Richiesta chiarimenti FEDERAZIONE RINASCIMENTO ITALIA.

Stanno arrivando diverse richieste di informazioni alle ISA da parte di F R I.

L’accesso ai dati ed ai fatti delle pubbliche amministrazioni è quasi sempre consentito, l’accesso alle politiche di gestione NO. Le richieste andrebbero rigettate ai sensi dell’articolo 24 comma 3 della L. 241/90.

per quanto riguarda le politiche sulla tutela dei dati USA vi rimando al PRIVACY SHIELD con un paio di post

ACCORGIMENTI ZOOM (e non solo)

Vi riporto il bollettino CERT-PA ( COMPUTER EMERGENCY RESPONSE TEAM-Pubblica Amministrazione).

Aggiornamento

A seguito della divulgazione della notizia, Zoom ha provveduto a risolvere la vulnerabilità UNC di seguito descritta, il CEO di Zoom Eric Yuan lo annuncia sul blog.


Nella giornata di ieri, il CERT-PA ha riportato evidenze sull’utilizzo improprio della piattaforma Zoom per veicolare malware. Oggi, dal monitoraggio delle fonti OSINT è emerso che due ricercatori hanno evidenziato come il client Zoom Windows sia vulnerabile Path Injection UNC (Universal Naming Convention) nella funzione di chat e di conseguenza potrebbe consentire agli aggressori di rubare le credenziali di Windows degli utenti che cliccano sul collegamento.

Il ricercatore di sicurezza @_g0dmode ha rilevato che il client Zoom è in grado di convertire i percorsi UNC di rete di Windows in un collegamento cliccabile nei messaggi di chat. Di conseguenza, se un utente clicca su un collegamento UNC, Windows tenta di connettersi al sito remoto utilizzando il protocollo di condivisione file SMB per aprire il file cat.jpg.

Nel fare ciò, per impostazione predefinita Windows invierà il nome di accesso dell’utente e il relativo hash della password NTLM, che potrebbe essere decifrato (anche rapidamente) utilizzando strumenti gratuiti come Hashcat e quindi rivelare la password dell’utente in chiaro.

Un altro ricercatore, Matthew Hickey (@HackerFantastic), ha testato l’injection UNC in Zoom ed è stato in grado di catturare gli hash della password NTLM inviati a un server che ospita la condivisione cliccata.

Al momento Zoom non ha corretto la vulnerabilità ma è possibile mitigare il problema scegliendo l’opzione “Nega tutto” in: Sicurezza di rete: Limita NTLM: traffico NTLM in uscita verso server remoti”  nelle impostazioni di Windows. Gli utenti Windows 10 Home, dovranno utilizzare il registro di Windows per la configurazione.

Sopra quanto riportato dal CERT-PA che ci garantisce che al 01 04 2020 ZOOM e’ affidabile ( pure se non validato AGID CLOUD MARKETPLACE ).

detto questo, CONSIGLIO SEMPRE di UTILIZZARE nuovi account per la registrazione ai diversi servizi e non utilizzare mai ( per pigrizia ) l’autenticazione tramite account social ( solitamente Google e Facebook ), in estrema sintesi vi pongo una domanda ” quante volte ci siamo lamentati delle tante chiavi che utilizziamo per entrare a casa ? “

e perche’ non abbiamo una sola chiave per portone, portoncino , porta, garage e box ? Si. e’ poco sicuro.

quindi quando su zoom od altre piattaforme ( non solo di lavoro a distanza, tutte ) troviamo questo scenario

Evitiamo di utilizzare la stessa chiave di apertura che usiamo anche per Google e Facebook, creiamo un nuovo account, anche perche’ ZOOM chiede poche informazioni per lavorare .

In ogni caso vi ricordo che ZOOM rientra nell’ambito della decisione della Commissione Europea per i dati trasferiti in Paesi terzi https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32010D0087 .

