Ma i basa di dati publichi sò veramente sicuri?
A storia di Pasquale Striano, investigatu per l'accessu micca autorizatu à i sistemi di l'informatica, pone u prublema di a prutezzione di i dati persunali cullucati in basa di dati publichi. L'articulu di Vitalba Azzollini presa da u blog Phastidio
L' affare chì implica u tenente di a Guardia di Finanza, Pasquale Striano, sottumessu à l'inchiesta per l'accessu micca autorizatu à i sistemi di l'informatica, pone u prublema di a prutezzione efficace di e dati persunali cullucati in basa di dati publichi.
In u casu in quistione, questi sò quelli chì ponu esse cunsultati per investigà i rapporti di transacciones sospette (SOS) da u "gruppu SOS", à a Direzzione Naziunale Anti-Mafia: da Sidna / Sidda, per verificà e correlazioni trà i rappurtati. sughjetti è i prucessi ghjudiziali in corso corsu per u crimine urganizatu è u terrurismu, in Sdi, una basa di dati spartutu trà tutte e forze di pulizza, in Serpico, di l'Agenzia di u Revenue, è fora.
Ma u prublema di a sicurità di i nostri dati supera i limiti di u casu Striano.
REGULI DI PROTEZIONE DI DATI
Prima di tuttu, hè necessariu di spiegà u quadru legale in u quale si mette u casu in quistione. In 2018, u trattamentu di e dati persunali per i scopi di prevenzione è ripressione di crimini da e forze di polizia hè statu regulatu (Decretu Legislativu n. 51/2018). Hè necessariu chì i dati esse raccolti per scopi specifichi, espressi è legittimi; chì ùn sò micca eccessivi in quantu à questi scopi; ch'elli sò sottumessi à esaminazioni periodiche per verificà chì hè necessariu di cuntinuà à mantene, è ch'elli sò tandu sguassati. Hè ancu previstu chì una prutezzione adatta di e dati da u trattamentu illecitu hè garantita per mezu di misure tecniche è urganisazione. E misure chì devenu esse adatte à u risicu è à a natura di e dati trattati, vale à dì u più protettive pussibule in certi cuntesti. Sembra chjaru chì e basa di dati implicati in u casu Striano eranu trà quelli chì anu da esse chjusi in u modu più rigurosu. Ma andemu più in là.
Ancu da 2018 hè u regulamentu (Decret Presidential No. 15), implementendu i principii di u Codice in quantu à a prutezzione di e dati persunali, chì regula operativamente u trattamentu di tali dati per scopi di polizia. L'accessi è l'operazioni ( log files ) realizati da l'operatori autorizati devenu esse tracciati in registri speciali, da mantene per cinque anni; è i schedarii di logu ponu esse aduprati per scopi di cuntrollu internu, per guarantiscia l'integrità è a sicurità di e dati, è ancu per verificà a liceità di u so trattamentu. Cuntrollu chì, dunque, deve ancu esse implementatu per assicurà chì ùn ci sò micca abusi, vale à dì chì e dumande di basa di dati sò sempre proporzionate à i bisogni investigativi reali, è mai "trawled".
Dunque, in riassuntu, per prutege e dati persunali, ùn deve esse micca solu misure urganisazione interna, chì furnisce ex ante quali sughjetti sò auturizati per processarli, per quale scopi è secondu chì metudi, frà altri cose; ma dinò cuntrolli ex post precisi, per assicurà chì i dati stessi sò "manipulati" da l'operatori individuali in i limiti stabiliti. Evidentemente, questu hè qualchì volta micca u casu, è l'avvenimenti recenti parenu dimustrà questu. A nutizia riguardanti u casu Striano, è micca solu questu, pare chì mette in risaltu e carenze in i cuntrolli di l'accessu à e basa di dati.
Ma quale hè in ultimamente rispunsevuli di a gestione di sti banche, è dunque ancu di definisce e misure di cuntrollu è di verificazione nantu à quelli chì manighjanu i dati ?
RESPONSABILITÀ
Hè a respunsabilità di i capi di e strutture amministrative micca solu di detta regule internu per regulà ogni attività chì cuncerna l'esfera privata di l'individui, dunque i so dati persunali, ma ancu di realizà cuntrolli adatti à tali attività. Il s'agit à la fois d'assurer à l'avance que l'accès aux bases de données ne se fasse que par des personnes autorisées, de la manière et pour les finalités prévues, et de s'assurer, par la suite, que les limites prescrites soient respectées.
Autrement dit, il ne suffit pas de stipuler que le responsable de la consultation des bases de données doit avoir des certificats d'accès et des mots de passe à renouveler tous les quelques mois, ni que l'accès soit suivi par l'informatique – comme l'ont été ceux de Striano – s'è u sistema tandu hè lasciatu abbandunatu, senza surviglianza da u cuntrolliu di dati, vale à dì u cima gestione di a struttura, chì hè tandu rispunsevuli di violazioni privacy .
L'affare Striano pare dimustrà cumu, ancu à livelli più altu ch'è quellu di l'impiigatu di a basa di dati individuali, ùn ci hè prubabilmente qualchì volta un rispettu maiò per e regule chì prutegge a privacy , in particulare in quantu à u cuntrollu ex post di l'accessu.
E FRAGILITÀ DI BASES DI DATA
U prublema ùn cuncerna micca solu u casu cuncrettu da u quali sò partiti, è questu hè ghjuntu durante l'audizione à a cummissione parlamentaria anti-mafia nantu à l'affare Striano. "A debulezza straordinaria di e nostre reti informatiche, in particulare di l'amministrazione di a ghjustizia" hè stata nutata da Giovanni Melillo, procuratore naziunale anti-mafia. "U prublema di l'infrastruttura IT mette in risaltu chì ci hè un accessu illegale in ogni locu", hà cunfirmatu u procuratore di Perugia, Raffaele Cantone.
E parolle di i dui magistrati parenu delineà una figura di sloppiness generalizata in a gestione di a privacy . E misure per guarantisce i dati persunali, in particulare in quantu à i cuntrolli di l'attività di l'operatori individuali, parenu esse estremamente carenti.
Al di là di u casu Striano, saria utile per fà una luce nantu à a sicurità di u cumplessu di basa di dati publicu è à quelli chì duveranu guarantallu. Quelli chì anu a cumpetenza anu da truvà u curagiu di guardà dentru è mette in luce e rispunsabilità in a prutezzione di a privacy , à tutti i livelli. Ancu quelli chì nimu ùn parla.
Questa hè una traduzzione automatica da a lingua italiana di un post publicatu in StartMag à l’URL https://www.startmag.it/economia/caso-striano-sicurezza-banche-dati-pubbliche/ u Sat, 30 Mar 2024 06:05:44 +0000.