PRIVACY - Wellcome

20 GENNAIO 2005
INCHIESTA 16
PRIVACY
SOTTO LA LENTE
Il viaggio di CRN alla scoperta
del decreto legislativo n. 196
del 2003 “Codice in materia di
protezione dei dati personali”
È
entrato in vigore il 1° gennaio 2004 ma nessuno o
quasi se ne era accorto. È
il decreto legislativo 196 del
2003 “Codice in materia di protezione dei dati personali”, un
provvedimento che riforma interamente la disciplina sulla privacy, ma poche sono le aziende
che hanno esattamente capito
quale sia la portata di questo decreto legislativo e l’obbligatorietà
degli adempimenti in esso contenuti. A cominciare dalle scadenze
che, sembra quasi, seguano le
difficoltà delle imprese o i disagi
del Garante.
Tutte le aziende, a prescindere
dalle dimensioni e dalla natura
dell’attività esercitata, sono obbligate a una serie di adempimenti fortemente sanzionati, sia
dal punto di vista civile, sia pe-
nale. Il codice richiede l’adozione di diverse misure minime di
sicurezza per garantire che i dati trattati siano custoditi e controllati secondo alcune misure
minime di sicurezza. Per esempio ogni persona che acceda alla
banca dati, dall’anagrafica dei
clienti ad archivi contenenti dati sensibili, deve essere preventivamente incaricata e riconosciuta dal sistema attraverso un
identificativo associato a una
password, modificata all’atto del
primo collegamento e non deve
essere agevolmente riconducibile al proprietario. In generale,
quindi, notificazione, informativa, consenso, nomina degli incaricati, misure minime di sicurezza sono solo alcuni degli obblighi con i quali le imprese devono familiarizzare.
La notificazione del trattamento riguarda solo alcune specifiche tipologie di dati e, in questi
limiti, è rappresentato l’adempimento iniziale per il legittimo
utilizzo degli stessi dati. La notificazione, per quanto riguarda
le nuove attività, deve essere effettuata prima dell’inizio del
trattamento. Per le attività già
iniziate al 1° gennaio 2004 essa
avrebbe dovuto essere effettuata
entro il 30 aprile scorso. L’adempimento in questione spetta
al titolare del trattamento, ossia
alla persona fisica o giuridica
cui competono le decisioni in
ordine alle finalità e alle modalità di gestione dei dati personali. La notificazione può essere inviata al garante solo per
via telematica.
Per quanto riguarda la nomina
del responsabile e degli incaricati, il titolare, qualora lo ritenga opportuno può nominare
uno o più responsabili per il
trattamento dei dati. Quest’ultimo può essere anche una persona giuridica e deve essere individuato tra soggetti che per
esperienza e affidabilità forniscano idonea garanzia nel pieno rispetto della normativa vigente. Gli incaricati sono le persone fisiche autorizzate a compiere operazioni di trattamento
dei dati cui hanno accesso, anche se occasionale. Anche la nomina degli incaricati deve avvenire per iscritto.
L’informativa ha carattere generale, non sono previste ipotesi
di esenzione. L’articolo 13 del
codice prevede che l’interessato
debba essere preventivamente
informato, oralmente o per
iscritto, delle finalità e delle modalità del trattamento cui sono
destinati i dati: della natura obbligatoria, o facoltativa del conferimento dei dati, delle conseguenze di un eventuale rifiuto
di rispondere, dei soggetti e delle categorie di soggetti ai quali
i dati personali possano essere
comunicati o che possano venirne a conoscenza, in qualità
di responsabili o incaricati (anche le generalità dei dipendenti
e dei collaboratori), nonché dell’ambito di diffusione dei dati
stessi; dei diritti di accesso ai
dati detenuti dal titolare di cui
all’articolo 7 del codice, degli
estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello stato e
del responsabile (in caso di più
responsabili è sufficiente indi-
17 INCHIESTA
Luca Botti
responsabile del servizio legale
e del personale Mega Italia
nerabilità e a correggere difetti.
