Date: Wed, 16 Jan 2008 13:16:14 +0100
From: Stefano Zanero <[EMAIL PROTECTED]>
Subject: Re: [lex] Il titolare vuole le mail dei dipendenti
atizio wrote:
Tra queste ipotesi rientra, secondo me, anche il controllo che il datore
deve fare
Zanero risponde:
No, perche' per fare quel controllo non e' NECESSARIA quella password,
quindi siccome non e' necessaria, non ne devi avere copia. Per una volta
che l'allegato e' semplice, cristallino e CORRETTO !
La riflessione di Neirotti e' corretta, ma non sottolinea
sufficientemente che la regola 10 inizia con:
"Quando l'accesso ai dati e agli strumenti elettronici è consentito
esclusivamente mediante uso della componente riservata..."
E nel caso dei sistemi operativi comuni, questo NON e' vero (perche'
l'accesso ai dati e' possibile anche mediante meccanismi di bypass).
******Credo che questa tua considerazione sia da prendere molto seriamente;
vero che ogni caso va visto singolarmente, ma l'accento sulla parola
'esclusivamente'
ce lo metterò anche io da ora in poi quando cercherò di far comprendere
il problema della busta con le pw nelle realtà che non ne vogliono fare a
meno.
Sul piano meramente giuridico, invece, se dovessi difendere, come capita, un
soggetto al quale gli si contesta
la mancanza di 'esclusività' della soluzione adottata (ovviamente ogni
situazione è diversa), cercherei di far valere una interpretazione della
norma volta a considerare che questa terminologia non si applica in assoluto
prendendo come termini da un lato il sistema adottato e dall'altro il
sistema che si poteva adottare a fronte delle risorse tecniche che il
progresso mette a disposizione (ex art. 31);
poiché se la regola 10 (che fa parte di una misura minima) si interpreta nel
senso che il termine 'esclusivamente' si riferisca al fatto che tecnicamente
in base a quello che si trova sul mercato (quindi al progresso tecnico) non
è stato adottato, si crea un contrasto difficile da giustificare tra l'art.
31 e l'art. 33 che parla di misure minime di cui l'allegato tecnico fa parte
a norma dell'art.34.
Perchè se così fosse allora dovremmo spiegare, e la cosa non appare
possibile (ma posso sbagliarmi), come coniugare la portata sanzionatoria
della legge verso chi non adotta le misure minime, con la diversa portata
'punitiva' di chi non adotta quelle adeguate; le prime danno origine ad una
responsabilità amministrativa e penale, le seconde a responsabilità civile
verso un eventuale danneggiato.
In parole povere, applicare in modo assoluto una interpretazione molto
restrittiva della regola n.10, porta ad una 'confusione' difficile da
giustificare con la divisione di responsabilità che l'intera disciplina
sembrerebbe adottare, e comunque se questo alla fine risultasse lecito,
allora dovremmo rivedere quanto fino ad oggi sostenuto un pò da tutti, cioè
che l'inosservanza delle misure minime comporta una responsabilità penale ed
amministrativa, e dovremmo aggiungere che in realtà le misure minime,
riguardo alla regole 10 dell'allegato b, subiscono una diversa
qualificazione estendendo il concetto di assolvimento delle stesse a quanto
detto dall'articolo 31... cioè in quel caso specifico occorre far
riferimento al progresso tecnico, occorre cioè adottare soluzioni che
rendano il ricorso alla componente riservata, possibile solo ed
esclusimaente quando non ci siano altre possibilità tecniche ed
organizzative in assoluto.....
Questo non giustifica niente, ma di certo crea un ulteriore problema a cui
non saprei, in tutta onestà, dare soluzione.
buone cose patrizio galeotti
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
