Roberto Tanara ha scritto:
Il problema, come ribadito più volte, è organizzativo, non tecnico. La segretezza delle credenziali è indispensabile per poter fare un audit corretto delle attività, cosa che purtroppo quasi mai interessa ai titolari (del trattamento e della baracca) che invece "vogliono le email dei dipendenti".
Se le regole sono quelle, il dipendente deve rispettarle. Vedete, non sono d'accordo su questo sbilanciamento a favore del dipendente e alla crocefissione del datore di lavoro, pitturato a tratti come se fosse uno schiavista. Mi dispiace sapere che certi consulenti abbiano una visione del genere. E i doveri dei dipendenti dove li mettiamo? Se esiste una policy (sottoscritta dal dipendente) che vieta l'uso della strumentazione di lavoro a fini personali, cosi' deve essere. Non ci sono scusanti. Punto. La richiesta di un datore di lavoro che chiede le email del dipendente, purche' quest'ultimo sia stato avvertito e abbia accettato la cosa (v. sindacati interni, ecc...), non mi sembra cosi' assurda. Il titolare ha l'obbligo di seguire l'andamento della sua azienda, a maggior ragione se essa e' piccola. Se un paio di dipendenti furbetti (eh, si', ci sono anche loro, non esistono solo datori di lavoro mefistofelici) tramano a danno dell'azienda e il titolare non se ne accorge per tempo, puo' chiudere baracca e burattini.
A me sembra che la legge parli in modo chiaro e inequivocabile,
Chiaro? Inequivocaile? Ma quando mai una legge italiana e' chiara ed inequivocabile. Forse il consulente della privacy legge tra le righe quello che desidererebbe che fosse, ma non e' cosi'. Altrimenti, a che servirebbero gli avvocati? Consiglio a tutti una lettura interessante, per chiunque crede, ingenuamente, che una legge dello Stato tuteli sempre il cittadino (http://www.ictlex.net/index.php/2004/07/26/attivit-forense-e-dati-personali-regole-di-un-altro-mondo/).
tutte
le interpretazioni non vengono "dai magistrati" come dici tu, ma dai titolari del trattamento che si ostinano a far gestire la sicurezza dei dati e la privacy da figure impreparate e non idonee.
Intanto, per quel magistrato, leggere le email dei dipendenti e' lecito, qualora il datore abbia le chiavi di accesso. Le cose sono due: ha pescato la sentenza da un'urna (1) o ci fidiamo ciecamente della magistratura (2)? Se scegli la (1), allora convieni con me che nella magistratura c'e' qualcosa che non va. Se scegli la (2), allora non ci dobbiamo meravigliare che i magistrati emettano sentenze in contrasto con altre normative. Ma allora, vale quello che dicono i magistrati, non quello che diciamo noi consulenti.
E' vero: mi si potrebbe far notare che se il mio capo ha le mie password e mi odia, potrebbe installare sul mio PC, a mia insaputa, delle immagini porno e poi licenziarmi, avendo io contravvenuto esplicitamente al suo divieto. Ok, rispondo io, pero' puo' farlo ugualmente anche senza conoscerle.Non direi, non è così semplice, e in ogni caso non dovrebbe essergli permesso se vengono correttamente applicati il principio del minimo privilegio e la separazione dei ruoli. Se invece il principio è "la rroba è mia e ci faccio quello che voglio", il discorso cambia... però non si venga a pretendere di essere rispettosi della legge.
Non crediamo che i consulenti migliori siano quelli che fanno rispettare la legge in maniera integralista. Ricordiamoci anche che un'azienda deve soprattutto produrre. Bisogna compensare la duttilita' del lavoro con la protezione dei dati, mediante parecchi compromessi, e non proteggere i dati a discapito della flessibilita' del lavoro. E sappiamo bene che la comodita' e' nemica delle regole. Rinfresco la mente: sto parlando di piccolissime realta', dove anche 3000 euro sono fuori budget e dove la presenza di un solo dipendente infedele vuol dire chiusura dell'attivita'.
OT: Non mi sembra che nessun paese civile ed evoluto basi il sistema giudiziario sul parere di "vecchi saggi", atteniamoci al fatto che le leggi prima si rispettano e poi eventualmente si può chiedere di migliorarle.
OT: Naturalmente, ma piuttosto che avere una magistratura che pesca dall'urna la sentenza, preferisco sapere di che morte devo morire.
RR
smime.p7s
Description: S/MIME Cryptographic Signature
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