Questi dati vanno ulteriormente protetti con ulteriori misure
quali strumenti elettronici che
evitino intrusioni, procedure per
la generazione e la custodia di
copie di sicurezza dei dati
(backup), istruzioni organizzative e tecniche per la custodia e
l’uso dei supporti rimovibili su
cui sono memorizzati i dati, al
fine di evitare accessi non autorizzati e trattamenti non consentiti, disposizioni per riutilizzare o distruggere i supporti rimovibili sui quali sono registrati questi dati; strumenti per il
ripristino delle disponibilità dei
dati e dei sistemi entro tempi
certi e compatibili con i diritti
degli interessati, non superiori a
sette giorni. Infine, i dati devono essere salvati su copie di riserva almeno settimanalmente
nel rispetto di disposizioni tec-
niche e organizzative. Una delle
misure minime di sicurezza più
importanti per le imprese è poi
la predisposizione del Dps (Documento programmatico sulla
sicurezza). Questo documento
va predisposto annualmente e
deve contenere: l’elenco dei trattamenti di dati personali effettuati dal titolare, la distribuzione
dei compiti e delle responsabilità nell’ambito delle strutture
preposte al trattamento dei dati,
l’analisi dei rischi che incombono sui dati, le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la
protezione delle aree e dei locali
rilevanti ai fini della loro custodia e accessibilità, la descrizione
Fabrizio Bressani
direttore marketing ItWay
dei criteri e delle modalità per il
ripristino della disponibilità dei
dati in seguito a distruzione o
danneggiamento, la previsione
di interventi formativi degli incaricati del trattamento, la descrizione dei criteri da adottare
per garantire l’adozione delle
misure minime di sicurezza da
garantire nel caso in cui i dati
personali siano affidati all’esterno della struttura del titolare, infine, per i dati personali idonei
a rivelare lo stato di salute e la
vita sessuale dell’interessato, l’individuazione dei criteri da adottare per la cifratura o per la separazione di questi dati dagli altri personali dell’interessato
COSA PENSA IL CANALE
“In prima battuta, se l’azienda
non ha consapevolezza del rischio che corre senza mettersi
al riparo, qualsiasi
prodotto non sarà
efficace. Nel mondo
enterprise osservo
che, se da un lato
gli acquisti di prodotti informatici sono positivi gli interventi formativi in
tal proposito sono
in flessione. Nelle
Pmi manca invece
la consapevolezza
di tradurre questi
obblighi in comportamenti lavorativi. Se vissuti
invece come un semplice obbligo burocratico, non sortiranno
l’effetto voluto”. Parola di Fabrizio Bressani, direttore marketing Itway. “Nelle Pmi la sicurezza in generale è percepita come costo senza alcun riferimento
al rischio e questo è un peccato
- sostiene Bressani - perché in
questo modo si ferma anche l’opportunità di fornire un trattamento dei dati sicuro. Una situazione infrastrutturale poi che
non facilita l’analisi e la consulenza alle imprese è l’estrema
frammentazione delle imprese
che sono spesso di dimensioni ridotte e che sono difficili da raggiungere. Il bussare alle porte di
tutte le piccole aziende italiane si
traduce spesso in costi considerevoli anche per coloro i quali
devono fare consulenza e questo
andrà poi a influire sul prezzo
che diventerà proibitivo per le
stesse micro realtà”, conclude
Bressani.
Lo studio e la dedizione non solo
al decreto legislativo 196/2003
ma a tutta la normativa sulla sicurezza, sono i consigli per iniziare a capire qualche cosa - spiega Simona Passamonti, marketing assistant Wellcome -.
“Su questo dlgs abbiamo realizzato ad hoc dei corsi via cavo, attraverso la nostra Wellcome Tv
con la presenza di un avvocato
che ha spiegato punto per punto
tutti i passaggi chiave della normativa ai nostri punti vendita.
Il corso è stato suddiviso in due
sezioni: nella prima l’hanno fatta
da padrone i dati giudiziari e sensibili, la seconda ha visto l’invio
ai negozi di una manualistica che
step by step ha presentato come
approcciarsi alle aziende. Abbiamo adottato diverse linee d’azio-
20 GENNAIO 2005
carne uno). Il consenso è uno
dei requisiti indispensabili per
procedere legittimamente al
trattamento dei dati personali di
un terzo. Deve essere libero,
specifico e dato per iscritto, una
volta che l’interessato sia stato
fornito dell’informativa. Attenzione poi alla distinzione tra
consenso al trattamento dei dati personali, per il quale sono
previste esenzioni, e consenso
per il trattamento dei dati sensibili, che necessitano di maggiore tutela.
Sul fronte delle misure di sicurezza, tutti coloro i quali trattano dati personali devono adottare una serie di misure minime
per garantire un certo livello di
protezione delle informazioni
presenti nei propri database. In
questo caso, si deve distinguere
a seconda che il trattamento dei
dati avvenga sulla base di un
semplice archivio cartaceo oppure con strumenti informatici.
