IT e dintorni

L'outsourcing del marketing sui social media

2009-11-09T11:21:00.000+01:00

L'evoluzione ed il continuo sviluppo dei media sociali e del Web 2.0 in generale, sta dando impulso ad una branca del marketing che, in relazione al contesto di riferimento in cui si pone, viene giustamente definita come social media marketing.

Il fine ultimo è quello di instaurare una conversazione fattiva con utenti e consumatori e di sviluppare e mantenere una visibilità sui media sociali e sulle varie comunità del Web 2.0, attraverso un approccio ed una gestione integrati dei vari canali e strumenti di comunicazione.

Le attività richieste a tal fine sono molteplici e vanno dalla gestione dei rapporti e della reputazione online, alla produzione di contenuti multimediali, fino ad arrivare, in alcuni casi, ad una gestione completa del brand.

Si tratta comunque di attività eterogenee che richiedono competenze ed approcci differenti, spesso fuori della portata della maggior parte delle aziende, non soltanto di piccole dimensioni ma anche medio grandi, tenuto anche conto della novità del settore e della sua stretta integrazione con le tecnologie ICT.

Senza dimenticare, poi, il tempo e gli sforzi necessari per pianificare, progettare ed attuare una campagna di marketing di successo; non è quindi un mistero la nascita di un mercato che fa leva sulla possibilità di affidare all'esterno (outsourcing), a società o liberi professionisti specializzati, l'esecuzione di tali attività per conto terzi.

Del resto la pratica dell'outsourcing si adatta perfettamente a questo tipo di esigenza, in quanto permette alle imprese di dedicare tempo e risorse alle sole attività direttamente riconducibili al suo core business, con conseguenti risparmi sui costi operativi.

Ci sono però alcune considerazioni da fare, legate soprattutto al coinvolgimento di soggetti esterni nello svolgimento di attività complesse che pongono, a volte, questioni delicate, oltre al fatto che l'esternalizzazione crea, di regola, un rapporto stretto e vincolante tra le parti che richiede, perciò, una adeguata regolamentazione contrattuale.

Offerta dei servizi ed aspetti legali

L'offerta incentrata sulla gestione in outsourcing del social media marketing si articola in una serie di servizi che normalmente abbracciano:

gestione dei blog;
creazione di contenuti / prodotti audio/visivi / design di siti web;
ottimizzazioni delle pagine web per i motori di ricerca (SEO);
ottimizzazioni delle pagine sui media sociali;
gestione dei profili sulle piattaforme di social networking;
gestione della reputazione online;
gestione del brand online;
direct marketing con strumenti elettronici;
trasferimento di know-how;

Questa lista non ha la pretesa di essere esaustiva, ma serve solo come base di partenza per comprendere che lo svolgimento di queste ed altre attività può, in realtà, sollevare alcune questioni, non sempre immediatamente percepibili, concernenti:

la tutela della proprietà intellettuale / diritto d'autore (es. creazione di contenuti, prodotti audio/visivi, design, ecc...);
la tutela dei dati personali / privacy (es. gestione dei profili online, direct marketing con strumenti elettronici, gestione della reputazione online);
la tutela dei segni distintivi (es. gestione del brand online);
la responsabilità dei risultati da parte del fornitore;
la tutela delle informazioni aziendali riservate (es. know how);

Si tratta, ovviamente, solo alcuni esempi diretti a stimolare una attenta riflessione; il vero punto cruciale, però, è che l'outsourcing rappresenta una modalità di gestione aziendale caratterizzata, spesso, da complessità operative e di rapporti che richiederebbero la presenza di appositi correttivi e di una disciplina contrattuale articolata e coerente con le finalità che si intendono perseguire.

Non sempre, invece, questo si verifica, con inevitabili grattacapi e preoccupazioni che finiscono per annullare del tutto i vantaggi derivanti dalla esternalizzazione delle attività.

Photo courtesy: spekulator

Direct marketing telefonico: le registrazioni audio degli ordini vanno rese disponibili agli interessati

2009-10-12T10:46:00.001+02:00

Anche i suoni e le immagini costituiscono dati personali secondo la normativa del d.lgs. 196/03 (codice privacy) e possono quindi ritenersi oggetto dei diritti degli interessati, tra cui quello di accesso.

E' questa la sostanza di un provvedimento con il quale il garante della privacy ha ordinato ad una società telefonica di mettere a disposizione di un consumatore la registrazione audio di un precedente colloquio telefonico comprovante l'attivazione di un contratto e l'adesione alle sue clausole.

Secondo l'autorità, infatti, la richiesta di accesso formulata dall'interessato non poteva dirsi integralmente soddisfatta mediante la semplice trasposizione su altro supporto dei dati personali forniti nel corso del precedente contatto telefonico, essendo necessaria anche la trasmissione di una copia della registrazione, unico mezzo in grado di consentire l'accesso al dato vocale di natura personale.

Corso online (gratuito) su direct marketing e privacy

Brand protection, privacy e sicurezza: qual'è il loro ruolo ?

2009-10-07T12:48:00.000+02:00

La tecnologia svolge ormai una funzione cruciale anche per lo sviluppo del brand poichè è uno dei fattori abilitanti che consente di arricchire e differenziare l'esperienza degli utenti nei confronti dei prodotti o dei servizi che esso rappresenta.

Per supportare pienamente esperienze di tipo personalizzato la tecnologia deve, però, offrire funzionalità sempre più in linea con le aspettative e le preferenze degli individui e questo richiede, spesso, l'acquisizione e l'elaborazione di una discreta quantità di informazioni, tra cui vanno ricomprese anche quelle di natura personale.

Parlando di dati personali è naturale rivolgere l'attenzione agli aspetti concernenti la loro riservatezza (privacy): le persone cominciano ad essere sempre più attente alle modalità con le quali i propri dati vengono raccolti, custoditi ed utilizzati, compresa la loro eventuale comunicazione a terzi.

Perciò, se è vero che la tecnologia esplica un ruolo rilevante nel modellare l'esperienza degli utenti, allora le conseguenze che ne derivano sul piano pratico hanno un impatto significativo sulla loro fiducia complessiva e, di conseguenza, sul brand, dato che quest'ultimo è intimamente legato a concetti quali la fiducia, la sicurezza, l'affidabilità, ecc...

A tale proposito possiamo individuare alcuni degli aspetti più critici riguardanti:

l'acquisizione dei dati personali;
la privacy e la sicurezza dei dati, sia interna che esterna;
il fenomeno delle frodi online;

Acquisizione dei dati personali

Esistono svariati meccanismi di acquisizione delle informazioni online, alcuni visibili altri meno; ad esempio quello dei cookie è probabilmente uno dei più controversi per una serie di ragioni, tra cui la quantità di informazioni che permettono di raccogliere, la loro invisibilità, la possibilità di costruire dei profili utente molto dettagliati, ecc...

Tralasciando le considerazioni sul rispetto delle normative esistenti, ciò che acquista importanza agli occhi degli utenti è la trasparenza degli intenti e dei comportamenti.

Trasparenza significa innanzitutto rendere nota (es. mediante una privacy policy) l'esistenza di certi meccanismi e la natura delle informazioni raccolte, oltre a darne una valida motivazione che, nella maggior parte dei casi, potrà anche essere lecita ma va pur sempre dichiarata.

Il rischio di una mancanza di chiarezza, a prescindere dalla buona fede, è infatti quello di lasciar trapelare forme di utilizzo della tecnologia "furbesche" od inappropriate e di indebolire la fiducia degli utenti con inevitabili ripercussioni sull'immagine del brand.

Privacy e sicurezza delle informazioni

Via via che la tecnologia avanza ed il canale online si va affermando come elemento strategico su cui costruire visibilità e relazioni, nonchè come valida alternativa al commercio tradizionale, aumentano, purtroppo, i fenomeni legati alla criminalità informatica.

Si tratta di fenomeni spesso favoriti dalla mancanza o dalla scarsità di misure protettive che producono effetti di grande impatto sul business, come la perdita di confidenzialità o di disponibilità delle informazioni, contribuendo a distruggere la fiducia che gli utenti ripongono, non solo nella tecnologia, ma anche nel brand.

La salvagardia delle informazioni, comprese quelle di natura personale, durante il loro intero ciclo di vita, rappresenta una pietra miliare nell'assicurare la sopravvivenza e la prosperità del business.

Per garantirla le organizzazioni devono sviluppare una propria consapevolezza interna, adottare le misure di sicurezza più adeguate in base ai rischi, revisionarle periodicamente ed esportare, infine, lo stesso atteggiamento proattivo all'esterno, nei confronti dei propri produttori, fornitori, distributori, agenti, ecc...

Nel momento in cui questi ultimi si presentano ed agiscono come "partner ufficiali" essi diventano una specie di estensione del brand, sul quale finiscono per proiettare inevitabilmente le conseguenze negative delle loro vulnerabilità, sia tecnologiche che organizzative.

Per impedire che ciò si verifichi è essenziale, tra le altre cose, richiedere ai propri partner il rispetto di linee guida di conformità ed esercitare gli opportuni controlli.

Frodi online

Si tratta di fatti collegati, sempre di più, ad abusi del brand perpetrati online, generalmente basati sulla indebita inclusione dei suoi elementi caratteristici (logo, nome, slogan, ecc...) nel corpo dei messaggi di posta elettronica o negli elementi strutturali (metatag, titoli, àncore, ecc...) delle pagine web (brand spoofing).

Lo scopo è ovviamente quello di vincere la naturale diffidenza degli utenti ed attrarli verso qualcosa che appare veritiero e rassicurante, inducendoli a rivelare informazioni finanziarie o personali riservate (phishing) che vengono successivamente utilizzate per commettere altri crimini (es. furti d'identità o di denaro).

Peraltro, anche se gli illeciti sono commessi da soggetti od entità non affiliate ad un brand, il fatto che quest'ultimo compaia nelle risorse utilizzate contribuisce a creare una specie di "associazione di colpevolezza", con conseguenze facilmente immaginabili.

Inoltre gli attuali rimedi tecnologici, seppure necessari, non hanno ancora raggiunto la maturità per essere da soli sufficienti a contrastare tali fenomeni.

Questo vuol dire che, oltre ad un azione di costante monitoraggio online, è necessario che le organizzazioni prendano attivamente parte ad un opera di educazione e sensibilizzazione degli utenti.

La sfida del futuro

Non è facile conciliare il crescente fabbisogno informativo di oggi con le legittime aspettative che gli utenti ripongono nella privacy e nella sicurezza dei propri dati; queste necessità sono spesso confliggenti e l'unico modo per soddisfarle entrambe è adottare un atteggiamento equilibrato nel rispetto comunque dei limiti dettati dalla legge.

Le organizzazioni che riusciranno a raggiungere tale equilibrio, pur dimostrando di essere realmente in grado di proteggere i dati dei propri clienti e partner, acquisiranno uno eccezionale vantaggio competitivo, mentre le altre saranno costrette a subire perdite di fiducia e di valore del brand, oltre a difendersi dalle iniziative legali eventualmente intraprese nei loro confronti.

Photo courtesy: dimitri_c

Internet e privacy sul luogo di lavoro: come organizzare i controlli?

2009-09-25T18:48:00.001+02:00

Traggo spunto dalla recente notizia di un provvedimento del garante della privacy, relativo ad un caso di abuso di strumenti informatici aziendali, per soffermarmi sulla questione della organizzazione dei controlli alla luce di quelle che sono ormai le linee guida per l'utilizzo di Internet e della posta elettronica in azienda.