Qui la Policy di Zoom

RESTA INTESO che tutti i trattamenti saranno limitatissimi nel tempo ( in attesa dei prossimi DL e DPCM) e che e’ sempre meglio utilizzare strumento validati ai sensi della circolare AGID 09/04/2018.

G-SUITE FOR EDUCATION

Se avete problemi con G-Suite for Education o semplicemente volete sapere come sfruttarlo guardate la locandina.

DAD e Diritto d’autore.

Una delle norme storiche ( 1941 ) che maggiormente ha subito importanti modifiche con l’avvento della rete e’ la disciplina sul diritto d’autore, la L 166/41.

Ai fini della didattica a distanza ( od a causa della DAD) dobbiamo rifarci all’articolo 70

1. Il riassunto, la citazione o la riproduzione di brani o di parti di opera e la loro comunicazione al pubblico sono liberi se effettuati per uso di critica o di discussione, nei limiti giustificati da tali fini e purche’ non costituiscano concorrenza all’utilizzazione economica dell’opera; se effettuati a fini di insegnamento o di ricerca scientifica l’utilizzo deve inoltre avvenire per finalita’ illustrative e per fini non commerciali.

((1-bis. E’ consentita la libera pubblicazione attraverso la rete internet, a titolo gratuito, di immagini e musiche a bassa risoluzione o degradate, per uso didattico o scientifico e solo nel caso in cui tale utilizzo non sia a scopo di lucro. Con decreto del Ministro per i beni e le attivita’ culturali, sentiti il Ministro della pubblica istruzione e il Ministro dell’universita’ e della ricerca, previo parere delle Commissioni parlamentari competenti, sono definiti i limiti all’uso didattico o scientifico di cui al presente comma)).

2. Nelle antologie ad uso scolastico la riproduzione non puo’ superare la misura determinata dal regolamento, il quale fissa la modalita’ per la determinazione dell’equo compenso.

3. Il riassunto, la citazione o la riproduzione debbono essere sempre accompagnati dalla menzione del titolo dell’opera, dei nomi dell’autore, dell’editore e, se si tratti di traduzione, del traduttore, qualora tali indicazioni figurino sull’opera riprodotta.

LA norma di facile lettura ha pero’ ripercussioni diverse in funzione dello strumento che si utilizza per la DAD, mi spiego meglio nessun limite operativo alla norma sulla DIDATTICA, molti limiti ( altrimenti si compiono illeciti ) se la DAD non viene fatta con gli strumenti adeguati.

In pratica , stralci , riassunti e citazioni possono viaggiare attraverso le piattaforme dedicate alla didattica a distanza , con il cavillo del comma 3 dell’articolo 70 della 633/41, le stesse informazioni non devono viaggiare invece quando si utilizzano altre soluzioni per fare la didattica a distanza, ad esempio Facebook .

breve GUIDA YOUTUBE visualizzazione PRIVATA

Alcune persone potrebbero avere l’esigenza di caricare dei video in YOUTUBE ( magari per dei tutorial in SMART WORKING ) ma non renderli accessibili a tutti.

Niente di piu’ semplice con l’aiuto del dott. Francesco Te’della HORIZON srls, io non sarei stato capace di giungere a questa conclusione.

1- creare il video come abituati.

2- autentificarsi su youtube e caricare il filmato

Una volta caricato il video premere i diversi AVANTI rispondendo alle domande obbligatorie


L’ultima schermata, quella cruciale per noi, ci chiede che tipo di VISIBILITA’ intendiamo dare al video, sceglieremo


In questo modo abbiamo utilizzato YOUTUBE solo come infrastruttura per caricare i video e non come contenitore pubblico, ovviamente occorre comunicare il link del video ai destinatari .

Al termine del trattamento, magari per urgenze CORONAVIRUS , consiglio di rimuoverlo .

Addio CONSULENTI ASSOCIATI, e Benvenuta Consulenti Associati Campania srls

Ci siamo trasformati nello spirito, è cambiato l’assetto societario , la nuova CA CAMPANIA srls é una nuova società con la totalità delle quote possedute da Elisa Carotenuto.