Il codice fa riferimento ad alcune misure minime che sono rivolte a tutelare la sicurezza di
tutte le tipologie di dati personali dalle nuove criticità: questi
ultimi devono essere protetti
contro il rischio di intrusione e
dall’azione dei virus, tramite l’attivazione di strumenti elettronici idonei, come antivirus e firewall, da aggiornare costantemente. Gli strumenti elettronici, nel caso di dati sensibili e
giudiziari, devono essere aggiornati periodicamente con programmi volti a prevenire la vul-
ne la prima delle quali prevedeva subito la messa in guardia dell’interlocutore facendogli notare
i rischi che avrebbe corso se non
avesse prestato attenzione agli
obblighi di legge. Il secondo passaggio - spiega Passamonti - ci ha
visti impegnati nel far comprendere che l’adeguamento alla privacy corrispondeva al miglioramento dei processi produttivi
aziendali, tutto questo documentandolo attraverso la redazione
del Dps. Wellcome Tv ha permesso sia agli affiliati più lontani di seguire i corsi online senza
spostarsi dal proprio punto vendita, sia di rivedere gli stessi
Simona Passamonti
marketing assistant Wellcome.
corsi a coloro i quali avessero
perso qualche puntata. Infine continua Passamonti - per capire le esigenze degli utenti finali
che avessero necessità di conoscere i punti vendita specializzati in consulenza sulla privacy
abbiamo dato loro la possibilità
di ‘esprimersi’ attraverso un’apposita casella di posta elettronica
([email protected])”.
(Per leggere le domande e le ri-
INCHIESTA 18
sposte più frequenti sulla privacy
digitare www.wellcome.it/ servizi/Privacy2004.asp)
20 GENNAIO 2005
LE OFFERTE DEI VENDOR
“Abbiamo lavorato per far capire l’aggiornamento dei sistemi
operativi, per avere un’infrastruttura che garantisca un rispetto delle attività e della privacy degli utenti. Quello che
evidenziamo - spiega Francesco
Orru, responsabile security strategy & initiatives Microsoft Italia - è l’attenzione ai sistemi
operativi di casa propria e lo
facciamo organizzando incontri
con i consulenti delle piccole
imprese. Uno dei temi caldi per
la media impresa è quello di fare aggiornamenti in modo governato”. Per Computer Associates “C’è una forte enfasi sulle
credenziali e sulle garanzie per
una corretta gestione dell’identità e l’accesso delle persone ai
dati che riguardano la privacy.
Al di là dei soliti antivirus, antispyware che devono essere
presenti costantemente - dice
Elio Molteni, director product
marketing security Computer
Associates Emea - il nuovo testo unico enfatizza la gestione
delle credenziali ed è per que-
sto che noi proponiamo delle
soluzioni che aiutino le imprese a gestire l’identità delle persone per l’accesso ai dati. A questo proposito non dobbiamo dimenticare la nostra famiglia
eTrust”.
Iomega ha predisposto due categorie di prodotto per andare
incontro alle aziende alle prese
con il codice sulla privacy. La linea di storage server Nat, con la
Francesco Orru
responsabile security strategy
& initiatives Microsoft Italia
quale è possibile filtrare l’accesso ai dati da parte di malintenzionati, mentre altro aspetto è la
removibilità del dato. “Con una
nuova linea di prodotti garantiamo - sostiene Giacomo Mosca, key account manager resellers di Iomega - il backup su
cartucce basate su tecnologia a
disco fisso. Siccome si tratta di
periferica removibile, consente
di mettere in sicurezza i dati e i
sistemi operativi”.
Per Cisco contano maggiormente le procedure: “L’introduzione del dlgs 196/2003 la vedo
come un’ottima occasione per
gli utilizzatori di sistemi informativi di fare il punto della situazione. Come Cisco, ci siamo
dedicati alla strategia del self
defending network, che è partita prima dell’entrata in vigore di
questo decreto. Quello che ho
notato - spiega Marco Misitano,
consulting system engeneer responsabile sicurezza Cisco Systems - è che ci siamo trovati di
fronte per la prima volta a una
Elio Molteni
director product marketing security
Computer Associates Emea
20 GENNAIO 2005
INCHIESTA 20
serie di requisiti legali ben strutturati e l’ultima proroga è stata
necessaria. Le imprese non si erano quasi mai poste i problemi a
cui si sono poi trovate di fronte
studiando il decreto legislativo
196 e troppo tardi si sono accorte
di non avere in casa soluzioni ad
hoc. Direi che il dlgs 196 non è
solo una questione di prodotto
ma procedurale”.