Nel caso in esame il datore di lavoro, pur adottando un regolamento specifico e fornendo ai dipendenti istruzioni per l'uso della postazione informatica individuale, a seguito di alcuni disservizi causati sulla rete aziendale da un eccessiva attività di scaricamento dati (download), aveva allestito un sistema di monitoraggio degli accessi nei confronti di un dipendente.

Il sistema, organizzato sulla base di un proxy server con funzioni di caching abilitate, aveva permesso di svolgere, per la durata di circa nove mesi, attività di controllo che implicavano la registrazione in chiaro degli "accessi a tutti i siti web visitati […] con evidenziazione anche dei relativi domìni", realizzando una forma di trattamento inammissibile sulla base dei seguenti profili di illiceità:

la natura sistematica e continuativa del tracciamento, a causa della sua durata prolungata e della particolare estensione delle informazioni catturate, ha comportato una violazione sia dell'art. 4, comma 1, della legge 300/70 (Statuto dei lavoratori) che vieta l'impiego di apparecchiature (compresi hardware e software) per finalità di controllo a distanza dell'attività dei lavoratori, sia del principio di pertinenza e non eccedenza nella raccolta dei dati;
mancata attivazione da parte del datore di lavoro delle procedure previste dalla normativa nel caso in cui le funzionalità di controllo connesse all'utilizzo di un software siano motivate da "esigenze organizzative e produttive" (accordo con le rsu oppure autorizzazione della direzione provinciale del lavoro);

Da tali conclusioni è scaturito il provvedimento che ha disposto il divieto di ulteriore trattamento delle informazioni raccolte nel corso del monitoraggio.

Ciò, oltre alle inevitabili ripercussioni sotto il profilo delle eventuali responsabilità connesse, potrebbe comportare anche delle limitazioni relativamente alla prova dei comportamenti scorretti dei lavoratori, tali da giustificare l'applicazione di sanzioni, compresa quella del licenziamento.

Organizzazione dei controlli

Per evitare le conseguenze appena viste, è fondamentale organizzare le attività di controllo in modo conforme alle prescrizioni di legge, per cui:

non si possono installare apparecchiature, di nessun tipo, preordinate ad un controllo a distanza dei lavoratori: in questo ambito si possono far rientrare i software che, in relazione al modo in cui sono progettati e/o configurati, permettano la memorizzazione o la riproduzione delle pagine web accedute o l'esplicazione di controlli protratti nel tempo;
sono ammessi per esigenze produttive, organizzative o di sicurezza sul lavoro sistemi di controllo indiretto, ma sempre nel rispetto delle procedure di informazione e consultazione dei lavoratori e dei sindacati;

Altro aspetto da non sottovalutare è quello della gradualità delle verifiche: in linea generale i controlli dovrebbero avere per oggetto dati in forma aggregata.

Se dall'analisi di questi ultimi emergono elementi che fanno presumere utilizzi impropri o non consentiti degli strumenti aziendali, vanno emessi avvisi generalizzati, anche circoscritti a particolari aree di lavoro, con l'invito ad attenersi alle direttive aziendali.

Soltanto nel caso in cui, a seguito degli avvisi, le attività anomale non cessino sarà possibile procedere a controlli su base individuale.

SaaS (Cloud Computing): aspetti legali e di compliance

2009-09-23T08:35:00.001+02:00

Name squatting e social media: un nuovo pericolo per il brand ?

2009-09-08T12:19:00.001+02:00

Da tempo sentiamo ormai parlare di cybersquatting, termine che indica la pratica di accaparramento dei nomi di dominio corrispondenti a marchi registrati o nomi di persone famose, messa in atto generalmente con lo scopo di lucrare sulla successiva operazione di trasferimento.

Come è noto questa tecnica integra una forma particolare di abuso: la presenza del nome di un brand in un dominio internet può infatti influire sull'indicizzazione delle sue risorse da parte dei motori di ricerca, indurre confusione negli utenti, vincere la loro diffidenza e realizzare un dirottamento di traffico; tutto questo si traduce in un indebito sfruttamento della notorietà e della fiducia di cui gode un brand, con ovvie negative ricadute per il legittimo titolare, in termini sia di perdita di profitti che di valore (brand equity).

Ora, mentre anni fa questo rischio poteva dirsi circoscritto ai soli domini internet, l'attuale evoluzione verso il web 2.0 ha accresciuto, di fatto, le probabilità di un suo verificarsi.

In particolare, con la diffusione dei media sociali ed il conseguente proliferare di piattaforme liberamente disponibili per la condivisione e la generazione dei contenuti (vedi blog od altri servizi come youtube, ning, ecc...), oggi è molto facile per chiunque registrare un account con un nome, in tutto od in parte, corrispondente a quello di un brand noto, senza dover dimostrare di averne un legittimo interesse.

E proprio l'esposizione non autorizzata di un brand all'interno di questi servizi può generare fenomeni di associazione con contenuti sgraditi, se non addirittura offensivi, diffusione di false notizie, falsa rappresentazione delle caratteristiche di prodotti o servizi ed altri effetti simili a quelli derivanti dal cybersquatting, con grave pregiudizio per chi ha investito tempo e denaro nello sviluppo del brand.

Il discorso si fa poi particolarmente delicato quando ad essere coinvolti sono i social networks: qui la presenza di un vasto bacino di utenza, composto da milioni di individui, ed altri meccanismi, come quello della viralità dei contenuti, rendono ogni uso indebito una potenziale bomba ad orologeria; e non si tratta di scenari soltanto ipotetici ma di rischi reali perchè:

le possibilità di abuso non mancano, a partire dalle cd. vanity url (facebook) alla possibilità di creare pagine, gruppi o, addirittura, social network tematici (es. ning);
non tutte le organizzazioni od aziende hanno provveduto a registrare od occupare nomi o risorse corrispondenti al brand di cui sono titolari (quante ce ne sono su Facebook ? e su Twitter ?);
poche organizzazioni attuano forme di monitoraggio costante di Internet alla ricerca di potenziali abusi;
non tutte le piattaforme offrono meccanismi o procedure per ovviare ad eventuali abusi (es. reclami, processi di risoluzione delle dispute, trasferimento degli account, ecc...);

Tutti fattori che consigliano quindi una immediata presa di coscienza del fenomeno, necessaria per prevenire e fronteggiare le situazioni che si presentano nel modo più idoneo, sia dal punto di vista tecnologico che legale.

Photo credit: dimitri_c

La profilazione degli utenti dei servizi di telecomunicazione: le regole del Garante privacy

2009-07-13T18:07:00.001+02:00

Un nuovo giro di vite sui fornitori di servizi di comunicazione elettronica accessibili al pubblico in relazione alle attività di profilazione compiute sulla propria clientela tramite dati personali individuali o dati personali aggregati ricavati da quelli di dettaglio.

Con un provvedimento del 25 giugno 2009 (G.U. n. 159 11 luglio 2009) il garante è intervenuto per fare chiarezza su alcuni punti emersi nel corso di precedenti attività ispettive.

Consenso

I dati personali individuali possono essere trattati con finalità di profilazione solo se il titolare abbia rilasciato una informativa idonea (art. 13) e vi sia la possibilità di documentare, per iscritto, il consenso libero, informato e specifico del soggetto interessato (art. 23).

L'applicazione di questo principio generale vale anche e, soprattutto, nel caso in cui l'attività di profilazione richieda, per il suo svolgimento, dei dati inizialmente acquisiti per soddisfare una diversa esigenza (es. l'erogazione del servizio).

Ovviamente, una volta acquisito il consenso, esso si estenderà anche all'aventuale utilizzo dei dati in forma aggregata.

Verifica sui dati aggregati

L'aggregazione, di per sè, non trasforma i dati in anonimi, se essi conservano l'idoneità prevista dall'art. 4, comma 1, lett. b) del codice, cioè in pratica la capacità di fare riferimento ad un soggetto identificato o identificabile, anche indirettamente.

Il trattamento di questi dati, generalmente contenuti in sistemi eterogenei e conservati per far fronte ad altre esigenze, anche imposte dalla legge, può presentare per gli interessati dei rischi connessi con i livelli di aggregazione e le modalità tecniche di gestione.

Pertanto, in assenza di consenso, il titolare che intenda utilizzarli con finalità di profilazione deve inoltrare all'autorità una richiesta di verifica preliminare, secondo la procedura di cui all'art. 17 del codice, indicando specificamente i trattamenti, le finalità e le tipologie di dati da utilizzare.

Il processo di verifica verrà effettuato tenendo conto di alcuni parametri e condizioni che il garante qualifica come "minimi", tra cui:

l'impossibilità di risalire dal dato aggregato ad informazioni dettagliate concernenti l'interessato;
la separazione funzionale dei sistemi dedicati alla profilazione da quelli originari e dagli altri utilizzati per finalità differenti (es. marketing);
l'utilizzo dei dati aggregati nell'ambito di processi idonei ad impedire l'immediata identificabilità dell'interessato;
l'esistenza di un diverso e limitato profilo di autenticazione degli incaricati alla profilazione;
la conservazione per un limitato periodo di tempo, decorso il quale i dati devono essere cancellati;

Notificazione

La profilazione effettuata con gli strumenti elettronici resta, comunque, soggetta all'obbligo di notificazione (art. 37, comma 1, lett. d) che va effettuata con le modalità previste dall'art. 38.

Si segnala, infine, che le richieste di verifica preliminare dovranno essere inviate all'Autorità entro il 30 settembre 2009.

I social network si adeguino alle norme europee sulla tutela della privacy

2009-07-08T11:46:00.002+02:00

Questo è il contenuto del messaggio, neanche tanto subliminale, che emerge da un documento del gruppo dei garanti europei, di cui all'art. 29 della direttiva 95/46 sulla protezione dei dati personali, con lo scopo di fornire una chiara indicazione delle misure che i social network possono attuare per garantire la conformità delle loro piattaforme alle norme europee a tutela della privacy.

Vediamo alcuni punti salienti di questo intervento che prende in considerazione molti aspetti di un fenomeno ormai consolidato.

Applicabilità delle direttive europee

Partendo dall'art. 4 della direttiva 95/46, di cui il gruppo ha fornito più volte una intepretazione, anche con riferimento ad una analoga questione, si ritiene che nella maggior parte dei casi le disposizioni trovino applicazione nei confronti dei social network, anche quando questi ultimi abbiano il loro quartier generale in un paese situato al di fuori dello spazio economico europeo.

Titolarità dei dati

Nessun dubbio esiste sulla qualifica dei fornitori di SN come titolari dei dati (data controller) e destinatari dei conseguenti oneri, dal momento che essi possono determinare autonomamente gli strumenti, le modalità e le finalità dei trattamenti.

Ovviamente questa titolarità può essere assunta anche dai fornitori di applicazioni esterne, quando queste ultime siano incorporate ed utilizzate all'interno delle reti sociali.

Per gli utenti finali, invece, l'applicazione della normativa è, di regola, esclusa dal fatto che il trattamento dei dati avviene nell'ambito di attività di carattere prevalentemente personale o domestico.

Tuttavia questa eccezione non opera quando gli utenti agiscono per conto di associazioni od organizzazioni di qualsiasi tipo o quando l'utilizzo della piattaforma è finalizzato a soddisfare obiettivi di carattere commerciale, politico od anche caritatevole, con la conseguente assunzione delle responsabilità tipiche dei titolari di dati ai quali, dunque, gli utenti stessi vanno equiparati.

Curiosamente nel documento si ritiene plausibile che un elevato numero di contatti possa essere indizio del fatto che un utente non stia trattando dati nell'ambito di attività personali e sia, quindi, da considerare come titolare.