E’ cambiata la grafica del sito , ci saranno nuovi sistemi di condivisione e nuovi servizi sempre più orientati alla transizione digitale della PA, che resta il nostro mercato di riferimento. inizia un nuovo viaggio.

La Consulenti Associati Campania srls o C.A. Campania srls si occuperà del lavoro di massa , mentre la CONSULENTI ASSOCIATI sas di ELISA CAROTENUTO continuerà con le ricerche ed i lavori di nicchia, e si trasferisce su www.rtd.cloud, specializzandosi nella transizione digitale.

La trasformazione digitale nelle P.A.



Martedì 12 Marzo 2019 ore 14,00
Presso l’ I.I.S. Vittorio Emanuele II di via Barbagallo, 32 – Napoli
 


L’incontro organizzato da Horizon in collaborazione con il Dott. Vincenzo De Prisco,  responsabile della transizione digitale, membro del forum sull’e-procurement istituito dall’ AGID, vuole approfondire l’evoluzione della normativa vigente nelle P.A. affrontando alcuni temi importanti:

  • DPORPDRTRTD: figure, funzioni o persone
  • Trasparenza o riservatezza ? 
  • Informative e liberatorie, consenso o dissenso? Social o asocial?
  • Il nuovo modo di scrivere gli atti: il CAD

 ed inoltre:

  • Uniformità e riconoscibilità dei siti web istituzionali
  • Migrazione dal dominio “.gov.it ” a “.edu.it ” (regolamento e tempi)
  • Le soluzioni Horizon
L’invito è rivolto principalmente ai:
Dirigenti Scolastici – D.s.g.a. – Animatori Digitali – Team Digitale
– Funzioni Strumentali. 
Copyright © 2018 – Horizon srls, All rights reserved.
www.progettohorizon.com

E-mail:
info@progettohorizon.comTel.081-18337079

compila il modulo di partecipazione

Quaderno GDPR – PARTE I-

Strutturalmente  il General Data Protection Regulation – Regolamento Generale sulla Protezione dei Dati

non si allontana molto dal nostro vecchio Codice del trattamento, salvo alcune specificità :

  • L’informativa
  • La modalità del consenso ( e  la liceità del trattamento in forza del consenso bifasico )
  • Sanzioni più incisive
  • Consenso del minore

da un punto di vista formale, e da un punto di vista operativo l’introduzione del principio dell’ ACCOUNTABILITY, la vera rivoluzione .

Cosa cambia ?

E’ cambiata la società, sono cambiati i tempi sono cambiate le aspettative verso l’informazione .

La norma comunitaria, come quella nostrana , no è intitolata alla PRIVACY, ma al corretto trattamento dei dati, e soprattutto occorre fare una precisazione fondamentale di politica regolamentare , il Reg. 2016/679 ed il Reg . 2014/910 devono essere letti come una complessiva idea comunitaria con l’obiettivo di uniformare il modo di generare le informazioni e di farle circolare liberamente nel mercato .

Infatti l’informazione ( il dato personale riferibile ad una persona fisica ) è definito come

bene giuridico , economicamente valutabile ed oggetto di scambio .

Tuttavia per ben approfondire la nuova norma rcordiamo anche che l‘informazione ed il dato personale  oltre ad avere una definizione economica hanno anche una definzione data dalla carat Europea dei Diritti Fondamentale , infatti l’articolo 8 recita:

Protezione dei dati di carattere personale

1.   Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

2.   Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica.

3.   Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.

