Re: Proroga DPSS?

Luca de Grazia wrote:
> 
> La  domanda da porsi sarebbe (posto che probabilmente nessun controllo
> sarebbe scattato prima del 01.07.2004):
> 
> che  tipo  di "esimente" sarebbe di fronte ad un giudice penale ovvero
> che  tipo di "scusante" sarebbe in un giudizio civile ex art.2050 c.c.
> tale "chiarimento"? :-)
> 
> Come direbbe un caro collega....bah! :-)))
> 

Ecco un parere che mi sembra del tutto chiaro e condivisibile :)

Vorrei però fare qualche considerazione, che chiaramente non vuole
essere in contrasto con quanto detto da Luca:
- ci possiamo aspettare pareri vincolanti, interpretazioni autentiche o
anche solo opinioni più autorevoli, in tempo utile perché un'azienda
possa prendere una qualsivoglia decisione? Nel mare di leggi e leggine
che negli anni hanno interessato la sicurezza informatica, che tutte
hanno lasciato, quale più, quale meno, grossi dubbi interpretativi, non
ricordo un solo caso in cui i dubbi siano stati in qualche modo fugati,
se non occasionalmente ad anni di distanza da una legge successiva; mi
sembra quindi che il parere del Garante sia quanto di più autorevole ci
si possa aspettare, e anzi mi sembra una situazione molto più comoda e
gestibile rispetto a tante leggi che nel nostro campo sono tuttora
applicate secondo l'interpretazione del "buonsenso più comune";
- sul problema della data di applicazione, non mi pare che ci siano
differenze fra gli obblighi di un'amministrazione pubblica e quelli di
un privato, quindi un giudice che smentisse il parere del garante
riguardo a un privato, di fatto lo smentirebbe anche riguardo a una
P.A.; naturalmente è possibile...
- da chi può essere controllata la presenza del DPS in un'azienda da qui
a giugno? Questo qualcuno si prenderebbe il disturbo di segnalare una
presunta carenza, anche di fronte a un parere opposto del Garante? (qui
temo che  purtroppo la risposta potrebbe essere si)
- a questo punto, si porrebbe il problema dell'interpretazione del
giudice, e della validità del parere del Garante come "scusante"... ma
se vogliamo seguire questa strada, allora si tratta semplicemente di
evitare le interpretazioni e in caso di dubbio scegliere sempre la via
più cautelativa, ovvero marzo a tutti i costi;
- le azende per le quali la misura non è nuova, di fatto sono state
irregolari per anni, senza nessun dubbio interpretativo; porsi tutti
questi problemi per i pochi mesi in cui hanno almeno una scusa credibile
mi sembra poco realistico;
- per la maggior parte delle aziende, che speranze ci sono di fare
comunque un DPS corretto entro marzo? Perché se il DPS non è conforme ai
requisiti, non credo che in caso di controllo sia molto meglio che non
averlo fatto... a questo proposito, sono di parere opposto alla maggior
parte delle opinioni espresse su questa lista: secondo me la maggior
parte dei soggetti che devono preparare il DPS *sono* tutti uguali e
trarrebbero grande vantaggio da un modello o una struttura standard a
cui appoggiarsi: sono le centinaia di migliaia di piccole aziende, i cui
dati personali sono solo i dati minimi sui dipendenti e l'archivio
clienti/fornitori, e il cui sistema informativo è costituito da un
armadio, due pc, e una connessione ADSL con un
router/firewall/macinacaffè configurato dal provider, e che non avranno
mai per le mani un consulente che gli possa fare un lavoro non dico
perfetto, ma anche solo migliore di un modello standard.

ciao

- Claudio

-- 

Claudio Telmon
claudio@xxxxxxxxxx
http://www.telmon.org




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List