Le soluzioni Tandberg Data sono suddivise a seconda che si
tratti di piccola, media e grande
impresa. Per le piccole e medie
aziende, Axel, il distributore in
Italia dei prodotti TD, vengono
utilizzati i dispositivi basati su
tecnologia Slr, prodotti capaci di
gestire le esigenze di backup
aziendali, garantendo la scalabilità delle soluzioni.
StorageTek propone Atempo Time Navigator, una piattaforma
software per backup e recovery
che consente di criptare i dati
del cliente e permette il backup
simultaneo in doppia copia,
mentre per Rosa Auricchio, direttore marketing e comunicazione StorageTek, l’introduzione di dispositivi dischi ad alta
capacità e basso costo che usano tecnologia Serial Ata e dispositivi removibili come le
unità a nastro rispondono alle
Giacomo Mosca
key account manager resellers Iomega
esigenze di backup della Pmi.
“Tramite i nostri partner proponiamo soluzioni calate sulle
specifiche esigenze di ogni
realtà”, sostiene Sergio Vantusso, direttore marketing Sud Europa Medio Oriente e Africa
McAfee. “Per esempio le soluzioni McAfee ASaP per la sicurezza in outsourcing sono adatte ad aziende che non hanno risorse e competenze in materia
di sicurezza al loro interno”.
Anche l’offerta di Panda Software è variegata e con le nuove
tecnologie, chiamate TruPrevent, non è più necessario attendere lo sviluppo di soluzioni spe-
cifiche per far fronte agli attacchi
informatici.
“Symantec - chiarisce Giuseppe
Borgonovo, pre sales technical
manager di Symantec - ha soluzioni per varie esigenze di protezione”. Per difesa perimetrale,
controllo degli accessi, difesa da
intrusioni e da codice malizioso
Symantec propone l’appliance
Symantec Gateway Security; soluzioni antivirus enterprise con
funzionalità avanzate mentre per
le copie dei dati e il backup Symantec consiglia Ghost e altre
soluzioni di backup.
“La nuova release della Small Business Edition di Sophos è stata
progettata per rispondere alle necessità di sicurezza delle aziende
con meno di 100 dipendenti”, dice Paola Casiraghi, marketing coordinator di Sophos Italia. Per
proteggere il lavoro e la privacy,
Sophos propone PureMessage,
soluzione antispam.
Per Trend Micro, invece, già con
la soluzione Trend Micro InterScan Web Security Suite v2.0, le
aziende possono disporre di una
buona soluzione per la loro difesa.
Anche Symbolic, come sostiene
Luca Ronchini, presales engineer,
ha due prodotti come nCipher
SecureDB, che usa la crittografia
per proteggere i database e impe-
disce agli utenti non autorizzati
di accedere al database o a parti
di esso e SecureDB per garantire
la riservatezza dei dati del database.“Tutti i prodotti della piattaforma di sicurezza SonicWall - puntualizza Davide Carlesi, country
manager SonicWall - hanno integrate le funzionalità di sicurezza
richieste dal dlgs 196/2003; questi servizi sono aggiornati in modo automatico e trasparente per
l’utilizzatore finale.
Infine Rsa Security rende disponibile un’offerta di autenticazione per garantire la sicurezza
delle transazioni - specifica Paolo Caloisi, country manager Rsa
Security Italia - con una tecnologia trasversale alle piattaforme in grado di verificare da chi
e da dove provengono i dati, a
chi e dove sono diretti a cui si
aggiunge il sito www.rsasecuritycom/node. asp? id =2763
dove si possono scaricare i documenti sulle leggi del proprio
Paese e valutare i provvedimenti più adatti.