Proprio da questo richiamo ( non solitario ed univoco come vedremo nei prossimi approfondimenti ) , è chiaro che la norma non è intitlata ed intitolabile alla PRIVACY o RISERVATEZZA , ma al corretto trattamento dei DATI, come chiarito fin dal titolo “Regolamento Generale sulla Protezione dei Dati”

Il diritto alla protezione dei dati tutela l’informazioen riferita ( ed anche riferibile) ad un individuo, non tutela la personalità complessiva, solo una parte .
Anzi , occorre ribadire, che la tutela dell’identità personale è un istituto molto presente nel nostro ordinamento a differenza di quello europeo e pur essendo di creazione giurisprudenziale ha ben raccolto favori e successi, uno fra tutti il diritto all’oblio, non sempre conosciuto e disciplinato in altre realtà tranfrontaliere.

Ora conviene fermarci un moemnto e vedere le differenze tra il diritto alla protezione dei dati ed il diritto alla riservatezza.

Il primo diritto , quello alla protezione dei dati personali, consiste nella possibilità in capo al soggetto i cui dati si riferiscono,di esercitare un controllo, e come detto trova fonte primaria nell’articolo 8 della Carta dei Diritti Fondamentali dell’UE .

Il diritto alla riservatezza , invece , si concretizza nell’escludere la conoscenza di vicende personali e familiari , e trae evidentemente origine proprio dalla pietra miliare della PRIVACY, l’articolo WARREN – BRANDEIS  sul

“RIGHT TO BE LET ALONE ” e sul ” JUS SOLITUDINES” .

Enunciati che ritroviamo all’aritolo 7 della Carta Europea :

Rispetto della vita privata e della vita familiare

Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni.

In Italia il diritto alla riservatezza è stato riconosciuto dalla Corte di Cassazione con pronuncia 2129/1975.

In estrema sintesi, il diritto alla protzione dei dati ed il diritto alla riservatezza hanno oggetto diverso, possono talvolta coincidere, esempio classico è LA CARTELLA CLINICA.

Spostiamo ora l’attenzione sul perchè nasce l’esigenza del GDPR, la risposta è chiara ed univoca , contenuta nel considerando n. 9 ;

Sebbene i suoi obiettivi e principi rimangano tuttora validi, la direttiva 95/46/CE non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche. La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può ostacolare la libera circolazione dei dati personali all’interno dell’Unione. Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva 95/46/CE.

Inoltre come all’inizio scritto bisogna ben ricordare che il GDPR è il completamento naturale e fisiologico dell’ EIDAS, letti assieme hanno l’obiettivo di creare il MERCATO UNICO DIGITALE delle informazioni.

Ovviamente i dati trattati non possono essere utilizzati senza nessuna regola, e di queste regole bisogna tenerne conto, da qui il principio dell’ACCOUNTABILITY , articolo 32 GDPR .

Sicurezza del trattamento

1.   Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a)

la pseudonimizzazione e la cifratura dei dati personali;

b)

la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c)

la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d)

una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2.   Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

3.   L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4.   Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

L’articolo parla chairamente di misure :

  • TECNICHE
  • ORGANIZZATIVE
  • GESTIONALI

indi è necessario non commettere l’errore di delegare le politiche di sicurezza dei dati alla funzione informatica e basta.

La valutazione tecnico – gestionale deve avere le connotazioni proprie dei modelli organizzativi, dell’as is anlisys , della ricerca del gap, del management , dell’assessment, delle politica correttive, dei risultati attesi e dei correttivi sulla dispersione da questi.

Solo partendo dalla suddetta valutazione contempliamo  l’acconutability, che viaggerà su due livelli :

1) Misure obbligatorie e prova dell’attuazione

2) Misure e sistemi volontaristici.

La valutazione dell’impatto .

Ancor prima di iniziare un trattamento il titolare deve valutare i rischi e decidere le politiche ( policy, presidi, controlli e rendicontazione ) per minimizzare l’uso illecito dei dati personali .

Qualora siano i rischi residuali ( terminologia ISO 31000 ) siano elevati occorre la consultazione preventiva coll’Autorità Amministrativa Indipendente.

Il Bilanciamento degli interessi .

