunitense ha pubblicato la Mobile Communications Best Practice Guidance: https://www.cisa.gov/resources-tools/resources/mobile-communications-best-practice-guidance.

Si tratta di una guida molto tecnica, anche se molto breve. Alcune cose dovrò studiarle meglio.

Gli uomini possono fare tutto (Dicembre 2024)

Qualche giorno fa avevo scritto un commento su LinkedIn, rispondendo a un post, più pertinente la sicurezza informatica e in generale la digitalizzazione, di Antonio Ieranò.

Dicevo che la scuola che esce dalle mie competenze professionali, ma rientra in quelle di genitore e mi lamentavo di alcune cose che riporto qui di seguito:

• sembra che abbiano eliminato i programmi statali; quindi i professori seguono i "programmi dei libri" (pompati di pagine per l'avidità degli editori);
• questi programmi sono anche compressi perché l'orario alle medie è sempre di 30 ore dagli Ottanta ad oggi, ma oggi c'è una materia inutile (la seconda lingua, fatta male anche perché spessissimo non ripresa alle superiori) e quindi 2 ore in meno per altre;
• il MIUR chiede di dare almeno 3 voti ad alunno per materia; non chiedetemi il riferimento normativo, ma so che mio figlio ha 14 materie e dovrebbe avere 42 voti, mentre nel secondo quadrimestre dello scorso AS ne aveva 80 (posto che non dovrebbe avere più verifiche lo stesso giorno e i giorni di scuola sono 200 e quindi il secondo quadrimestre dovrebbe essere di 100 giorni, calcolo che ha avuto una verifica scritta o orale quasi ogni giorno);
• molti genitori e docenti pensano che più verifiche (magari a sorpresa) fanno imparare di più e spronino i ragazzi (leggere Lucangeli per capire la sciocchezza).

Questo fa sì che i professori diventano ansiosi perché hanno tanta roba da fare, con il risultato che anche i ragazzi vanno in ansia. Oltre a ciò, i professori non sono attrezzati a tenere calma una classe. Oltre a correre, danno note, votacci e verifiche a sorpresa, ma ciò non fa che accrescere il disagio, per ovvi motivi, mentre per ridurre i problemi bisogna assicurare ritmo tranquillo e prevedibilità.

Ed ecco che i ragazzi con qualche problema a monte, fanno ancora più fatica a studiare e imparare.

Non so perché, ma trovo che, quando parlo con gli altri genitori di queste cose, il gruppo è più numeroso di mamme che di papà, soprattutto quando il caso personale rientra tra i "fragili". Peccato, perché mi accorgo sempre più quanto sia importante l'interessamento di ambedue i genitori.

Codice di condotta privacy per le imprese di sviluppo e produzione di software gestionale

Il Garante per la privacy ha approvato il codice di condotta per il trattamento dei dati personali effettuato dalle imprese di sviluppo e produzione di software gestionale e l'accreditamento dell'organismo di monitoraggio: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10075998.

In sintesi e imprecisamente: il codice di condotta può essere applicato da chiunque e chi lo applica può chiedere una sorta di certificazione all'organismo di monitoraggio, in questo caso Assosoftware.

Il mio commento è che sarà opportuno, per gli sviluppatori in generale, verificare l'applicazione dei requisiti funzionali e tecnici negli allegati A e B e adottare il modello di DPA in Allegato C.

Purtroppo questo codice arriva dopo 8 anni di fatica a selezionare i requisiti funzionali per i miei clienti e a produrre modelli di DPA. Fosse arrivato prima mi avrebbe risparmiato molta fatica!

Senza togliere niente agli articolisti, suggerisco di leggerlo nella sua versione ufficiale, visto che è di facile lettura.

Ringrazio Chiara Ponti che l’ha segnalato agli Idraulici della privacy.

Generative Artificial Intelligence: punti di forza, rischi e contromisure

Segnalo la pubblicazione "Generative Artificial Intelligence: punti di forza, rischi e contromisure": https://www.ictsecuritymagazine.com/pubblicazioni/.

Autore è Vincenzo Calabrò. Si tratta di una pubblicazione di 110 pagine molto tecnica e molto interessante.

Linee guida di ACN per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio

ACN ha pubblicato le "Linee guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio": https://www.acn.gov.it/portale/w/online-le-linee-guida-per-il-rafforzamento-della-protezione-delle-banche-dati-rispetto-al-rischio-di-utilizzo-improprio-.

Grazie a Project:IN Avvocati per la segnalazione.

Che dire? Sono scritte in modo confuso perché le 6 voci di sicurezza sono suddivisa in due paragrafi di testo libero e di "Raccomandazioni di contesto" tra loro incoerenti come linguaggio, livello di spiegazione per principianti o esperti, misure e livello di sicurezza richiesto. Così si crea confusione, non si aiuta.

Poi io temo sempre la loro interpretazione quando si tratta di PMI.