L’ARTE DELLA CONSULENZA
Marco Misitano
consulting system engeneer responsabile
sicurezza Cisco Systems
PROROGHE A PIOGGIA
A ridosso della
scadenza di
redazione del
Dps, che era
fissata per il 31
dicembre scorso,
ecco puntuale,
arrivare la
proroga. I motivi
Allegra Stracuzzi
di questo
avvocato specializzato
posticipo sono
in diritto dell’informatica
oscuri. Ritardo
delle imprese,
disagi del
Garante, sono tante le voci che si
alternano a questo proposito. L’unico
dato di fatto è che il decreto legge
n.266 del 9 novembre 2004, pubblicato
sulla Gazzetta Ufficiale n.264 del 10
novembre scorso ha prorogato al 30
giugno 2005 la scadenza
dell’adempimento previsto dall’articolo
180, comma 1 del dlgs 196/2003 che di
fatto sposta di sei mesi il termine per la
redazione del Dps, in base al nuovo
Codice di protezione dei dati personali.
Slitta anche il termine per
l’adeguamento da parte del titolare del
trattamento che dispone di strumenti
elettronici, che per ragioni tecniche non
consentono in tutto o in parte
l’immediata applicazione delle misure
minime previste dall’allegato b.
Per queste situazioni, il termine per
l’adeguamento passa dal 31 marzo 2005
al 30 settembre dello stesso anno.
“La proroga al 30/6/2005 ha portato
molte aziende a tirare un sospiro di
sollievo. In realtà la situazione dal punto
di vista giuridico non cambia molto. Ci
sono imprese che si sono già adeguate e
ci sono quelle che vivono di proroghe”.
Questo è lo scenario tracciato da Allegra
Stracuzzi, avvocato specializzato in
diritto dell’informatica
(www.stracuzzi.it), nel convegno dal
titolo “Tecniche e strumenti per la
sicurezza e la privacy dei dati”,
organizzato a Milano, durante l’evento
“Sicurezza 2004” da Assintel in
collaborazione con Anie (Federazione
nazionale imprese elettroniche ed
elettrotecniche), per presentare lo stato
dell’arte in materia di privacy e sicurezza
in rapporto al nuovo Codice in materia
di protezione dei dati personali.
Rosa Auricchio
direttore marketing e comunicazione
StorageTek Italia
In sostanza, il rimandare l’adeguamento
di altri sei mesi non risolve le difficoltà
se le aziende attendono l’ultimo
momento per mettersi in regola, se non
si informano correttamente
sull’argomento, se non fanno
formazione ai dipendenti, se non
introducono misure di sicurezza
adeguate.
“L’allegato B del codice prevede che le
password per accedere ai dati sensibili
debbano avere almeno 8 caratteri”, ha
spiegato Stracuzzi. E incredibilmente
esistono ancora aziende che
dispongono di sistemi obsoleti, che non
permettono la costruzione di password
di questa lunghezza. È necessario
l’aggiornamento delle procedure
d’accesso, servono politiche di disaster
recovery, sistemi di criptazione dei dati
sensibili.
E se il Dps è un documento che può
essere redatto in un paio di giorni,
l’importante è che le imprese si
preparino per tempo, con
un’architettura appropriata
all’adeguamento alla normativa.
Cosa significa per un’impresa
dover fare i conti con un gigante sconosciuto come il codice sulla privacy? CRN lo ha
chiesto a due società che oltre
a realizzare programmi ad hoc,
sono in prima persona sul
campo della consulenza. “Abbiamo varie fasce di mercato
per diversi target aziendali. In
occasione dell’ultima proroga,
dobbiamo distinguere - dice Vito Ziccardi, amministratore
Media System Service - la micro e la piccola impresa consi-
Paolo Caloisi
country manager Rsa Security Italia
21 INCHIESTA
Miska Repo
regional manager F-Secure per l’Italia
dera positivamente la proroga
sostenendo il maggior tempo
di adeguamento a loro disposizione, lo stesso vale per la media impresa che, dal punto di
vista procedurale, ha tempi di
messa a norma più lunghi.
Quindi, questo periodo in più
che il legislatore ha concesso
va affrontato positivamente, a
mio avviso - dice Ziccardi - la
proroga è arrivata in un momento in cui le aziende avevano bisogno. Il consiglio che mi
sento di dare è di non attendere sempre l’ultimo minuto perché il processo di messa a norma non è solamente il venire in
contatto con gli archivi, ma sono tutte le clausole contrattuali che regolamentano l’intreccio
di dati nelle aziende.
Due sono i dati fondamentali
da identificare: i flussi reali nell’azienda (permessi di soggiorno, schede di valutazione) e i
dati commerciali sui potenziali
clienti, e le aziende devono
partire da zero con i loro con-
Giuseppe Borgonovo
pre sales technical manager Symantec
con apparecchi elettronici accessibili da rete propria. La
nuova normativa - dice Mario
Brocca, analista Zucchetti estende l’obbligo a tutti coloro
i quali trattano dati sensibili
con apparecchi elettronici,
quindi stand alone che ricoprono più aziende rispetto a
quelle previste dal dpr.