Fin dal 2003, con il D.Lgs 196/03 ho rappresentato una parte minoritaria della dottrina che considerava il diritto alla protezioen dei dati un diritto “fondamentale ma non troppo” , ma lottavo in un’arena dove la norma era intitolata alla PRIVACY ( o meglio PRAIVACI , scusatemi la poca aleganza ) , prendendomi sempre qualche bella soddisfazione .

Già si considerava l’informazione un bene economico, era quindi chiara la tendenza normativa, poi con il Reg.  UE 2014/910 sempre più mi son fatto forte del fatto che anche il legislatore stava correndo ai ripari ( lessicali , l’intento era chiaro anche nella direttiva 95/46/CE ) , poi nel 2015 una chiara sentenza della Corte di Cassazione, n. 10280/15 sez III recita e sancisce

IL DIRITTO ALLA PROTEZIONE DEI DATI PUR RIENTRANDO NEI DIRITTI FONDAMENTALI NON E’ UN “TOTEM AL QUALE POSSONO SACRIFICARSI ALTRI DIRITTI COSTITUZIONALMENTE GARANTITI” …IL DIRITTO ALLA PROTEZIONE DEI DATI DEVE ESSERE ” COORDINATO E BILANCIATO” CON LE NORME DI CARATTERE PUBBLICISTICO E PRIVATISTICO.

Poi, nel 2016 con il GDPR la massima chiarezza nella lettera del 4 ° considerando :

Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

La norma sembrerà complessa, ma è chiara, ancora una volta avremo come interocutori faccendieri improvvisati che non hanno la minima conoscenza di norme pubbliche e di gestione organizzativa dell’azienda, ma quando sentite parlare di PRAIVACI scappate, chiedete di discutere sul Corretto Trattamento dei Dati..

Continua la nostra DIGITAL COMMEDIA .

A presto

Incontro di (in)formazione in materia di sicurezza dei dati. Il 25 maggio è davvero prossimo!

C.A. Dirigenti Scolastici e Direttori S.G.A.

Oggetto: Incontro di (in)formazione su temi normativi cogenti

La Consulenti Associati S.a.s. di Elisa Carotenuto ed il dott. Vincenzo De Prisco di pregiano di invitarVi all’incontro che si terrà il giorno 22 febbraio p.v. alle ore 10.00 presso l’I.C. “Amalfi Massa” di Piano di Sorrento, via Ciampa.

Il programma dell’incontro verterà sui seguenti argomenti:

  • Il Codice dell’Amministrazione Digitale, tra modifiche, riedizioni ed il D.Lgs. 217/17
  • Il Corretto Trattamento dei Dati tra social e privacy
  • Il Regolamento Europeo 2016/679. Cosa cambia?
  • La sicurezza informatica tra Agid e GDPR. Minima o adeguata?

Vi aspettiamo!

Cordialmente, Elisa e Vincenzo

Incontro di (in)formazione sui temi della sicurezza informatica, tra Agid e GDPR – Liceo Sensale, Nocera Inferiore

C.A. Dirigenti Scolastici e Direttori S.G.A.

Oggetto: Incontro di (in)formazione su temi normativi cogenti

La Consulenti Associati S.a.s. di Elisa Carotenuto ed il dott. Vincenzo De Prisco di pregiano di invitarVi all’incontro che si terrà il giorno 16 febbraio p.v. alle ore 10.00 presso il Liceo Scientifico Sensale, via S. D’Alessandro, Nocera Inferiore, ospiti della D.s. Prof.ssa Elvira D’Ambrosio.

Il programma dell’incontro verterà sui seguenti argomenti:

  • Il Codice dell’Amministrazione Digitale, tra modifiche e riedizioni
  • Il Corretto Trattamento dei Dati tra social e privacy
  • Il Regolamento Europeo 2016/679. Cosa cambia?
  • La sicurezza informatica tra Agid e GDPR. Minima o adeguata?

Vi aspettiamo!

Cordialmente, Elisa e Vincenzo