Re: VNC e perplessita'

Cesare D'Amico wrote:
> Alle 23:09, venerdì 17 ottobre 2003, tlei ha scritto:
>
>>Inoltre imho mi pare assolutamente scorretto e perseguibile come
>>comportamento, in quanto puo' accedere a tuoi dati sensibili
>>personali.
>
>
> Beh, scorretto solo se non preventivamente comunicato.
>
> Nel regolamento dei lab della facolta` di informatica c'e` scritto a
> chiare lettere che non esiste nessuna tutela della privacy (d'altronde
> i lab servono a realizzare i progetti collegati ai corsi, non a
> cazzeggiare).


Non credo che sia corretto. La normativa sulla privacy è una legge dello
Stato, non ha senso dire che in un qualsiasi ambiente "non esiste
nessuna tutela della privacy". Salvo le eccezioni di legge (e non mi
risulta che per i laboratori di informatica ne esistano), il trattamento
dei dati personali deve essere esplicitamente autorizzato
dall'interessato, a meno che non sia necessario per assolvere ad
obblighi di legge o contrattuali (con l'interessato, i giuristi mi
passeranno un po' imprecisioni, spero). Quindi, per prima cosa, esporre
un qualsiasi cartello non è sufficiente: l'interessato deve essere
informato di quali dati saranno trattati, come e a che scopo, e deve
dare esplicitamente un'autorizzazione.
I dati devono essere (cito dall'art. 11 del Codice per la protezione dei
dati personali):
- ...raccolti e registrati per scopi determinati, espliciti e legittimi,...
- ...pertinenti, completi e non eccedenti rispetto alle finalità per le
quali sono raccolti o successivamente trattati...
Quindi l'Università si deve prendere il disturbo di individuare quali
sono i dati da trattare e a che scopo; una "generale sorveglianza con
accesso a tutto " credo che non sia nemmeno pensabile.
La prima cosa che viene in mente è che l'Università voglia garantire un
uso lecito e legittimo delle risorse che mette a disposizione dello
studente (anche per evitare essa stessa problemi in caso di reati
commessi dai sui sistemi); a questo scopo ad esempio si tengono i log;
si può anche pensare che se uno studente non autorizza questo
trattamento, l'Università si senta in diritto di non concedere l'accesso
al laboratorio. Dire che VNC non fornisce dati "eccedenti" mi sembra, di
nuovo, improponibile (in contesti molto più delicati sono considerati
sufficienti strumenti "banali" come IDS, log...)
Nelle aziende che hanno problemi di questo tipo, l'azienda può ricorrere
al principio che gli strumenti sono forniti solo per lavoro e quindi i
dati sono dell'azienda, ma in un'università no: anche se gli strumenti
sono forniti solo per lo studio, i dati sono comunque dello studente. Il
fatto che i dati dello studente siano di studio e non di cazzeggio non
vuole dire che non siano personali.

ciao

- Claudio


-- 

Claudio Telmon
claudio@xxxxxxxxxx
http://www.telmon.org




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List