Inoltre si è data una stretta al
sistema di protezione dei dati
attraverso una username e una
password di almeno otto caratteri non identificabili”.
L’IMPORTANZA
DELLA FORMAZIONE
L’allegato B del Testo unico sulla Privacy prevede anche interventi formativi per gli incaricati
del trattamento allo scopo di
renderli consapevoli dei rischi
che incombono sui dati, delle
misure adatte a prevenire gli
eventi dannosi, degli elementi
più rilevanti all’interno della disciplina sulla protezione dei dati
personali in rapporto alle attività
dell’azienda, delle responsabilità
che ne derivano e delle modalità
per aggiornarsi sulle misure adottate.
“Molti dipendenti non sanno di
ricoprire un ruolo rilevante nella sicurezza della loro azienda”,
20 GENNAIO 2005
sulenti”, conclude Ziccardi.
Deve essere realizzata un’attenta analisi dei rischi e questo costringe il titolare a ristrutturare
le procedure aziendali.
“La nuova normativa ha amplificato alcuni degli adempimenti che erano già previsti dal dpr
318/99.
In passato il Dps dovevano predisporlo solo coloro che trattavano dati sensibili o giudiziari
INCHIESTA 22
20 GENNAIO 2005
LA PAROLA AL GARANTE
vecchi adempimenti”.
“Il problema non è
È questo uno dei commenti
concedere sei mesi in più ad
di Giovanni Buttarelli,
aziende e pubblica
segretario generale del
amministrazione, ma come è
Garante per la protezione
affrontato il passo della
dei dati personali, che
proroga. Da come è stata
interpellato da CRN, ha
commentata, sembrerebbe
evidenziato che la richiesta di
che siano stati concessi sei
una proroga al decreto
mesi in più per poter
legislativo 196/2003 “non è
adempiere in generale a tutti
Giovanni Buttarelli
segretario generale del
stata richiesta dalle imprese
gli obblighi di legge.
Garante per la protezione
bensì da alcune pubbliche
Per quanto riguarda la
dei dati personali
amministrazioni”. Il segretaresponsabilità civile gli
rio generale ha posto l’accenobblighi di adeguamento al
to anche sul Dps specificando che è stato
dettato normativo sono già in vigore.
semplificato e adattato a seguito di una
Per quanto riguarda gli obblighi di
consultazione pubblica e ha evidenziato
carattere penale la nuova normativa ha
un effetto d disarmonia. “Con effetto
specificato che solo per le nuove misure
della proroga, non si capisce l’effetto
di sicurezza è stato concesso più tempo
giuridico della stessa verso i procedimenti
per quelle già previste restano in vigore i
sanzionatori in corso. La domanda da
porsi è infatti che cosa possa succedere a
un soggetto che è già stato ‘pizzicato’ in
difetto per effetto della proroga. Ciò che
spesso si dimentica - continua Buttarelli è che la sicurezza, prima di tutto, è un
valore e non che lo diventi perché lo
impone la legge”. CRN ha chiesto a
Buttarelli di dare qualche consiglio alle
Pmi che devono affrontare ancora il tema
della sicurezza. “Tenere conto dei
chiarimenti dell’autorità che semplificano
gli adempimenti. Essere cauti nel ricorso
alla consulenza. Non sempre, infatti,
emergono delle soluzioni realmente
proporzionate alle effettive esigenze
delle Pmi. Avviare rapporti di cooperazione con organismi associativi (per
esempio Cna) per predisporre operazioni
in modo seriale”, conclude Buttarelli.
LA VOCE DEI RIVENDITORI
Paola Casiraghi
marketing coordinator Sophos Italia
ha detto Giorgio Giudice, del comitato direttivo e del comitato
tecnico e scientifico del Clusit
(www.clusit.it), l’Associazione
italiana per la sicurezza informatica. “La trascuratezza nel gestire
le password, la leggerezza nel dare informazioni a terzi, nello scaricare programmi da internet
possono mettere a repentaglio la
sicurezza delle reti aziendali. Personale non consapevole di rischi
e precauzioni rappresenta a propria volta un rischio per l’azienda”. Per questo la formazione deve essere rivolta non solo a quanti lavorano nell’ict, ma anche a
chi si occupa di affari legali, a responsabili outsourcing, a quanti
lavorano in ambito direzione acquisti e risorse umane.