Misure di sicurezza

In questo ambito è importante il richiamo che il gruppo di lavoro fa sulla necessità di adottare, sia in fase di progettazione che di funzionamento del sistema o dei sistemi di trattamento, le misure di sicurezza, tecniche ed organizzative, effettivamente richieste sulla base dell'analisi dei rischi e della natura dei dati trattati.

Quindi non il solito riferimento alle misure minime che, spesso, lasciano il tempo che trovano, ma a misure realmente proporzionate all'entità misurata del rischio, in relazione al quale non va dimenticato il contesto generale in cui gli SN operano, cioè Internet.

Informazioni e dati sensibili degli utenti

Oltre a ricevere l'informativa prevista dall'art. 10 della direttiva, gli utenti andrebbero avvertiti dei rischi che corrono rendendo noti dati ed informazioni di natura personale, così come del fatto che il caricamento di immagini relative ad altri individui non può avvenire senza il consenso di questi ultimi.

Maggior rigore va invece dimostrato nel trattamento di dati sensibili, possibile soltanto con il consenso esplicito degli interessati.

A questo proposito si reputa opportuno che, nel caso in cui la form del profilo contenga campi relativi ad informazioni sensibili (razza, religione, orientamento politico, ecc...), il fornitore chiarisca esplicitamente che il riempimento di questi campi non è in alcun modo sollecitato ma completamente facoltativo.

Trattamento dei dati di terzi

Molte piattaforme consentono di inserire in vario modo dati relativi ad altre persone, non iscritte al network, in contrasto con la norma generale secondo cui il trattamento può avvenire soltanto in presenza di uno dei requisiti di cui all'art. 7 della direttiva 95/46 (consenso, esecuzione di un contratto o di un obbligo di legge, ecc...).

Ancora peggio appare la creazione automatizzata di profili sulla base della aggregazione dei dati, conferiti indipendentemente da altri utenti, inclusi quelli concernenti le relazioni sociali dedotti, tramite inferenza, da rubriche personali.

Marketing

Il marketing diretto è una delle principali attività sulle quali si basa attualmente il modello di business delle reti sociali.

Se per tali attività si utilizzano dati personali degli utenti e servizi che rientrano nell'ambito del concetto delle comunicazioni elettroniche (es. email), andranno conseguentemente applicate le prescrizioni delle direttive 95/46 e 2002/58 (e-privacy).

Conservazione dei dati

In generale nessuna politica di conservazione può essere applicata nel caso in cui sia richiesta la cancellazione di un account.

I dati relativi agli utenti bannati, ma solo quelli identificativi, possono essere conservati, previa informativa, per un periodo massimo di 1 anno.

L'inutilizzo del servizio per un determinato periodo di tempo deve comportare la disattivazione dell'account ed, eventualmente, la sua successiva cancellazione.

Diritti degli interessati e tutela dei minori

Vanno riconosciuti a tutti coloro i cui dati vengono trattati, a prescidere dal fatto che si tratti di utenti o meno della piattaforma.

Gli interessati dovrebbero essere messi in condizione di esercitare il diritto di accesso, rettifica e cancellazione attraverso l'adozione di misure efficaci come, ad esempio, l'indicazione in home page dell'ufficio al quale sottoporre tutte le richieste e le questioni concernenti la privacy.

Ulteriori misure vanno inquadrate nell'ambito di una strategia di protezione dei dati dei minori: si parla a tale proposito di iniziative di accrescimento della consapevolezza, del divieto di raccogliere dati sensibili e di svolgere attività di marketing diretto, della separazione logica tra le comunità di adulti e minori e dell'adozione di tecnologie che migliorano la privacy (impostazioni amichevoli, popup di avvertimento, software di verifica dell'età).

Sarà ora interessante vedere quale atteggiamento vorranno assumere i fornitori di SN di fronte a questo parere che, pur non avendo forza di legge, rappresenta pur sempre un opinione autorevole e testimonia la posizione che l'Europa intende assumere nella protezione dei diritti fondamentali dell'individuo, come quello alla privacy ed alla protezione dei suoi dati.

Personalmente ritengo che la futura leadership si giocherà anche sul terreno della credibilità e dell'immagine alle quali contribuiranno, in maniera significativa, l'atteggiamento di apertura verso le problematiche citate e gli sforzi da compiere in direzione della compliance.

Photo courtesy: spekulator

Link ad approfondimenti

Amministratori di sistema: proroga dei termini per l'adozione delle misure

2009-06-29T11:51:00.001+02:00

A seguito delle indicazioni formulate nel corso di una consultazione pubblica, il garante della privacy ha emanato nuove disposizioni per modificare il precedente provvedimento concernente le misure di sicurezza applicabili agli amministratori di sistema.

Le modifiche si giustificano con l'intento di facilitare l'adozione delle misure, anche per quelle realtà aziendali nelle quali determinati servizi informatici sono forniti da società esterne.

In tal senso l'autorità ha consentito che gli adempimenti connessi all'individuazione degli amministratori di sistema ed alla tenuta dei relativi elenchi possano essere soddisfatti, oltre che dal titolare, anche dai responsabili del trattamento.

Inoltre i termini per l'adozione delle misure tecniche ed organizzative sono stati prorogati al 15 dicembre 2009.

Di seguito riepilogo, per comodità, le porzioni del provvedimento originario oggetto delle modifiche (le aggiunte sono in grassetto):

4.3 Elenco degli amministratori di sistema:

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati ~~nel documento programmatico sulla sicurezza, oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque~~ in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante.

Al terzo capoverso del punto 4.3:

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare ~~deve~~ o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

4.4 Verifica delle attività:

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

Punto 2 lett. c):

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati ~~nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque~~ in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini o tramite procedure formalizzate a istanza del lavoratore). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore.

Punto 2 lett. d:)

Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare ~~deve~~ o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

Punto 2 lett. e):

L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Aggiunta del punto 3-bis:

dispone che l'eventuale attribuzione al responsabile del compito di dare attuazione alle prescrizioni di cui al punto 2, lett. d) ed e), avvenga nell'ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell'art. 29 del Codice, o anche tramite opportune clausole contrattuali".

Il trattamento dei dati personali nelle controversie transfrontaliere

2009-06-08T12:38:00.001+02:00

Le informazioni hanno assunto, da tempo, il ruolo di supporto decisionale fondamentale non soltanto nel business, ma anche nella risoluzione delle controversie che rappresentano ormai un evento, tutt'altro che remoto, nel contesto di rapporti negoziali e commerciali sempre più complessi, articolati e, spesso, estesi al di là dei tradizionali confini geografici.

Grazie all'utilizzo diffuso delle nuove tecnologie, le informazioni sono oggi generate, per la quasi totalità, in forma digitale e una parte consistente di esse non è neppure riprodotta su supporti fisici.

Inoltre, una quota, più o meno consistente, di questo immenso flusso informativo elettronico è probabilmente rappresentata dai dati personali oggetto, come è noto, delle particolari tutele previste dalla direttiva 95/46/CE.

Allo stato attuale permane una situazione di conflitto, abbastanza reale, tra l'ambito geografico di applicazione delle leggi europee sulla protezione dei dati personali e la natura multinazionale delle numerose società che, pur avendo sede in uno degli stati membri UE, fanno, in realtà, parte di gruppi societari esteri.

Esiste, infatti, la possibilità che la risoluzione delle controversie, nelle quali queste entità siano eventualmente coinvolte, sia devoluta a giurisdizioni diverse da quelle dei paesi membri UE, il che pone, in relazione alla normativa europea, alcune questioni, di non facile soluzione, concernenti la conservazione preventiva dei documenti - cosiddetto freezing - e la discovery, cioè il processo volto a garantire che tutte le parti possano utilizzare le informazioni rilevanti ai fini della controversia incluse, ovviamente, quelle memorizzate in forma elettronica.

A complicare ulteriormente il quadro, il fatto che lo scopo, le norme e le procedure che regolamentano la discovery differiscono, anche sensibilmente, tra gli ordinamenti di common law (U.S, UK) e quelli di civil law (paesi UE): ad esempio, negli Stati Uniti le parti devono rispettare gli obblighi imposti dalle procedure e sono indotte a scambiarsi, prima della prova, non solo le informazioni pertinenti, ma anche quelle che potrebbero portare alla divulgazione di altri aspetti rilevanti ai fini della risoluzione della controversia.

Peraltro, queste informazioni non sono affatto circoscritte ai soli dati personali, ma possono comprendere anche dati sensibili, come quelli sanitari, le e-mail ed i dati di terze parti (dipendenti o clienti), generando preoccupazioni per il rispetto della segretezza delle comunicazioni e il trattamento dei dati personali secondo le normative europee.

Nella maggior parte degli ordinamenti di civil law, invece, l'approccio è più restrittivo, limitando la divulgazione a ciò che è strettamente necessario ai fini della prova e lasciando alle singole parti l'onere, ma non l'obbligo, di offrire elementi a sostegno della loro causa. In alcuni ordinamenti, addirittura, sono state introdotte leggi che impediscono la divulgazione di informazioni a giurisdizioni straniere.

Proprio per garantire un corretto bilanciamento tra gli obblighi di protezione di matrice europea e le esigenze delle giurisdizioni straniere, il Gruppo di lavoro dell'art. 29 della direttiva 95/46/CE ha rilasciato un documento nel quale chiarisce quali siano i presupposti e le condizioni da rispettare per poter ritenere legittimo il trattamento dei dati personali nell'ambito delle controversie di natura transfrontaliera ed in considerazione delle varie fasi del contenzioso, compresi il mantenimento, la divulgazione, il trasferimento e l'utilizzo per finalità secondarie.

Photo credit: ilco

Marketing telefonico e privacy: verso un sistema di opt-out ?

2009-06-03T17:36:00.001+02:00

L'istituto italiano privacy ha recentemente presentato un disegno di legge sul marketing telefonico con il quale si propone di abbandonare il sistema vigente, basato sul consenso preventivo dell'utente (opt-in), in favore del più flessibile sistema di opt-out, già in uso in altri paesi.

Semplificando, la principale differenza è che gli utenti che vorranno opporsi al trattamento dei propri dati per finalità di marketing attraverso il mezzo telefonico, dovranno iscriversi in un apposito registro tenuto dal garante.

L'iniziativa trae origine dall'esigenza, comunemente avvertita, di rendere meno rigida la normativa del settore, facilitando le attività di business, ma senza privare i cittadini degli strumenti fondamentali per l'esercizio dei loro diritti, tra cui quello di controllare la diffusione ed il trattamento dei propri dati personali.

Sebbene sia convinto anche io dell'opportunità di modificare le norme vigenti e condivida le finalità di un equo bilanciamento dei contrapposti interessi, cui la relazione introduttiva del disegno di legge fa riferimento, vorrei fare alcune precisazioni su alcuni passaggi del ddl che hanno attratto la mia attenzione.

Iscrizione nel registro

L'articolo 1, comma 4, così dispone:

L’iscrizione al registro non preclude i trattamenti dei dati altrimenti acquisiti e trattati nel rispetto degli articoli 23 e 24. L’iscrizione al registro ha effetto entro 30 giorni dal giorno successivo a quello della richiesta. Tale iscrizione è sempre revocabile dall’interessato, ha una durata di ventiquattro mesi e può essere rinnovata in qualunque momento. L’iscrizione cessa automaticamente quando cambi, per qualsivoglia motivo, l’intestatario della numerazione.

Il meccanismo delineato in questo comma mi sembra poco bilanciato, a discapito degli utenti, poichè pone, a loro carico, l'onere di rinnovare esplicitamente l'iscrizione nel registro delle opposizioni, una volta che siano passati 24 mesi dalla prima richiesta.

