wipedisk ha scritto: in data 18/10/2009 8.50:
Il giorno Thu, 15 Oct 2009 16:41:56 +0200
rino lo turco <[email protected]> ha scritto:
Credo che qualcuno abbia avuto realmente accesso al DB , oppure la
storia del concepimento è vera?
si tratta di quelle clausole scritte in carattere "corpo 4" che di
solito uno conferma per poter proseguire nelle iscrizioni tipo sito
delle poste.it
le poste rivendono le informazioni a terzi e in sostanza li
autorizziamo noi clienti.
oddio è come? sarebbe veramente il colmo se cio fosse vero , mi sembra
che tale abitudine sia da sottoporre a specifico consenso libero ed
informato da parte dell'interessato( vedi vari provvedimenti)
se le poste fanno ciò sono chiaramente fuori norma e si espongono a
forti risarcimenti.
Sinceramente dubito che si possa essere cosi masochisti da parte di una
, seppur molto criticata, importante realtà nazionale, anche se a certe
"cose" non vi è mai limite........
la cosa che mi preoccupa di piu' non sono gli attacchi a poste.it, ma
tutte le basi dati, e' un eccesso chiamarle cosi', che raccolgono le
info quando abbiamo sottoscritto la carta sconto al supermercato, o
quelle info che lasciamo sottoforma di fotocopia per attivare una sim
dal negoziante (io ho scoperto che dopo 12 anni un negoziante aveva
ancora i miei documenti in copia e nel database della contabilita'...).
il termine banca dati è corretto come pure la tua preoccupazione , ma la
196 serve proprio a arginare e gestire questo fenomeno, certo molti
diranno che è una legge che nessuno la rispetta etc etc .
io sono del parere che la causa di una ancora cattiva applicazione
dipende sopratutto dagli stessi interessati.
I fatti hanno dimostrato che chi cerca soddisfazione dalla 196 la trova
e molto facilmente, dai lavoratori che hanno ottenuto il reintegro a
cittadini che hanno ricevuto risarcimenti anche cospicui per trattamenti
che i più considerano "normali" .
E quelle info aggregate, secondo me impropriamente, che troviamo nelle
cosiddette centrali di rischio.
si è vero , come è altrettanto vero che il garante ha condannato le
centrali imponendo loro la cancellazione. cosa significa ciò , semplice
che adesso chiunque si senta danneggiato non ha una via a disposizione
ma un autostrada a 18 corsie.
Certo se poi uno si lamenta ma non fa nulla ........, Ottenere le prove
per avviare azioni risarcitorie è molto più facile di quanto si pensi e
spesso la reazione dei titolari pone costoro in condizioni estremamente
difficili, insomma spesso fanno tutto il lavoro "sporco" loro stessi;
alla faccia del masochismo.
Il discorso e' OT pertanto evito di dilungarmi, ma sarebbe interessante
conoscere il parere degli esperti in merito ad una mia probabilmente
assurda idea: e se si istituisse un sistema tale per cui ogni qualvolta
qualcuno vuole "vedere" i miei dati personali acceda al MIO server dei
dati personali tramite username e password o altro sistema che io gli
rilascio all'occorrenza?
Cosi'... per esempio, per validare una sim posso autorizzare il
negoziante a vedere i dati il tempo strettamente necessario, mentre
posso "sapere" chi e' che viene a guardare nella mia situazione
patrimoniale per propormi un prestito o mandarmi un'email indesiderati
eccetera.
Volendo fare le cose per bene, penso che non sia nemmeno troppo
difficile (ho in mente una cosa alla OpenID per intendersi).
l'idea è ottima e concordo sul fato che possa realizzarsi con , tutto
sommato , poca spesa.
non trovo nulla di ostativo, anzi, comunque il principio di fondo è
usato anche nella gestione di iscrizioni a vari liste/ newsletter dove
l'utente può autonomamente decidere .
Certo tutto si basa su un approccio diverso alla banca dati ovvero sul
fatto che deve modificarsi il concetto di proprietà cosi come ancora
oggi , contrariamente a quanto indicato nella norma, si usa. I dati non
sono del titolare del trattamento ma dell'interessato che puo e deve
esercitare ogni suo diritto ( primario e indisponibile) in ogni momento
con il minimo sforzo.
E' un cambio culturale, e condivido sul fatto che sia di una certa
difficoltà, da realizzare; trasformarsi dall'oggi al domani da "padroni"
a " non padroni" non è facile , ma va fatto e forse si è perso troppo
tempo, colpa anche e ritengo sopratutto , dei tecnici di coloro che
ogni giorno affiancano, o dovrebbero, gli utenti IT . Siamo noi i primi
a ignorare ogni regola che possa anche solo parzialmente, ridurre il
nostro smisurato senso di potenza , di superiorità di deus ex machina
che tutto è tranne il vero.
Mi domando quanti nel creare una anche banalissima raccolta via foglio
di calcolo si domandano se hanno superato i limiti , se sono nel lecito.
Anche solo a leggere quanto scritto , anche di recente, in diverse
liste sul tema della sicurezza IT e sui controlli "preventivi" o i log
mi convinco che il cambio culturale deve ancora iniziare, e ciò è grave
anche perchè dall'altra parte l'interessato si sta organizzando, sta
prendendo sempre più coscienza dei suoi diritti e questo porterà gioco
forza ad un incremento di azioni a contrasto azioni che alla fine
potranno ricadere come gravi conseguenze proprio sui tecnici, su coloro
che rispondendo ad una domanda dell'utente non hanno saputo usare la
propria conoscenza o comunque il proprio ruolo per gestire la risposta.
Credo che questo sia anche "Qualità" credo che in fondo la qualità
nell'IT sia latente , e qualità non è il "prodotto migliore" ma la
"soluzione migliore", che sono cose diverse , molto diverse.
Rino
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