Prioritario, infine, è formare il
management, che potrà implementare strategie di sicurezza
adeguate.
Pochi pacchetti software, quelli
già in circolazione sono un po’
costosi. Il passo principale che
le aziende devono fare, ancora
prima della strumentazione
software, è studiare la documentazione sulla privacy. Questi sono alcuni dei commenti
raccolti da CRN presso due rivenditori. “Sono d’accordo sul
discorso legato alla privacy commenta Francesco Cassano,
titolare Pc-House di Bari - c’è
necessità di tutelarla oltre che
adattarla alla tipologia di imprese. Ritengo, per esempio, che
per uno studio di avvocatura,
dove transitano parecchi dati
sensibili sia più importante applicare regole di tutela verso i loro clienti. In circolazione, vedo
pochi pacchetti e quelli che ci sono costosi, alcuni dei quali lo so-
Mario Brocca
analista Zucchetti
no perché il prezzo è direttamente proporzionale”.
Sulla documentazione e lo studio
della normativa, prima di tutto,
punta l’attenzione Ettore D’Errico, titolare di Puntoufficio a Bari.
“La normativa era già presente, si
tratta solo di studiare meglio il
decreto legislativo appena emanato. I clienti dovrebbero affrontare i dettami normativi secondo
la loro realtà e documentarsi altrimenti non ci sono software
che tengano”.
IL DLGS 196/03 PER
LE PMI? NECESSARIO
MA ESAGERATO
Davide Carlesi
country manager SonicWall
Cosa pensano le Pmi del decreto legislativo e come si stanno
attrezzando? Gli intervistati sono consapevoli dell’importanza
della salvaguardia dei dati personali e sono concordi nel dire che
un miglioramento delle procedure in materia di sicurezza era
necessario; la sensazione che entrambi manifestano, tuttavia, è
quella di un decreto che interviene in modo esagerato e che
impone alle Pmi spese notevoli
per l’adeguamento a quanto è
imposto dalle nuove norme.
1380 è un’azienda sita a Milano
specializzata nella vendita di arte, design e modernariato, che
impiega una decina di persone.
“Il decreto legislativo196/2003
tocca argomenti di importanza
fondamentale”, spiega Giovanni
Cantarella, amministratore delegato della società. “Riteniamo
corretto tutelare i nostri clienti,
è nel nostro interesse tutelarli al
massimo. Non condividiamo,
per esempio, la scelta di alcune
aziende di trasmettere i loro dati ad altre società a scopi commerciali. Una nuova normativa
in materia di sicurezza era necessaria, ma forse bastava un ritocco alle norme esistenti in precedenza. Alcuni aspetti inseriti
nel decreto sono esagerati, per
esempio non è stato tenuto conto dell’impatto economico richiesto alle imprese. Investire
nella salvaguardia dei dati è importante, ma non sono state previste agevolazioni per le Pmi,
che devono affrontare investimenti compresi tra i 5 mila e i
50 mila euro circa, una cifra non
indifferente. Le nuove normative non cambieranno significativamente il rapporto con fornitori e dipendenti. Le problemati-
Sergio Vantusso
direttore marketing Sud Europa
Medio Oriente e Africa McAfee
che maggiori, probabilmente, si
avvertiranno nel rapporto con i
clienti, soprattutto quelli che vedono le nuove procedure come
qualcosa di strano”. Mega Italia
è invece una società con 105 dipendenti, che della sicurezza fa
il proprio mestiere; commercializza infatti prodotti e impianti
di allarme e di controllo per abitazioni, alberghi, aziende, banche, enti e negozi. “Abbiamo attentamente studiato il dlgs
196/03 e sicuramente si tratta di
una semplificazione rispetto alla
vecchia Legge 675/96 - precisa
Vito Ziccardi
amministratore Media System Service
Luca Botti, responsabile del servizio legale e del personale di
Mega Italia - una semplificazione
intesa come perfezionamento
delle procedure di riservatezza
dei dati, loro conservazione, trattamento, comunicazione. Molte
cose potrebbero migliorare, in
quanto l’impegno richiesto per la
messa in pratica della normativa
è troppo elevato e andrebbe ridotto da parte del legislatore”.
a cura di S. Belviolandi e L. Peschiera