Credo sarebbe più equo prevedere, dopo la prima richiesta, un rinnovo tacito della iscrizione per un eguale durata, salvo contraria ed esplicita indicazione da parte degli interessati.

Questi ultimi risulterebbero meglio tutelati in questo modo, non essendo costretti a ricordare, ogni due anni, di esercitare nuovamente il loro diritto.

Al contrario, invece, l'onere di attivarsi per impedire un rinnovo tacito dell'iscrizione non risulterebbe altrettanto gravoso per quei soggetti che dovessero maturare nel frattempo un ripensamento.

Organizzazione e gestione del registro

Secondo l'articolo 1 , comma 5:

Il Garante può suddividere il registro in più sezioni separate per diversi settori di attività, individuate e aggiornate tenendo conto della classificazione delle attività economiche definita dall’ISTAT, con la conseguente facoltà degli interessati di chiedere l’iscrizione in una o in più sezioni.

In questo caso vedrei come opportuna la specifica che l'iscrizione nel registro, effettuata senza indicare la sezione di appartenenza, si intende riferita implicitamente a tutte le attività economiche.

Illeciti

L'articolo 3, comma 1, prevede:

All’articolo 162 del decreto legislativo 30 giugno 2003, n. 196 è aggiunto il seguente comma:

“3. La violazione del diritto di opposizione come risultante dal registro di cui all’articolo 129, comma 2 o delle disposizioni contenute nel comma 8 dell’art. 129, è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.”

La previsione di nuove fattispecie di illecito amministrativo si inquadra, giustamente, nell'esigenza di sanzionare in modo rigoroso i comportamenti scorretti degli operatori.

In tale prospettiva si potrebbe, inoltre, valutare l'opportunità di sanzionare, eventualmente come circostanza aggravante del trattamento illecito dei dati (art. 167), l'aver commesso il fatto in violazione delle disposizioni di cui all'art. 129.

Ovviamente, trattandosi di un progetto di legge, bisognerà attendere ancora a lungo prima che esso si trasformi, se mai, in norme vincolanti.

Senza dubbio, però, un passo importante è stato intrapreso nella direzione di un cambiamento che, da tempo, sembra essere invocato da più parti.

Corso online (gratuito) su direct marketing e privacy

Photo credit: hbrinkman

Outsourcing, rischi e compliance: come farli convivere ?

2009-05-25T08:58:00.000+02:00

Le imprese di oggi si trovano spesso a dover operare in un mercato che, per effetto della spinta alla globalizzazione ed all'uso delle nuove tecnologie, travalica i confini geografici.

In questo contesto "allargato" il mantenimento di elevati livelli di competitività costituisce un presupposto fondamentale per la sopravvivenza della stessa impresa.

Nell'ambito delle strategie per garantire il sostegno della competitività aziendale si colloca l'outsourcing, termine con il quale si intende tradizionalmente la pratica di trasferire a soggetti esterni lo svolgimento di una o più funzioni aziendali.

Vantaggi

La tendenza diffusa all'outsourcing continua ad essere sostenuta dalla possibilità di realizzare, attraverso di essa, alcuni vantaggi:

l'impresa può focalizzare l'attenzione sulle sole attività inerenti il core business, evitando quel dispendio di risorse, non solo economiche, che sarebbe necessario per supportare attività non direttamente riconducibili, pur se complementari, al suo interesse primario;
l'impresa può sfruttare le capacità innovative, tecnologiche e specialistiche che i vari fornitori rendono disponibili sul mercato;
l'impresa può ottimizzare i propri risultati economici quando il ricorso all'outsourcing si accompagna ad un efficace strategia per il controllo di gestione e la riduzione dei rischi;

In particolare, le funzioni ed i servizi connessi all'utilizzo ed alla gestione delle infrastrutture di tipo informativo (hardware, software, connettività, sicurezza informatica, consulenza, ecc...) sono quelli che maggiormente si prestano ad una esternalizzazione per una serie di motivi :

elevato grado di idoneità a supportare le realizzazione di obiettivi di business (è impensabile oggi raggiungere livelli di eccellenza e competitività adeguati senza il ricorso alle tecnologie ICT);
onerosità, specie per le realtà di piccole e medie dimensioni, sotto il profilo della formazione e del mantenimento, all'interno della organizzazione, di risorse in possesso di competenze e professionalità adeguate;
vantaggi, diretti ed indiretti, riconducibili alla protezione del proprio patrimonio informativo ed al rispetto delle norme vigenti, degli standard di settore e degli impegni contrattuali;

Problematiche

L'outsourcing non è però privo di problematiche, a volte di una certa complessità, che non vanno sottovalutate. Vediamo quali sono.

Il coinvolgimento di soggetti esterni (fornitori, consulenti, ecc...) aumenta, in modo considerevole, la possibilità che questi ultimi vengano in contatto ed interagiscano con gli asset aziendali.

Questo si traduce in una condizione di vulnerabilità che interessa anche le organizzazioni che adottano livelli di controllo e di gestione piuttosto stringenti e finisce per incidere, anche solo potenzialmente, sugli sforzi necessari per garantire la sicurezza e la protezione degli asset.

Si può dunque dire che, ogni volta che una azienda esternalizza una parte, più o meno consistente, delle proprie funzioni, essa finisce per esternalizzare anche una parte dei rischi e delle relative responsabilità.

Strategie

Diventa allora imperativo compiere preventivamente alcune attività riguardanti:

l'adozione di opportune metodologie di analisi e gestione dei rischi;
la definizione dei criteri per la scelta del fornitore;
l'individuazione degli strumenti e dei meccanismi più idonei per l'attribuzione di responsabilità ai soggetti terzi che vengono coinvolti nei processi aziendali;

Il richiamo alle metodologie di gestione del rischio vale a sottolineare il fatto che l'outsourcing costituisce una fattispecie caratterizzata da livelli di rischio, anche elevati, connessi con:

la creazione di un rapporto di dipendenza da uno o più soggetti esterni per l'erogazione di servizi che, comunque, sono essenziali nel contesto di una determinata gestione aziendale;
la protezione delle informazioni e degli altri asset;
la responsabilità nel garantire i livelli di conformità richiesti da leggi, regolamenti, standard ed accordi di natura contrattuale;

Fortunatamente la maggior parte dei rischi si può bilanciare o trasferire attraverso una gestione contrattuale dei rapporti, pur senza dimenticare, però, l'importanza che riveste a tal fine la negoziazione di alcuni aspetti critici (durata, revisioni, risoluzione, misurazione delle performance e livelli di servizio, clausole penali, ecc...).

Photo credit: lusi

Marketing: il consenso all'uso dei dati personali deve essere libero

2009-05-20T18:00:00.001+02:00

Ancora una pronuncia del garante della privacy sulle caratteristiche del consenso all'utilizzo dei dati personali per finalità promozionali o di marketing e sulle modalità con le quali dovrebbero (il condizionale è d'obbligo, vista la situazione di inadeguatezza diffusa) essere realizzate le form su web per consentire una corretta manifestazione di volontà da parte degli interessati.

Nel caso specifico, che ha riguardato una società specializzata nella vendita online di biglietti per eventi di vario genere, l'autorità ha ribadito che:

gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso per ciascuna distinta finalità perseguita dal titolare; tale capacità di autodeterminazione non è assicurata quando si assoggetta la fruizione di beni e servizi alla preventiva autorizzazione a trattare i dati conferiti anche per finalità diverse, quali sono quelle di profilazione e promozionale;

Quindi, in poche parole, non si può negare un servizio a chi non vuole fornire i propri dati personali per scopi diversi da quelli strettamente inerenti la prestazione del servizio stesso. Ogni altro trattamento per differenti finalità deve essere, invece, preceduto da un consenso libero e specifico (cioè riferito alla singola finalità).

Nel caso in cui il consenso venga acquisito attraverso Internet, occorre anche che le relative pagine web facciano uso di elementi in grado di consentire agli interessati la libera manifestazione, positiva o negativa, della propria volontà (es. mediante caselle di spunta differenti per ogni finalità, non preselezionate).

Corso online (gratuito) su direct marketing e privacy

Data retention: ulteriore proroga per l'applicazione delle misure di sicurezza

2009-05-12T11:30:00.000+02:00

Il garante della privacy ha accordato un parziale slittamento dei termini per l'adozione degli accorgimenti e delle misure di sicurezza a garanzia dei dati del traffico telefonico e telematico, conservati sia per finalità di accertamento e repressione di reati, sia per finalità ordinarie.

La scadenza, già prorogata una volta rispetto a quella inizialmente prevista, era stata fissata al 30 aprile 2009 (30 giugno per le sole misure concernenti la strong authentication).

La proroga è stata concessa, su richiesta delle associazioni di categoria, tenuto conto della situazione di sostanziale, ma non ancora integrale, adempimento, delle maggiori difficoltà tecniche nell'adozione di alcune misure e della quantità degli interventi strutturali ed economici complessivamente richiesti per garantire una completa conformità alle prescrizioni.

Dunque, per effetto di questo intervento, è stato prorogato al 15 dicembre 2009 il termine per l'adeguamento alle misure del provvedimento del 24 luglio 2008, di cui alla:

lettera a):

n. 3: adottare, per la conservazione dei dati di traffico per esclusive finalità di accertamento e repressione di reati, sistemi informatici distinti fisicamente da quelli utilizzati per gestire dati di traffico anche per altre finalità, sia nelle componenti di elaborazione, sia di immagazzinamento dei dati (storage). I dati di traffico conservati per un periodo non superiore ai sei mesi dalla loro generazione possono, invece, essere trattati per le finalità di giustizia sia prevedendone il trattamento con i medesimi sistemi di elaborazione e di immagazzinamento utilizzati per la generalità dei trattamenti, sia provvedendo alla loro duplicazione, con conservazione separata rispetto ai dati di traffico trattati per le ordinarie finalità. Le attrezzature informatiche utilizzate per i trattamenti di dati di traffico per le esclusive finalità di giustizia di cui sopra devono essere collocate all'interno di aree ad accesso selezionato (ovvero riservato ai soli soggetti legittimati ad accedervi per l'espletamento di specifiche mansioni) e munite di dispositivi elettronici di controllo o di procedure di vigilanza che comportino la registrazione dei dati identificativi delle persone ammesse, con indicazione dei relativi riferimenti temporali. Nel caso di trattamenti di dati di traffico telefonico per esclusive finalità di giustizia, il controllo degli accessi deve comprendere una procedura di riconoscimento biometrico. Infine, il fornitore deve adottare misure idonee a garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici in tempi compatibili con i diritti degli interessati e comunque non superiori a sette giorni;

n. 6: adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati. Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall'uso interattivo dei sistemi, sia quando sono svolte tramite l'azione automatica di programmi informatici. I sistemi di audit log devono garantire la completezza, l'immodificabilità, l'autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi il fornitore deve adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull'utilizzo di tecnologie crittografiche;

n. 9: proteggere i dati di traffico trattati per esclusive finalità di giustizia con tecniche crittografiche, in particolare contro rischi di acquisizione fortuita o di alterazione accidentale derivanti da operazioni di manutenzione sugli apparati informatici o da ordinarie operazioni di amministrazione di sistema. Il fornitore deve adottare soluzioni che rendano le informazioni residenti nelle basi di dati a servizio delle applicazioni informatiche utilizzate per i trattamenti, non intelligibili a chi non disponga di diritti di accesso e profili di autorizzazione idonei, ricorrendo a forme di cifratura od offuscamento di porzioni dei data base o degli indici o ad altri accorgimenti tecnici basati su tecnologie crittografiche. Tale misura deve essere efficace per ridurre al minimo il rischio che incaricati di mansioni tecniche accessorie ai trattamenti (amministratori di sistema, database administrator e manutentori hardware e software) possano accedere indebitamente alle informazioni registrate, anche fortuitamente, acquisendone conoscenza nel corso di operazioni di accesso ai sistemi o di manutenzione di altro genere, oppure che possano intenzionalmente o fortuitamente alterare le informazioni registrate. Eventuali flussi di trasmissione dei dati di traffico tra sistemi informatici del fornitore devono aver luogo tramite protocolli di comunicazione sicuri, basati su tecniche crittografiche, o comunque evitando il ricorso alla trasmissione in chiaro dei dati. Protocolli di comunicazione sicuri devono essere adottati anche per garantire più in generale la sicurezza dei sistemi evitando di esporli a vulnerabilità e a rischio di intrusione;

lettera c):

n. 1: adottare specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell'uso contestuale di almeno due differenti tecnologie di autenticazione, che si applichino agli accessi ai sistemi di elaborazione da parte di tutti gli incaricati di trattamento nonché di tutti gli addetti tecnici (amministratori di sistema, di rete, di data base) che abbiano la possibilità concreta di accedere ai dati di traffico custoditi nelle banche dati del fornitore, qualunque sia la modalità, locale o remota, con cui si realizzi l'accesso al sistema di elaborazione utilizzato per il trattamento, evitando che questo possa aver luogo senza che l'incaricato abbia comunque superato una fase di autenticazione informatica nei termini anzidetti. Qualora circostanze eccezionali, legate a indifferibili interventi per malfunzionamenti, guasti, installazione hardware e software, aggiornamento e riconfigurazione dei sistemi, determinino la necessità di accesso a sistemi di elaborazione che trattano dati di traffico da parte di addetti tecnici in assenza di strong authentication, fermo restando l'obbligo di assicurare le misure minime in tema di credenziali di autenticazione previste dall'Allegato B) al Codice in materia di protezione dei dati personali, deve essere tenuta traccia in un apposito "registro degli accessi" dell'eventuale accesso fisico ai locali in cui sono installati i sistemi di elaborazione oggetto di intervento e dell'accesso logico ai sistemi, nonché delle motivazioni che li hanno determinati, con una descrizione sintetica delle operazioni svolte, anche mediante l'utilizzo di sistemi elettronici. Tale registro deve essere custodito dal fornitore presso le sedi di elaborazione e messo a disposizione del Garante nel caso di ispezioni o controlli, unitamente a un elenco nominativo dei soggetti abilitati all'accesso ai diversi sistemi di elaborazione con funzioni di amministratore di sistema, che deve essere formato e aggiornato costantemente dal fornitore;

n. 2: adottare procedure in grado di garantire la separazione rigida delle funzioni tecniche di assegnazione di credenziali di autenticazione e di individuazione dei profili di autorizzazione rispetto a quelle di gestione tecnica dei sistemi e delle basi di dati;

n. 3: rendere i dati di traffico immediatamente non disponibili per le elaborazioni dei sistemi informativi allo scadere dei termini previsti dalle disposizioni vigenti, provvedendo alla loro cancellazione o trasformazione in forma anonima, in tempi tecnicamente compatibili con l'esercizio delle relative procedure informatiche, nei data base e nei sistemi di elaborazione utilizzati per i trattamenti nonché nei sistemi e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery) effettuate dal titolare anche in applicazione di misure previste dalla normativa vigente e, al più tardi, documentando tale operazione entro i trenta giorni successivi alla scadenza dei termini di conservazione (art. 123 del Codice);

n. 4: adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati. Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall'uso interattivo dei sistemi, sia quando sono svolte tramite l'azione automatica di programmi informatici. I sistemi di audit log devono garantire la completezza, l'immodificabilità, l'autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi il fornitore deve adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull'utilizzo di tecnologie crittografiche;

n. 5: documentare i sistemi informativi utilizzati per il trattamento dei dati di traffico in modo idoneo secondo i princìpi dell'ingegneria del software, evitando soluzioni documentali non corrispondenti a metodi descrittivi standard o di ampia accettazione. La descrizione deve comprendere, per ciascun sistema applicativo, l'architettura logico-funzionale, l'architettura complessiva e la struttura dei sistemi utilizzati per il trattamento, i flussi di input/output dei dati di traffico da e verso altri sistemi, l'architettura della rete di comunicazione, l'indicazione dei soggetti o classi di soggetti aventi legittimo accesso al sistema. La documentazione va corredata con diagrammi di dislocazione delle applicazioni e dei sistemi, da cui deve risultare anche l'esatta ubicazione dei sistemi nei quali vengono trattati i dati per le finalità di accertamento e repressione di reati. La documentazione tecnica deve essere aggiornata e messa a disposizione dell'Autorità su sua eventuale richiesta, unitamente a informazioni di dettaglio sui soggetti aventi legittimo accesso ai sistemi per il trattamento dei dati di traffico;

Questionario di sensibilizzazione sulla sicurezza informatica

2009-05-06T19:20:00.001+02:00

L'agenzia Europea per la sicurezza delle reti e delle informazioni ha recentemente pubblicato un questionario in varie lingue, tra cui l'italiano, con lo scopo di fornire materiale, sotto forma di modelli di quiz, per una maggiore sensibilizzazione nel settore della sicurezza delle informazioni.

Pur non trattandosi di modelli di autovalutazione completi, l'iniziativa è interessante sotto diversi punti di vista.

Innanzitutto, la scelta della preparazione di un questionario, invece del solito documento che nessuno legge, tranne (forse) gli addetti ai lavori, può rivelarsi maggiormente efficace per catturare l'attenzione del pubblico di riferimento.

Attraverso una serie di domande e risposte su questioni ed aspetti inerenti l'utilizzo e la gestione quotidiana degli strumenti e dei sistemi informatici, si riesce a stimolare un interesse critico da parte del lettore.

Inoltre il target preso in considerazione è pertinente: si tratta infatti di quella fetta di utenza che abbraccia, non soltanto le piccole e medie imprese, ma anche gli utenti non professionali e, soprattutto, i genitori.

Alcuni esempi di domande, nel caso di piccole e medie imprese:

Sapete quali informazioni di valore vengono gestite nei vostri sistemi IT e dove?

oppure nel caso di genitori:

Quali sono le attività online che svolgono i vostri figli ?

I genitori, in particolare, sono tra i più esposti ai rischi ed alle responsabilità derivanti dall'utilizzo degli strumenti informatici da parte dei loro figli spesso minorenni (la cd. "generazione digitale"), anche a causa dell'esistenza di un divario generazionale di conoscenza che sta diventando significativo.

Publish at Scribd or explore others: Internet & Technolog Research privacy quiz

Internet e sistemi di filtraggio del traffico tra prassi e legalità

2009-05-04T22:00:00.000+02:00

Il traffic shaping è un metodo di gestione di una rete attuato per forzarne ("modellare", da cui deriva il termine) l'operatività secondo determinati parametri o regole.

Si tratta di tutte quelle misure tecniche che hanno come effetto quello di:

limitare l'occupazione di banda (byte trasmessi/ricevuti)
impedire un certo tipo di traffico
interrompere artificiosamente un flusso di comunicazione (es. quando l'occupazione di banda supera una certa soglia o perdura oltre un certo periodo di tempo)

Metodi e ragioni del controllo

In molti casi il controllo del traffico presuppone una attività di analisi e di filtraggio basata sui protocolli di rete (es. bittorrent) o sul tipo di risorsa richiesta (es. url di un video/audio in streaming), ma non c'è ancora completa chiarezza al riguardo.

In generale le ragioni per cui questa pratica viene attuata, spesso in modo occulto e poco trasparente, sono riconducibili alla esigenza di evitare problemi di:

operatività: il gestore di una rete può offrire una ampiezza di banda limitata, rispetto al numero degli utilizzatori, e, quindi, ricorre a forme di limitazione del traffico per non dover procedere all'acquisto di capacità di banda supplementare
legalità: si vuole evitare qualsiasi rischio di incorrere in forme di corresponsabilità, bloccando o limitando l'accesso a protocolli e risorse che possono costituire veicolo di scambio e diffusione di materiale protetto (es. diritti d'autore)

Considerazioni legali

Il traffic shaping può ritenersi legale se adottato in una rete privata (es. una lan aziendale), mentre non sempre può dirsi altrettanto nell'ambito della fornitura al pubblico di un servizio di comunicazione elettronica.

In questo caso, infatti, gli utenti pagano un corrispettivo per ottenere un accesso ad Internet che, in mancanza di una esplicita indicazione contraria, dovrebbe intendersi illimitato dal punto di vista dei protocolli utilizzabili e delle risorse accessibili.

C'è quindi, innanzitutto, un problema di chiarezza delle condizioni generali di contratto, tra le quali vanno ricomprese anche le notizie sulle caratteristiche e le prestazioni tecniche del servizio che rappresentano informazioni essenziali dell'offerta.

Queste informazioni dovrebbero non soltanto ammettere l'eventuale utilizzo di filtri, ma contenere una specifica indicazione dei limiti che ne derivano, in termini di protocolli bloccati, fasce orarie in cui le limitazioni sono attive, ampiezza di banda massima, numero massimo delle connessioni consentite, ecc...

Eventuali carenze od omissioni informative possono, dunque, essere viste come fonte di una responsabilità contrattuale del fornitore, proprio perchè l'utente ha il diritto di godere, per contratto, di un accesso incondizionato.

Inoltre, in un caso verificatosi, l'autorità garante della concorrenza e del mercato ha ritenuto che l'informazione omessa o non veritiera sull'esistenza di sistemi di filtraggio sia qualificabile come pratica commerciale scorretta, in quanto contraria alla diligenza professionale ed idonea a limitare od escludere la libertà di scelta e di comportamento del consumatore medio.

Purtroppo dimostrare l'esistenza di meccanismi di filtraggio del traffico è ancora molto difficile, anche se, per far fronte a questa esigenza, sono in fase di sviluppo alcuni progetti (vedi approfondimenti).

Per questo motivo può essere molto utile valutare attentamente tutte le condizioni contrattuali e le caratteristiche tecniche del servizio offerto, prima della stipula del relativo contratto, chiedendo ed ottenendo eventualmente, meglio se in forma scritta, rassicurazioni da parte del fornitore.

Approfondimenti

Photo credit: karmarat

Accesso ai dati personali e rapporto di lavoro

2009-05-04T11:08:00.003+02:00

Non c'è dubbio che, nell'ambito del rapporto con il proprio datore di lavoro, i lavoratori dipendenti figurano come soggetti interessati dal trattamento dei dati personali e possono, quindi, esercitare i diritti previsti dagli art. 7 e ss del testo unico sulla privacy.

Una questione che si pone, semmai, è quella di delimitare i dati che possono essere oggetto di accesso, vista la grande quantità ed eterogeneità delle informazioni inerenti la gestione del rapporto lavorativo.

Di recente l'autorità garante, nel decidere un ricorso, ha chiarito che le informazioni relative alla ordinaria gestione del rapporto di lavoro (nel caso specifico si trattava di dati sui turni di servizio degli ultimi anni) costituiscono dati personali i quali possono essere oggetto di una legittima richiesta di accesso da parte del lavoratore.

Le regole generali

Al di là del singolo caso specifico, può essere comunque utile ricordare che il provvedimento contenente "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" fissa alcuni principi generali in materia, stabilendo che:

le richieste di accesso possono anche essere prive di riferimenti ad un trattamento o a dati particolari ed, in questo caso, riguardano implicitamente tutti i dati trattati, comprese le informazioni di tipo valutativo, ma con l'esclusione delle notizie di carattere contrattuale o professionale
il datore di lavoro deve fornire al richiedente un riscontro completo che consiste in una comunicazione, chiara e comprensibile, di tutte le informazioni in suo possesso, mentre non è ammessa la sola elencazione delle tipologie di dati gestiti
il riscontro deve essere normalmente fornito entro il termine di 15 giorni dalla richiesta
nel caso in cui le operazioni necessarie al riscontro siano di particolare complessità, oppure ricorra un altro giustificato motivo, il datore di lavoro può rispettare il termine più lungo di 30 giorni, dandone preventiva comunicazione all'interessato
nelle realtà organizzative, articolate e complesse, in cui può essere più difficoltoso l'esercizio dei diritti da parte degli interessati, il datore di lavoro deve provvedere a nominare un responsabile, appositamente designato per la trattazione di tali questioni, fornendone indicazione nella relativa informativa resa ai sensi dell'art. 13
i dati estratti possono essere comunicati oralmente o visualizzati attraverso strumenti elettronici, a meno che non ci sia una specifica richiesta di trasposizione su supporto cartaceo o informatico o di trasmissione per via telematica (es. posta elettronica)
l'esercizio del diritto di accesso può essere soddisfatto mettendo a disposizione dell'interessato il proprio fascicolo personale, da cui estrarre i dati, soprattutto quando la quantità di questi ultimi è elevata
analogamente, quando l'estrazione dei dati risulta particolarmente difficoltosa, il titolare può decidere di esibire o consegnare copia di atti o documenti, contenenti i dati richiesti, eliminando o oscurando gli eventuali dati personali di terzi
il diritto di accesso non implica, comunque, la facoltà di richiedere al titolare la ricerca e la raccolta di dati che non siano in suo possesso ed oggetto di trattamento, l'accesso diretto ed illimitato a documenti ed intere tipologie di atti, l'aggregazione di documenti secondo modalità specificate dall'interessato, la creazione di documenti inesistenti ed, infine, il rispetto di particolari modalità di riscontro diverse da quelle già previste dal codice

Insomma, a ben vedere, si tratta di misure per garantire un accesso trasparente ai propri dati, da parte dei lavoratori, senza per questo appensantire l'ordinaria gestione aziendale.

Direct marketing telefonico e privacy:nuove prescrizioni

2009-03-19T10:01:00.001+01:00

Dopo la conversione in legge del decreto milleproroghe, avvenuta con la legge 27 febbraio 2009, n. 14, che ha previsto una deroga temporanea sull'applicazione di alcuni istituti della normativa sulla privacy nelle attività promozionali, l'autorità garante della privacy è intervenuta con un nuovo provvedimento per precisare i criteri che, comunque, dovranno essere rispettati nell'esecuzione delle attività.

Le prescrizioni interessano tutti i titolari del trattamento che siano in possesso di banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 e che intendano utilizzarle per fini promozionali.

Le misure previste sono le seguenti:

documentare in modo adeguato la costituzione della banca dati prima del 1° agosto 2005, conservando la relativa documentazione presso la sede legale del titolare;
trattare direttamente i dati personali presenti nelle banche dati, senza cederli, a qualunque titolo, a terzi;
specificare, in occasione di ogni contatto, l'identificativo del titolare del trattamento dei dati, anche nel caso in cui questi operi per conto di terzi, e comunicare agli interessati che essi hanno il diritto di opporsi ai sensi dell'art. 7 del Codice;
registrare immediatamente l'eventuale opposizione dell'interessato al trattamento dei suoi dati personali, con effetto anche nei confronti dei terzi per conto dei quali questo operi, anche qualora ciò avvenga telefonicamente, e fornire all'interessato l'identificativo dell'operatore o dell'operazione compiuta;
utilizzare i dati personali presenti nelle banche dati esclusivamente per finalità promozionali e sino al 31 dicembre 2009. Non è possibile rendere un'informativa agli interessati e richiedere il loro consenso per l'uso dei dati per attività di carattere promozionale da effettuare in data successiva al 31 dicembre 2009;
comunicare al Garante, entro quindici giorni dalla pubblicazione del provvedimento in G.U. (prevista per il 20 marzo 2009), di essere in possesso di banche dati costituite anteriormente al 1° agosto 2005 che si intendono utilizzare per attività promozionali fino al 31 dicembre 2009, chiarendo se il trattamento dei dati personali venga effettuato anche per conto di terzi;

Corso online (gratuito) su direct marketing e privacy

Il software open source: opportunità, rischi e possibili approcci

2009-03-17T10:13:00.001+01:00

Da anni assistiamo ormai ad un incessante dibattito sul mondo dell'open source, sui vantaggi concreti e le opportunità che esso presenta, non soltanto per le aziende, ma anche per i singoli utilizzatori finali.

La questione non interessa soltanto i soggetti privati, tanto che il Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA) ha allestito un osservatorio che, nelle intenzioni dichiarate, è destinato a svolgere la funzione di catalizzatore della conoscenza e delle best practice in materia di open source nella P.A.

La stessa crisi economica mondiale rischia di riportare la problematica al centro della discussione: le caratteristiche di libertà, trasparenza e gratuità del codice a sorgente aperto sembrano infatti idonee a perseguire l'efficienza e la riduzione di costi che, generalmente, diventano un obiettivo proritario in tempi di ristrettezze economiche, senza che questo comporti una rinuncia all'utilizzo delle tecnologie dell'informazione e della comunicazione che, secondo l'opinione prevalente, rappresentano invece una delle principali soluzioni per risollevare l'economia dalla stagnazione.

Messa in questi termini sembra che la questione sull'opportunità di adottare il software libero non possa che risolversi positivamente ma in realtà, prima di giungere a questa conclusione, è opportuno fare una valutazione complessiva non soltanto dei possibili vantaggi, ma anche dei rischi potenziali e degli approcci adottabili.

Cerchiamo allora di fare chiarezza su questi aspetti.

Vantaggi nell'adozione di software open source

I benefici per una infrastruttura informatica aziendale sono riconducibili a:

risparmio sui costi della licenza e degli aggiornamenti;
interoperabilità con gli standard di settore;
eliminazione di ogni forma di dipendenza da un determinato fornitore che, a volte, si traduce in posizioni di debolezza contrattuale;
disponibilità del codice sorgente con conseguente possibilità di analizzarlo e modificarlo secondo le proprie esigenze (a patto di avere internamente delle risorse munite delle necessarie competenze);
qualità e sicurezza, soprattutto nei progetti supportati da un ampia comunità di sviluppatori in grado di correggere difetti (bug) o di migliorare continuamente il prodotto;

In aggiunta le software house possono trarre degli ulteriori specifici vantaggi dall'inclusione di software aperto all'interno del loro modello di business:

riduzione degli oneri economici di acquisto e gestione del software ed incremento degli utili connessi con la fornitura di consulenza e servizi connessi (installazione, manutenzione, formazione, personalizzazione, ecc...);
ricadute positive in termini di visibilità e prestigio;
libertà nel disporre del codice sorgente, di riadattarlo e modificarlo in modo da derivarne altri prodotti;
possibilità di avvantaggiarsi della spinta verso una veloce diffusione ed adozione di nuovi prodotti e caratteristiche che le licenze open generano;

Rischi o svantaggi

le licenze open non offrono le stesse garanzie di protezione degli utenti finali di quelle proprietarie: questa carenza intrinseca, se non bilanciata dalla previsione contrattuale di un apposito indennizzo, può esporre al rischio di violazione dei diritti di proprietà intellettuale o industriale di terze parti;
la mancanza di un supporto tecnico completo può riflettersi negativamente sull'affidabilità, la robustezza e la sicurezza complessive del prodotto, specie nei progetti non supportati da un ampia comunità;
alcuni tipi di licenza possono indurre il rischio cd. da contaminazione da OSS che si verifica quando, all'interno di un software che si vorrebbe mantenere proprietario (closed source), vengono incluse porzioni di codice libero soggette ad una licenza (es. la GPL) che costringe a rilasciare il prodotto derivato esattamente negli stessi termini di quello originario;
il risparmio sui costi della licenza è solo una delle voci che concorrono a definire il cd. TCO (Total Cost of Ownership) nel quale vanno, invece, comprese tutte le spese e gli oneri legati all'utilizzo presente e futuro del software (installazione, manutenzione, adeguamento dei sistemi, formazione del personale, personalizzazioni, ecc...);

Possibili approcci e rimedi

La cattiva notizia è che non esiste un approccio unico valido per tutti: per alcuni i vantaggi derivanti dall'open source possono essere superiori ai rischi e viceversa.

La buona notizia è che si possono adottare delle policies che prendono in considerazione gli scenari tipici e sviluppare delle procedure per gestire i rischi connessi.

Le aziende potenzialmente interessate all'adozione di software libero dovrebbero condurre un assessment tecnico-legale per ridurre i rischi connessi ad una violazione dei diritti di proprietà intellettuale ed industriale.

L'opportunità legata allo sfruttamento del modello di business dell'open source si pone, invece, soprattutto per le software house che realizzano proventi dalla fornitura di consulenza e servizi connessi, piuttosto che dalla realizzazione e commercializzazione di software.

In tutti i casi, però, una attenzione particolare deve essere riservata all'individuazione del tipo di licenza ed alla valutazione delle sue condizioni, tenendo presente che, se per il primo aspetto può essere vantaggioso ricorrere a software automatizzati, per il secondo è spesso consigliabile richiedere un adeguato supporto legale.

Photo courtesy: flaivoloka

Lo sviluppo del software: rischi e fattori che ne influenzano il successo

2009-03-11T22:37:00.001+01:00

La creazione di software è una attività complessa che si articola in più fasi ed abbraccia non soltanto aspetti tecnici ma anche organizzativi, come quelli relativi alla pianificazione e gestione delle risorse, di comunicazione e legali.

L'attività coinvolge almeno due parti - la software house (o il singolo sviluppatore) e il cliente - portatrici di interessi contrapposti che, volendo generalizzare, si riducono rispettivamente a:

massimizzare il profitto;
acquisire un prodotto che soddisfa le proprie esigenze, affidabile e sicuro, pagando il minor prezzo possibile;

Un aspetto, a volte sottovalutato, è che lo sviluppo del software, come del resto qualsiasi altra attività imprenditoriale, presenta dei rischi tipici che devono essere opportunamente bilanciati, anche in sede contrattuale, per non incidere negativamente sull'intero business.

Tutte le fasi più importanti di cui si compone il processo finiscono infatti per incidere, in modo più o meno rilevante, sui diritti e le aspettative delle singole parti e possono quindi avere un qualche impatto dal punto di vista legale.

Esistono però dei fattori in grado di inflluenzare negativamente il risultato o la qualità del prodotto finale, cui è bene prestare la massima attenzione:

specifiche poco chiare: il progetto è avviato sulla base di specifiche vaghe o prive di dettagli che generano fraintendimenti o false aspettative per una o entrambe le parti;
mancato coinvolgimento degli utenti finali: se l'interfaccia di comunicazione del committente, di regola costituita dal management, ha una idea soltanto vaga di ciò che effettivamente occorre all'utenza finale rischia di trasmettere delle informazioni erronee o non complete;
rischi di natura tecnica soprattutto nei progetti più grandi e complessi;
tariffe troppo basse o scarsa pianificazione: nell'intento di acquisire la commessa i dipartimenti commerciali delle software house partono, a volte, da considerazioni poco realistiche sui tempi e sui costi necessari per completare il progetto, con inevitabili conflitti nel momento in cui vengono prospettati costi aggiuntivi non previsti inizialmente;
carenza di controlli e/o di monitoraggio: il progetto viene condotto in totale assenza di verifiche periodiche, salvo poi dimostrarsi un completo fallimento quando si viene al dunque;
assenza di adeguate strategie di gestione del cambiamento (change management): il progetto evolve lasciando però le richieste di cambiamento non documentate, con conseguente confusione ed incertezza su ciò che deve essere implementato e sui tempi di consegna;
salari bassi ed elevato turnover: possono influire in modo sensibile sui tempi di realizzazione e sulla qualità complessiva del prodotto finale;

Che fare allora ? E' utile ignorare questi aspetti e fare finta che non esistano sperando che tutto vada bene ? Certamente no, mentre può essere adeguata una strategia basata su:

una valutazione dei rischi tecnici, organizzativi, economici e legali che il progetto comporta per ciascuna delle parti, da condurre prima della negoziazione e della stipula del contratto ;
un adeguato supporto legale e contrattuale fondato su clausole chiare e specifiche in grado di compensare i rischi percepiti nell'ottica di un equo bilanciamento degli interessi contrapposti delle parti;
un monitoraggio continuo del progetto e delle sue fasi per individuare prontamente gli eventuali problemi o le questioni che possono insorgere;
una gestione efficace della documentazione e dei cambiamenti;

Insomma, come accade in moltissime altre attività, è spesso sufficiente un minimo di pianificazione e controllo per evitare l'insorgere di problemi ben più seri !

Photo courtesy: a_kartha

Violazione dei dati personali: il consiglio d'Europa si oppone ad una estensione dell'obbligo di notifica

2009-03-05T17:08:00.001+01:00

In Europa si sta discutendo sulle modifiche alla direttiva 2002/58/CE relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche.

Tra le varie proposte c'è ne una che prevede, a carico dei fornitori di servizi di comunicazione elettronica accessibili al pubblico, l'obbligo di notificare tutti gli incidenti di sicurezza che comportino una perdita od una violazione dei dati personali dei propri utenti.

Il gruppo di lavoro dei garanti europei sulla privacy ha già espresso al riguardo il proprio convincimento sull'opportunità di estendere l'obbligo anche ai fornitori di servizi della società dell'informazione (banche, assicurazioni, attività commerciali online, ecc...) in considerazione del ruolo ormai emergente che questi servizi hanno nella vita di moltissimi cittadini europei e della considerevole mole di dati personali trattati nell'ambito degli stessi.

Contro questa ipotesi di allargamento si è, però, schierato il consiglio dell'Unione Europea che ha inoltre chiesto che venga riconosciuta ai soggetti obbligati la facoltà di valutare ogni violazione e decidere, sulla base della sua gravità, se inoltrare la segnalazione alla competente autorità nazionale di controllo ed ai singoli interessati.

Purtroppo questa presa di posizione contraria rischia di vanificare lo spirito più genuino della proposta, cioè quello di approntare un rimedio per proteggere gli ignari individui dagli effetti deleteri e molteplici riconducibili in genere ad una violazione di dati personali (furti d'identità, perdite finanziarie, danni psicologici, ecc...).

Ora la palla torna al parlamento europeo dove ci sarà, probabilmente, un dibattito nel tentativo di individuare una forma di compromesso che possa poi trasformarsi in legge.

A noi non resta che sperare che tutto non si risolva in una bolla di sapone !

Photo courtesy woodsy

La deroga sulla privacy del decreto milleproroghe: effetti e diritti degli interessati

2009-02-25T14:54:00.001+01:00

Anche la camera dei deputati ha approvato definitivamente il disegno di legge di conversione del cd. decreto milleproroghe (decreto legge 30 dicembre 2008 n. 207).

Purtroppo, nonostante le critiche e le opinioni contrarie manifestate da più parti, è stato confermato l'emendamento che prevede una deroga, fino al 31 dicembre 2009, relativa all'applicazione della legge sulla privacy nell'ambito delle attività promozionali (marketing).

Non è certo questa la sede per ripetere che le libertà ed i diritti fondamentali dei cittadini, riconosciuti in un contesto nazionale e comunitario, non possono ammettere deroghe, neanche se giustificate da situazioni eccezionali, come la crisi finanziaria in atto.

Mi limito ad aggiungere che questa modifica, forse, finirà per giocare a sfavore piuttosto che a vantaggio di chi svolge attività di telemarketing.

La mossa di inserire un emendamento di questa portata, destinato a sospendere, sia pure temporaneamente, alcuni aspetti cruciali della normativa e di tutta una serie di provvedimenti del garante, ha infatti generato malcontento e non è passata inosservata soprattutto sulla rete.

Questo è il testo della norma:

I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1 agosto 2005 sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1 agosto 2005.

mentre i punti salienti sono:

la deroga ammette l'utilizzo dei dati personali, per le sole finalità promozionali, anche in mancanza di informativa (art. 13) e di consenso (art. 23) da parte dei soggetti interessati;
i dati personali devono essere memorizzati all'interno di banche dati predisposte sulla base di elenchi telefonici pubblici formati prima del 1 agosto 2005;
soltanto i titolari possono trattare i dati personali in deroga;
l'eccezione è valida fino al 31 dicembre 2009;

Il riferimento esplicito ai dati di elenchi telefonici pubblici dovrebbe escludere la liceità delle forme di telemarketing diverse da quelle telefoniche, come ad es. quelle effettuate per email, se non c'è l'informativa ed il consenso dell'interessato.

Mi chiedo, invece, chi controllerà che si tratta effettivamente di banche dati realizzate prime della data del 1 agosto 2005 ?

Inoltre, poichè l'eccezione opera solo a favore dei titolari dei dati che hanno costituito la banca dati, di essa non possono beneficiare gli eventuali acquirenti nel caso di compravendita.

La modifica introdotta non pregiudica, in alcun modo, il diritto degli interessati di ottenere le indicazioni sull'origine dei propri dati (art. 7, comma 2, d.lgs. 196/03) e, soprattutto, il diritto di opporsi al trattamento per l'invio di materiale pubblicitario o di comunicazione commerciale (art. 7, comma 4, d.lgs. 196/03).

In pratica questo significa che si può sempre manifestare all'operatore telefonico la volontà di impedire il trattamento dei propri dati per le finalità di marketing e richiedere un riscontro immediato di tale volontà.

Una volta che il proprio dissenso è stato comunicato esplicitamente ogni ulteriore trattamento è illecito e può legittimare, di conseguenza, un ricorso all'autorità garante o giudiziaria.

Corso online (gratuito) su direct marketing e privacy

Photo coutesy: igordeniro

Aggregare i contenuti: quali sono le problematiche legali ?

2009-02-03T12:27:00.159+01:00

L'aggregazione o mashup è una tecnica che consiste nel raccogliere e mettere insieme dati o contenuti di terze parti per creare dei servizi ad hoc fruibili direttamente dagli utenti finali attraverso un semplice browser.

Questa pratica trae, in parte, origine dall'opportunità di prendere parte alle logiche di ridistribuzione proprie del web 2.0 e si riflette nella creazione di una nuova categoria di applicazioni o componenti (widget) web caratterizzate da ricchezza di contenuti.

Le sorgenti informative di un mashup possono essere costituite da:

feed RSS (Really Simple Syndication), cioè i flussi strutturati con il formato utilizzato per la pubblicazione e la distribuzione di contenuti aggiornati frequentemente
interfacce applicative o API (Application Programming Interface) che forniscono accesso a funzioni elaborative particolari (es. le API di Google Maps oppure quelle di Yahoo Pipes);
screen scraping, cioè la tecnica che consiste nell'estrarre dati dalla visualizzazione in output (rendering) di un altro programma;

Il risultato dell'aggregazione viene in genere ospitato su un server web (mashup site) e reso disponibile ad altri.

Ma quali problematiche di natura legale possono presentarsi nel caso di una aggregazione di contenuti ?

Proprietà intellettuale

La prima questione riguarda la protezione della proprietà intellettuale ed è connessa al fatto che il mashup coinvolge, per definizione, materiale, anche eterogeneo (dati, testo, audio, video), di terze parti.

La normativa nazionale e comunitaria sul diritto d'autore tutela le opere dell'ingegno creative, cioè nuove ed originali, focalizzando l'attenzione, non tanto sui contenuti veri e propri (argomenti, fatti, idee e teorie trattate), ma sulla forma espressiva, cioè sul modo in cui essi sono presentati, organizzati e sviluppati dall'autore.

La speciale protezione accordata comporta l'automatico riconoscimento in capo all'autore di alcuni diritti esclusivi connessi con lo sfruttamento della sua creazione.

Per non incorrere in violazioni è quindi sempre opportuno richiedere, per iscritto, al titolare di questi diritti, che può anche non coincidere con l'autore, il permesso di riutilizzare il materiale, a meno che questo ultimo non possa ritenersi di pubblico dominio.

Le problematiche inerenti la proprietà intellettuale possono inoltre interessare anche le banche dati, a loro volta tutelate, soprattutto nei casi in cui il mashup riguarda dati estratti da un database.

Licenza

I diritti d'autore possono essere ceduti o limitati attraverso strumenti contrattuali differenti: uno di questi è la cd. licenza, un accordo con il quale il titolare concede uno o più diritti a chi intende utilizzare l'opera.

Nell'ipotesi di licenza diventa fondamentale comprenderne i termini e, soprattutto, le condizioni che permettono l'esercizio dei diritti concessi.

Per fare un esempio partiamo da un caso abbastanza realistico su Internet, specie per quanto riguarda i blog, e cioè quello di contenuti assoggettati ad una licenza Creative Commons by-nd-nc.

Questa licenza permette di riprodurre, distribuire, comunicare, esporre in pubblico, rappresentare, eseguire e recitare una determinata creazione a condizione che:

all'autore sia riconosciuta la paternità nei modi stabiliti
l'opera non venga alterata od utilizzata per crearne una altra
l'opera non sia sfrutata commercialmente

Perciò, una eventuale operazione di aggregazione e conseguente ridistribuzione dei contenuti viola la licenza ed i diritti del titolare se è effettuata:

senza dare indicazione dell'autore
dietro il pagamento di un corrispettivo o traendone, comunque, un vantaggio economico (es. sotto forma di introiti pubblicitari) o commerciale;
modificando i contenuti per cui gli stessi non possono più ritenersi opera originale ma derivata;

Condizioni di utilizzo

Anche in mancanza di licenza è opportuno appurare quali siano le condizioni che possono influire sulla possibilità e sulle modalità di riutilizzo di determinati contenuti.

A questo proposito possono esistere delle riserve specifiche, rese note sotto forma di "Condizioni o Termini di utilizzo", "Note Legali", ecc...

Questo vale ancor di più quando la fonte delle aggregazioni è costituita da interfacce API: in tal caso, infatti, la possibilità di avvalersi di specifiche funzionalità di programmazione è spesso subordinata ad una registrazione dell'utilizzatore ed alla sua accettazione espressa di alcune condizioni (es. accesso alle API di Google Maps).

Privacy

Il mashup può riguardare informazioni che, da sole o in combinazione con altre, possono rientrare nel concetto di dati personali (relativi ad una persona identificata o identificabile), realizzando un trattamento che nella normativa nazionale e comunitaria è soggetto ad una serie di accorgimenti e misure dirette a tutelare la libertà e la dignità delle persone.

Legge applicabile

Internet per sua natura è una rete aperta, senza confini, ma non altrettanto può dirsi per la legge che risente, per forza, di molteplici fattori relativi al contesto economico, sociale e culturale in cui trova applicazione.

A seconda della legge applicabile possono esservi quindi delle differenze, anche sostanziali, in grado di influenzare o limitare la realizzabilità di un servizio di mashup o la sua fornitura nei confronti degli utenti finali.

Tra l'altro, in mancanza di clausole contrattuali espresse, a volte può essere molto difficile identificare quale sia la regolamentazione applicabile al singolo caso.

Come comportarsi ?

Ecco allora una lista di consigli ispirati a buon senso, correttezza e prudenza utili per la pianificazione e la realizzazione di servizi web che presuppongono una aggregazione di contenuti di terze parti:

controllare l'affidabilità, anche sotto il profilo della sicurezza, di ogni fonte informativa
esaminare i termini della licenza o le condizioni d'uso dei materiali e delle interfacce di programmazione (API)
in caso di dubbi chiedere sempre chiarimenti per iscritto
in mancanza di licenza e/o condizioni richiedere, sempre per iscritto, il permesso prima di aggregare/riutilizzare i materiali
verificare attentamente che il servizio da realizzare non comporti in alcun modo la violazione di termini, condizioni, diritti di proprietà intellettuale o industriale (marchi, brevetti) di terzi
fare attenzione alle dichiarazioni di legge applicabile e giurisdizione competente
chiedere sempre un aiuto o supporto nei casi di particolare complessità

Link di approfondimento

Photo credit: svilen

Amministratori di sistema e privacy: domande e risposte

2009-01-28T18:56:00.001+01:00

Mi riallaccio al provvedimento del garante in materia di privacy ed amministratori di sistema, di cui ho già parlato, per introdurre alcuni chiarimenti sotto forma di domande e risposte brevi che potrebbero essere utili a quanti pensano di rientrare nell'ambito di applicazione delle misure previste o nutrono dubbi in proposito.

D. Tutti i titolari di dati sono obbligati ad applicare le misure previste ?

No, soltanto quelli che trattano dati personali con strumenti informatici ed elettronici, anche quando tale trattamento è parziale.

Tuttavia anche i titolari che trattano dati in questo modo sono esclusi se le finalità del trattamento sono soltanto quelle amministrativo-contabili (oggetto dei recenti interventi di semplificazione).

D. Quali figure rientrano nel concetto di amministratore di sistema ?

Quelle in possesso di competenze tali da poter essere incaricate della gestione e manutenzione dei sistemi informatici o delle loro componenti (hardware e software).

Nella stessa definizione rientrano anche le figure equiparate che svolgono una attività di gestione e manutenzione che presenta dei rischi relativi alla protezione dei dati personali (amministratori di database, di rete, di sicurezza, di software, ecc...).

D. Come deve comportarsi il titolare prima di nominare uno o più amministratori di sistema ?

Innanzitutto, può sembrare banale, ma è opportuno verificare se la nomina risponde ad una esigenza effettiva.

In secondo luogo occorre valutare l'idoneità a ricoprire l'incarico da parte del soggetto da designare.
I criteri per compiere questa valutazione possono essere diversi, ma il garante richiama espressamente quelli previsti per la nomina del responsabile del trattamento.

Questo vuol dire quindi che l'esperienza, la capacità e l'affidabilità del soggetto da designare devono costituire una garanzia del rispetto delle disposizioni del codice della privacy, compreso l'aspetto attinente la sicurezza dei dati.

Se questa valutazione manca o avviene in modo superficiale si può anche incorrere in una responsabilità per incauta designazione nel caso in cui il soggetto designato non sia poi in grado di garantire, nei limiti delle proprie funzioni, il livello di protezione dei dati che è lecito attendersi.

D. Con quali modalità deve avvenire la nomina ?

E' opportuno che sia documentata e che contenga una indicazione precisa delle funzioni e dei compiti attribuiti all'amministratore (così come avviene per il responsabile del trattamento).

In questo modo si fa chiarezza sull'ambito di esigibilità della prestazione professionale richiesta all'amministratore di sistema.

D. Che cosa si intende per verifica dell'operato degli amministratori ?

Significa che gli amministratori devono rispettare, nello svolgimento delle attività, le misure tecniche, organizzative e di sicurezza previste dalla legge in materia di protezione dei dati personali e che le eventuali violazioni od anomalie nel loro operato devono essere prontamente identificate e sanate dal titolare.

Questo garantisce che il titolare possa considerarsi diligente nell'effettuazione dei controlli e spiega il perchè venga richiesto agli amministratori, all'atto della nomina, di fornire idonea garanzia di rispetto delle disposizioni di legge vigenti.

D. Quando deve essere effettuata la verifica ?

Quando si reputa opportuna, anche in relazione alle dimensioni ed alla complessità dell'organizzazione di riferimento e, comunque, con cadenza almeno annuale.

D. L'attività degli amministratori di sistema deve essere registrata ?

Soltanto quella che comporta un accesso, inteso come superamento di una procedura di autenticazione informatica, ai sistemi ed agli archivi elettronici.

In assenza di contrarie indicazioni sembra che la registrazione debba comprendere tanto gli eventi positivi (success) che negativi (failure) di accesso.

D. Con quali modalità e garanzie deve essere effettuata la registrazione ?

Le registrazioni (record) devono contenere l'indicazione della data (timestamp) e la descrizione dell'evento che le genera.

Devono inoltre essere complete, non modificabili e consentire la verifica della loro integrità, tenendo conto delle finalità di controllo cui sono preordinate.

A seconda della dimensione e della complessità della infrastruttura IT questa misura può richiedere uno sforzo organizzativo e tecnologico non indifferente, anche dal punto di vista dell'analisi della situazione di partenza.

Le registrazioni vanno conservate per un periodo minimo di 6 mesi.

D. Quanto tempo hanno i titolari per applicare le misure ?

Se i trattamenti sono già iniziati il termine massimo per adempiere è ~~di 120 giorni decorrenti dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale (24/12/2008)~~ stato prorogato al 30 giugno 2009.

Se invece i trattamenti devono ancora iniziare le misure devono essere applicate subito.

E' comunque consigliabile non attendere l'ultimo minuto e pianificare, invece, anche economicamente, l'attuazione delle misure per tempo.

Privacy ed amministratori di sistema: misure ed accorgimenti da rispettare

2009-01-07T12:17:00.012+01:00

Gli amministratori di sistema svolgono, sempre più spesso, un ruolo specifico nella gestione delle varie componenti del patrimonio informativo e risultano destinatari di livelli privilegiati di accesso alle risorse ed ai dati, compresi quelli di natura personale, essendo coinvolti in molte attività, anche critiche, di trattamento.

Da ciò deriva la necessità di inquadrare la loro nomina come un atto di fondamentale importanza, idoneo ad influire sui livelli di sicurezza complessivi di una infrastruttura informatica, così come del resto accade per altre decisioni analoghe, espressione per lo più di una scelta in campo tecnologico.

E' questa la convinzione cui è giunta, anche all'esito delle numerose attività ispettive svolte, l'autorità garante della privacy, preoccupandosi di definire con un apposito provvedimento di carattere generale, emanato in data 27 novembre 2008, le misure e gli accorgimenti ritenuti idonei a garantire che la nomina, le attività ed i controlli sull'operato degli amministratori di sistema siano in linea con la specificità del loro ruolo e con le prescrizioni vigenti in materia di protezione dei dati personali.

L'ambito di applicazione del provvedimento è circoscritto ai titolari di dati personali che effettuano, anche in parte, il trattamento mediante l'ausilio di strumenti elettronici, con l'esclusione, comunque, dei titolari di dati trattati per le sole finalità amministrative e contabili oggetto dei recenti interventi di semplificazione.

Le misure riguardano gli amministratori di sistema e le figure ad essi equiparabili dal punto di vista dei rischi relativi alla protezione dei dati personali (amministratori di database, di rete, di sicurezza e di sistemi software).

Valutazioni soggettive

L'attribuzione dei compiti e delle responsabilità tipiche di un amministratore di sistema presuppone una valutazione preventiva dell'esperienza, delle capacità e dell'affidabilità del soggetto che si intende designare il quale deve, a sua volta, fornire idonea garanzia del rispetto delle disposizioni di legge vigenti anche sotto il profilo della sicurezza.

Questo accorgimento non vale soltanto nel caso in cui l'amministratore debba essere designato, contestualmente, come responsabile di uno o più trattamenti, ma anche nell'ambito di una designazione come puro incaricato.

Pertanto, vista la specificità e la natura dell'incarico da svolgere, è necessario attenersi sempre a criteri di valutazione analoghi a quelli richiesti per la nomina del responsabile dall'art. 29 del d.lgs. 196/03.

In difetto di una idoneità nella valutazione o nei criteri sui quali quest'ultima si basa il titolare può, infatti, incorrere in una responsabilità per incauta designazione (culpa in eligendo).

Designazione individuale

La nomina deve avvenire su base individuale ed essere accompagnata dalla indicazione analitica degli ambiti di operatività consentiti dal possesso di un determinato profilo di autorizzazione.

Elenchi

La lista delle persone fisiche designate come amministratori di sistema deve essere riportata nel documento programmatico della sicurezza oppure, in mancanza di quest'ultimo, in un apposito documento interno mantenuto aggiornato e disponibile in caso di accertamento.

Inoltre, salvo diverse e contrarie disposizioni di legge, l'identità di queste persone deve essere resa conoscibile dal titolare, nell'ambito della propria organizzazione, quando la loro attività riguardi, anche indirettamente, sistemi o servizi con i quali si trattano dati personali dei lavoratori.

Questa forma di pubblicità può essere realizzata in vario modo ed, in particolare, attraverso:

l'informativa di cui all'art. 13 del d.lgs. 196/03
il disciplinare tecnico adottato in osservanza del provvedimento del garante del 1° marzo 2007 (uso di Internet e della posta elettronica in azienda)
gli strumenti di comunicazione interna come la intranet o la bacheca aziendale, gli ordini di servizio, ecc...

Se le funzioni di amministrazione dei sistemi sono devolute all'esterno (cd. outsourcing) il titolare deve conservare gli estremi identificativi delle persone fisiche preposte.

Verifiche

Con cadenza almeno annuale il titolare deve verificare l'operato dell'amministratore di sistema con la finalità di valutarne la rispondenza alle misure tecniche, organizzative e di sicurezza adottate nel campo della protezione dei dati personali.

Log

Gli accessi ai sistemi di elaborazione ed agli archivi elettronici da parte degli amministratori devono essere tracciati in appositi log elettronici che, in relazione alle finalità di supporto delle verifiche, devono essere dotati di adeguate caratteristiche di completezza, inalterabilità ed integrità.

Le registrazioni devono comprendere un riferimento temporale, accompagnato dalla descrizione degli eventi che le hanno generate, ed essere conservate per un congruo periodo non inferiore a sei mesi.

Tempistiche

I tempi per l'adozione delle misure sono differenti:

i titolari dei trattamenti già iniziati o che avranno inizio entro il termine di 30 giorni dalla pubblicazione del provvedimento nella Gazzetta Ufficiale (avvenuta in data 24/12/2008) dovranno adottare gli accorgimenti prescritti al più presto e, comunque, non oltre il termine ~~di centoventi giorni decorrenti dalla pubblicazione stessa~~ del 30 giugno 2009;
i titolari dei trattamenti iniziati dopo il termine di 30 giorni dalla pubblicazione del provvedimento nella Gazzetta Ufficiale dovranno invece adottare gli accorgimenti prescritti anteriormente al trattamento dei dati;

Fonte: Misure ed accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema