tutto il diritto
Alle 16 Reggiana-Pro Patria in diretta
- May 31, 2009
- Publicado en @ Davide Bianchini Blog
- Por admin
- Post a comment
Cass.pen. n. 9784/2009: detenzione, a fini di spaccio, di droghe pesanti e leggere
- May 31, 2009
- Publicado en @ DIRITTO PENALE E NUOVE TECNOLOGIE
- Por admin
- Post a comment
Svolgimento del processo e motivi della decisione
L’imputato ricorre avverso la sentenza della 20 febbraio 2006 della Corte di appello di Bari che ha confermato la decisione di condanna, in data 1 giugno 2005 del G.U.P. presso il Tribunale di Bari, anche per il delitto D.P.R. n. 309 del 1990, ex art. 73, con irrogazione, per tale titolo, della sanzione finale di anni 4 di reclusione ed Euro 14 mila di multa, in concorso di attenuanti generiche e con la diminuente del rito (fatti del (OMISSIS)).
Con un primo motivo di impugnazione la difesa dell’imputato invoca la nuova disciplina in materia, che, per effetto della L. 21 febbraio 2006, n. 49 (G.U. 27 febbraio 2006), ha cancellato la differenziazione tra droghe leggere droghe pesanti, così rendendo inapplicabile la continuazione ex art. 81 cpv. c.p. in ipotesi, come nella specie, di simultanea detenzione di sostanze pesanti e leggere (cocaina, Hashish e metadone).
Con un secondo motivo di impugnazione il ricorrente lamenta comunque l’eccessività dell’aumento fissata nella misura di mesi 8 di reclusione ed Euro 1.000,00 di multa per il reato satellite.
Il primo motivo è fondato ed il suo accoglimento assorbe il secondo motivo di ricorso.
La doglianza va infatti riconsiderata (cfr. in termini: Cass. Penale sez. 4, 47144/2007, Rv. 238532) alla stregua delle profonde modificazioni introdotte dal D.L. 30 dicembre 2005, n. 272, art. 4 bis, convertito dalla L. 21 febbraio 2006, n. 49 al D.P.R. 9 ottobre 1990, n. 309, art. 73. La riforma, che ha soppresso la distinzione tabellare fra droghe “leggere” e droghe “pesanti”, ha necessariamente mutato il trattamento sanzionatorio da riservarsi a chi illegalmente detiene sostanze stupefacenti di tipo e natura diversi.
Prima della legge novellata, l’art. 73, nei commi 1 e 4 prevedeva diverse figure di reato, in considerazione della diversità dell’oggetto materiale delle condotte (rispettivamente, droghe “pesanti” e droghe “leggere”), pertanto, in caso di illegale detenzione di sostanze stupefacenti di tipo e natura diversi, il colpevole rispondeva di due reati, generalmente unificati dal vincolo della continuazione. L’avvenuta assimilazione delle sostanze impone, dunque, di ritenere che nel caso anzidetto il reato sia ora unico, con la possibilità che il concreto trattamento sanzionatolo sia più favorevole rispetto al passato.
Tale limite, in relazione al più mite trattamento sanzionatorio del reato in esame derivato dalla L. 21 febbraio 2006, n. 49, art. 4 bis, che ha modificato il comma 1 ed introdotto il D.P.R. 9 ottobre 1990, n. 309, art. 73, comma 1 bis) non comporta che il giudice dell’appello sia tenuto “ad adeguarsi” (riducendo la pena) nel caso in cui il primo giudice abbia in concreto commisurato la pena - base nel minimo edittale previgente.
La Corte rileva tuttavia (cfr. negli stessi termini: Cass. Penale sez. 4, 47144/2007, Rv. 238532) che non può trascurarsi il fatto che il mutamento della cornice edittale è correlato anche all’avvenuto accorpamento, quale oggetto materiale delle attività penalmente sanzionate dalla disposizione in esame, di sostanze di tipo diverso, rispetto alle quali era in precedenza prevista, non solo la riconducibilità a diverse tabelle di appartenenza (unica è ora la tabella in cui sono elencate le sostanze vietate), ma anche un trattamento sanzionatorio sensibilmente diverso, sintomatico della loro profonda incidenza sul disvalore penale del fatto.
Per tali ragioni non è da escludere che il giudice dell’appello - nel nuovo giudizio e con adeguata valutazione della vicenda - possa ritenere equamente commisurata, rispetto al fatto concreto, la pena irrogata dal giudice di primo grado, ritenendo che l’imputato, avuto riguardo alla sua personalità ed alla gravità del fatto (sulla quale incide necessariamente il tipo di sostanza oggetto del medesimo), non sia meritevole di un più mite trattamento sanzionatorio.
La sentenza va quindi annullata, con rinvio ad altra sezione della Corte di appello di Bari, per nuovo giudizio, che tenga conto del principio di diritto affermato, in punto di trattamento sanzionatorio, limitatamente alla ritenuta continuazione “interna”, nonchè alla misura della pena.
P.Q.M.
annulla la sentenza impugnata limitatamente alla ritenuta continuazione “interna”, nonchè alla misura della pena e rinvia per nuovo giudizio su tali punti ad altra Sezione della Corte di appello di Bari. Rigetta nel resto il ricorso.
Così deciso in Roma, il 5 febbraio 2009.
Depositato in Cancelleria il 4 marzo 2009
fonte: www.penale.it
Una Commissione per un compenso “più equo”
- May 30, 2009
- Publicado en @ GBLOG
- Por admin
- Post a comment
La notizia battuta ieri da alcune agenzie e rimbalzata a macchia di leopardo in Rete non può e non deve passare inosservata: presso il Ministero per i beni e le attività culturali è stata istituita una Commissione speciale che avrà l’arduo compito di determinare il c.d. “equo compenso” spettante ai titolari dei diritti connessi a [...]
Corazzati per affrontare la morte?
- May 29, 2009
- Publicado en @ Davide Bianchini Blog
- Por admin
- Post a comment
NUOVO DIZIONARIO GIONICHELLI (c): Dizionario perugino-italiano
- May 29, 2009
- Publicado en @ Cultura Universale
- Por admin
- Post a comment
Amministratori di sistema e privacy: risposte alle domande più frequenti (FAQ) sul sito del Garante
- May 28, 2009
- Publicado en @ Iusreporter.it Blog
- Por admin
- Post a comment
Risposte alle domande più frequenti (FAQ) *
1 Cosa deve intendersi per "amministratore di sistema"?
2 Cosa vuol dire la locuzione "Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…"
3 Il caso di uso esclusivo di un personal…
L’articolo e’ disponibile nel blog
Disposizioni in materia di rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini (DPCM 6 maggio 2009) - Iusreporter.it - biblioteca e formazione giuridica
- May 28, 2009
- Publicado en @ Iusreporter.it Blog
- Por admin
- Post a comment
Iusreporter.it - Documenti
Disposizioni in materia di rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini (DPCM 6 maggio 2009) – Il testo del provvedimento su Iusreporter.it - biblioteca e formazione giuridica
www.iusreporter.it
A cura…
L’articolo e’ disponibile nel blog
PEC o non PEC questo e’ il problema – Roma, 23/06/2009
- May 28, 2009
- Publicado en @ Iusreporter.it Blog
- Por admin
- Post a comment
<<Convegno a Roma su PEC o non PEC questo è il problema
Roma, 21 maggio 2009 – Il dubbio amletico derivante da una attività legislativa sul tema della PEC senza precedenti ben tre provvedimenti in quattro mesi sono tra i motivi principali del convegno organizzato da Cittadini di Internet…
L’articolo e’ disponibile nel blog
PEC o non PEC questo e’ il problema – Roma, 23/06/2009
- May 28, 2009
- Publicado en @ Iusreporter.it Blog
- Por admin
- Post a comment
<<Convegno a Roma su PEC o non PEC questo è il problema
Roma, 21 maggio 2009 – Il dubbio amletico derivante da una attività legislativa sul tema della PEC senza precedenti ben tre provvedimenti in quattro mesi sono tra i motivi principali del convegno organizzato da Cittadini di Internet…
L’articolo e’ disponibile nel blog
Le sei menzogne del governo sugli sbarchi
- May 28, 2009
- Publicado en @ Iscos Marche
- Por admin
- Post a comment
CAMPAGNA IO NON RESPINGO
http://fortresseurope.blogspot.com
1) L’INVASIONE
“La gente non vuole l’invasione di clandestini ed è per questo che apprezza la linea di Maroni, che per la prima volta è riuscito a fermare gli sbarchi”, Roberto Cota, capogruppo della Lega alla Camera, 10/05/09
Secondo i dati ufficiali degli ultimi 7 anni, per ogni immigrato che arriva via mare, il Governo chiede l’ingresso di altri 12 con la programmazione dei “decreti flussi” che stabiliscono di quanta manodopera straniera l’Italia ha bisogno.
Anno
2002 Sbarcati 23.719 Richiesti dal Governo 20.500 più sanatoria 697.000
2003 Sbarcati 14.331 Richiesti dal Governo 19.500
2004 Sbarcati 13.635 Richiesti dal Governo 79.000
2005 Sbarcati 22.939 Richiesti dal Governo 159.000
2006 Sbarcati 22.016 Richiesti dal Governo 520.000
2007 Sbarcati 20.165 Richiesti dal Governo 170.000
2008 Sbarcati 36.951 Richiesti dal Governo 150.000
Totale:
Sbarcati 153.756
Richiesti dal Governo 1.815.000
2) CLANDESTINO A CHI?
I respingimenti in Libia sono “una svolta nella lotta all’immigrazione clandestina”, Roberto Maroni, 7/05/09
Secondo dati del Ministero dell’Interno, solo il 13% degli immigrati senza permesso di soggiorno è arrivato via mare. E tutti gli altri? In aereo. Con un visto turistico, che poi hanno lasciato scadere. La clandestinità in realtà è il primo passo di quasi tutti i percorsi migratori. Si entra da regolari, con un visto turistico. Poi il visto scade, si entra nella clandestinità e si cerca un lavoro in nero in attesa di regolarizzarsi.
3) I REGOLARI
“Solo la fermezza crea condizioni per una positiva gestione dell’immigrazione regolare”, Roberto Maroni, 9/05/09
La legge prevede che il datore di lavoro debba assumere l’immigrato prima dell’ingresso in Italia, quando ancora si trova nel suo paese di origine. Ma come si fa a assumere qualcuno senza averlo prima conosciuto? E’ impossibile. Infatti nessuno lo fa. A meno di vendere quella assunzione per 6-7.000 euro. Assumere uno straniero che si trova in Italia senza documenti è impossibile. Lo straniero deve prima ritornare nel proprio paese e presentarsi all’Ambasciata italiana. Una farsa
4) LEGALITÀ
“La linea dei respingimenti è in linea con le normative europee ed i trattati internazionali”, Roberto Maroni, ministro dell’Interno, 10/05/09
Nel 2005 l’Italia respinse in Libia oltre 1.500 immigrati arrivati a Lampedusa. Le operazioni vennero bloccate dalla Corte Europea dei diritti umani e dal Parlamento Europeo. Violavano il divieto di respingimento dei rifugiati sancito dalla Convenzione dell’Onu sui rifugiati, ma anche la Convenzione contro la Tortura e la Carta europea dei diritti umani, che vietano deportazioni collettive e in paesi a rischio tortura.
5) RIFUGIATI SI O NO?
“Sui barconi non vi è nessuno che possa godere del diritto di asilo”, Silvio Berlusconi, presidente del Consiglio, 12/05/09
Nel 2008, il 75% di chi è sbarcato a Lampedusa ha fatto richiesta di asilo politico. Non tutte erano richieste autentiche. È evidente. E infatti le domande sono esaminate da una Commissione dove siedono membri delle Nazioni Unite e delle Prefetture. Tuttavia il 50% dei richiedenti ha avuto un permesso di soggiorno per asilo politico o per protezione internazionale. Significa che una persona su tre di quelle che sbarcano in Sicilia fugge da guerre e regimi. In particolare dalle nostre ex Colonie: Somalia, Eritrea ed Etiopia. Respingerli è vietato dalle Convenzioni Internazionali. L’articolo 10 della Costituzione riconosce il diritto d’asilo politico.
6) TUTTI I DISPERATI DEL MONDO
“Il nostro Paese non può farsi carico dell’intera povertà del mondo”, Roberto Calderoli, senatore Lega Nord, Ministro per la Semplificazione normativa.
L’Italia ha il minor numero di rifugiati tra i Paesi europei. Lo scorso anno sono state presentate 31.000 domande d’asilo. I rifugiati nel mondo sono 12 milioni. L’80% si trova in paesi poveri. Siria e Giordania – da sole – ospitano due milioni di rifugiati iracheni. Iran e Pakistan – da soli – ospitano 3 milioni di rifugiati afgani. In Italia la prima nazionalità dei rifugiati è quella eritrea. Dal 2005 ne sono arrivati 6.000 via mare. In Sudan, di rifugiati eritrei ce ne sono 130.000.
Io non respingo: partecipa alla campagna nazionale
- May 28, 2009
- Publicado en @ Iscos Marche
- Por admin
- Post a comment
Segnaliamo da Fortress Europe:
Il leader libico Muammar Gheddafi visiterà l’Italia dal 10 al 12 giugno. Una tappa storica, che segna il riallineamento di Roma e Tripoli. Gheddafi parlerà di affari, ma anche e soprattutto di immigrazione, e di respingimenti in mare. Chi conosce quale destino attende gli emigranti e i rifugiati respinti al largo di Lampedusa e imprigionati nelle carceri libiche, non può rimanere indifferente e complice. Per questo invitiamo tutti a manifestare il proprio dissenso, per non rimanere indifferenti, e per essere migliori di chi ci rappresenta. Siamo tanti. Siamo molti di più di quanto possiate immaginare.
Continua la lettura su Fortress Europe
La sposa fugge con l’autista
- May 28, 2009
- Publicado en @ Davide Bianchini Blog
- Por admin
- Post a comment
Boati in pianura e sudore sulla fronte
- May 27, 2009
- Publicado en @ Davide Bianchini Blog
- Por admin
- Post a comment
Emergenza in Pakistan - raccolta materiali
- May 27, 2009
- Publicado en @ Iscos Marche
- Por admin
- Post a comment
Tramite tutte le strutture sindcali CISL è possibile raccogliere ed inviare beni e prodotti di prima necessità per i profughi interni dello Swat in Pakistan.
Come molte delle crisi in atto, anche quella del nord del Pakistan ha assunto i toni di una vera e propria emergenza umanitaria. Da diversi mesi la popolazione dei distretti del Dir, del Buner e dello Swat è vittima degli attacchi tra l’esercito pakistano e le milizie dei Taliban pakistani.
Nel Febbraio 2009 la firma di un accordo tra il Governo pakistano ed il leader religioso del distretto dello Swat avrebbe dovuto portare al disarmo dei Taliban nella zona in cambio della concessione di instaurare la legge coranica nel distretto. L’accordo non è stato rispettato dai Taliban e la risposta dell’esercito non si è fatta attendere. E’ in atto una guerra interna: il prezzo più alto di questa guerra continuano quotidianamente a pagarlo migliaia di famiglie – di cosiddetti profughi interni - costrette ad abbandonare le loro case ed il loro lavoro per salvarsi la vita.
Il numero dei profughi interni continua a crescere giorno per giorno: secondo l’Alto Commissariato delle Nazioni Unite per i Rifugiati sono già oltre 2 milioni, di cui il 48% bambini. Nell’area di Swabi e Mardan sono stati allestiti circa 30 campi profughi. Molte sono le famiglie non ancora alloggiate. E’ necessario un forte impegno e grande solidarietà per far fronte alle necessità primarie dei profughi la cui larga maggioranza è rappresentata da donne e bambini.
Nella giornata di venerdì 22 maggio 2009 è stato lanciato un appello dall’Ambasciata del Pakistan in Italia al fine di attivare azioni coordinate di solidarietà nei confronti di queste popolazioni di profughi. La richiesta più urgente è quella di invio di beni per garantire la sopravvivenza di milioni di persone. Riportiamo di seguito la lista dei beni e prodotti richiesti dall’Ambasciata del Pakistan e invitiamo le strutture territoriali e di categoria a contattare le aziende che producono o distribuiscono tali prodotti, per un atto di solidarietà.
Un sincero grazie a tutti.
Per ulteriori informazioni:
Valeria Patruno valeria.patruno@iscos-cisl.org
Gemma Arpaia arpaia@iscos-cisl.org
LISTA DEI PRODOTTI
Insetticida
Sapone
Disinfettante per ambienti
Materassi
Teloni impermeabili (m.20×20)
Bagni chimici
Attrezzature anti-incendio
Cisterne per l’acqua
Generatori
Tavolette per purificare l’acqua
Utensili
ALIMENTI
Biscotti ad alto contenuto energetico
Latte condensato
Tè
Zucchero
Datteri secchi
MEDICINALI
Soluzioni glucosate
Soluzioni endovenose
Antidolorifici
Kit di pronto-soccorso
Repellenti per zanzare
Creme anti-scabbia
Documenti:
Richiesta dell’Ambasciata del Pakistan in Italia (inglese e italiano)
Appello dell’Alto commissariato per i rifugiati delle Nazioni unite
Niente affari con chi usa gli schiavi
- May 27, 2009
- Publicado en @ Iscos Marche
- Por admin
- Post a comment
“Bisogna colpire subito la giunta militare birmana, che si è macchiata di crimini contro l’umanità”. E’ l’appello lanciato dal segretario generale della Cisl Raffaele Bonanni, nel corso della conferenza stampa svoltasi alla Farnesina in presenza del ministro degli Esteri Franco Frattini sulla vicenda Aung San Suu Kyi.
“La nostra principale richiesta in queste ore è quella di liberare la leader dell’opposizione e deferire all’Alta corte (la Corte Penale Internazionale o Cpi, ndr) la giunta militare per crimini contro l’umanità” ha detto Bonanni ricordando che l’Organizzazione internazionale del lavoro (Oil), ha già “registrato l’esistenza di lavoro forzato per diverse migliaia di persone, e credo - ha aggiunto -che in nessun posto del mondo ci sia una situazione così incresciosa. La Corte internazionale agisca immediatamente - ha detto - in base alla denuncia dell’Oil (agenzia specializzata delle Nazioni Unite, ndr) che non è un organismo di parte ma rappresenta tutte le istituzioni del lavoro mondiale”.
Un appello inoltre alle imprese italiane ed europee a non investire in Birmania, un Paese ‘’soffocato” dal regime militare.
“Ancora troppe” infatti secondo il segretario della Cisl, le aziende italiane che fanno affari con il regime birmano. “E per questo motivo che da tempo il sindacato chiede di astenersi dal fare affari con una giunta liberticida e di prepararsi a fare affari con un governo legittimo del popolo birmano”. Bonanni ha pertanto espresso l’auspicio che da parte dell’Italia vi siano “sanzioni gestite meglio” insieme a “una verifica maggiore della legalita’ nelle dogane, nella circolazione delle merci tra i due paesi”. A tale riguardo si è espresso il Ministro Frattini, secondo il quale ”deve esserci un limite” alla ricerca del profitto. Vi e’ un legame fortissimo tra crescita economica e liberta’. Al di la’ delle posizioni individuali - ha detto il ministro riferendosi alle perplessita’ francesi sulle sanzioni - la soluzione deve essere quella che l’Europa ha adottato lo scorso aprile: non indietreggierà sulle sanzioni contro la Birmania, a meno che il regime militare non ‘ripristini le condizioni di liberta”’ e ”garantisca i diritti della persona”. “Per questo - ha concluso Bonanni - dobbiamo far sentire tutto il nostro dissenso”.
Ecco le aziende italiane che lavorano in Birmania:
Aziende che importano in Italia dalla Birmania
Aziende che esportano in Birmania (2008)
Aziende che esportano in Birmania (2009)
Polyexpressive Symphonies: Centenario del Futurismo - II
- May 27, 2009
- Publicado en @ Cultura Universale
- Por admin
- Post a comment
I giudici: Mentana torni a Matrix
- May 27, 2009
- Publicado en @ Davide Bianchini Blog
- Por admin
- Post a comment
FAQ del Garante privacy sugli amministratori di sistema
- May 26, 2009
- Publicado en @ DIRITTO PENALE E NUOVE TECNOLOGIE
- Por admin
- Post a comment
Provvedimento “Amministratori di sistema” del 27 novembre 2008
(G.U. n. 300 del 24 dicembre 2008)
Risposte alle domande più frequenti (FAQ) *
1 Cosa deve intendersi per “amministratore di sistema”?
2 Cosa vuol dire la locuzione “Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…”
3 Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?
4 Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?
5 Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?
6 Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento.
7 Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS?
8 Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?
9 Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?…)
10 Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’access log?
11 Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo
scopo della verifica deve prevedere un’analisi dei rischi?
12 Come va interpretata la caratteristica di inalterabilità dei log?
13 Si individuano livelli di robustezza specifici per la garanzia della integrità dei log?
14 Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?
15 Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?
16 Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?
17 Cosa si intende per “consultazione in chiaro”?
18 Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?
19 La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?
20 Nella designazione degli amministratori di sistema occorre valutare i requisiti morali?
21 Cosa si intende per “estremi identificativi” degli amministratori di sistema?
22 E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?
23 Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota…) da parte di una società italiana non titolare dei dati gestiti.
24 Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle manutenzione degli immobili sociali ecc…). Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico?
1) Cosa deve intendersi per “amministratore di sistema”?
In assenza di definizioni normative e tecniche condivise, nell’ambito del provvedimento del Garante l’amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati. i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati i personali.
Il Garante non ha inteso equiparare gli “operatori di sistema” di cui agli articoli del Codice penale relativi ai delitti informatici, con gli “amministratori di sistema”: questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi.
Anche il riferimento al d.P.R. 318/1999 nella premessa del provvedimento è puramente descrittivo poiché la figura definita in quell’atto normativo (ormai abrogato) è di minore portata rispetto a quella cui si fa riferimento nel provvedimento.
Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.
2) Cosa vuol dire la locuzione “Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…”
I titolari sono tenuti a instaurare un regime di conoscibilità dell’identità degli amministratori di sistema, quale forma di trasparenza interna all’organizzazione a tutela dei lavoratori, nel caso in cui un amministratore di sistema, oltre a intervenire sotto il profilo tecnico in generici trattamenti di dati personali in un’organizzazione, tratti anche dati personali riferiti ai lavoratori operanti nell’ambito dell’organizzazione medesima o sia nelle condizioni di acquisire conoscenza di dati a essi riferiti (in questo senso il riferimento nel testo del provvedimento all’”anche indirettamente…”).
3) Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?
Non è possibile rispondere in generale. In diversi casi, anche con un personal computer possono essere effettuati delicati trattamenti rispetto ai quali il titolare ha il dovere di prevedere e mettere in atto anche le misure e gli accorgimenti previsti nel provvedimento. Nel caso-limite di un titolare che svolga funzioni di unico amministratore di sistema, come può accadere in piccolissime realtà d’impresa, non si applicheranno le previsione relative alla verifica delle attività dell’amministratore né la tenuta del log degli accessi informatici.
4) Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server
Si, anche i client, intesi come “postazioni di lavoro informatizzate”, sono compresi tra i sistemi per cui devono essere registrati gli accessi degli AdS.
Nei casi più semplici tale requisito può essere soddisfatto tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente l’uso di strumenti software o hardware aggiuntivi. Per esempio, la registrazione locale dei dati di accesso su una postazione, in determinati contesti, può essere ritenuta idonea al corretto adempimento qualora goda di sufficienti garanzie di integrità.
Sarà comunque con valutazione del titolare che dovrà essere considerata l’idoneità degli strumenti disponibili oppure l’adozione di strumenti più sofisticati, quali la raccolta dei log centralizzata e l’utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la verifica dell’integrità delle registrazioni.
5) Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?
E’ da sottoporre a verifica l’attività svolta dall’amministratore di sistema nell’esercizio delle sue funzioni. Va verificato che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.
6) Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento
Sono esclusi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008 per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 27 novembre 2008).
7) Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS? [Rif. comma 2, lettera d]
Il provvedimento prevede che all’atto della designazione di un amministratore di sistema, venga fatta “elencazione analitica” degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, ovvero la descrizione puntuale degli stessi, evitando l’attribuzione di ambiti insufficientemente definiti, analogamente a quanto previsto al comma 4 dell’art. 29 del Codice riguardante i responsabili del trattamento.
Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?
No, è sufficiente specificare l’ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.
9) Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?…) [Rif. comma 2, lettera f]
Per access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica all’atto dell’accesso o tentativo di accesso da parte di un amministratore di sistema o all’atto della sua disconnessione nell’ambito di collegamenti interattivi a sistemi di elaborazione o a sistemi software.
Gli event records generati dai sistemi di autenticazione contengono usualmente i riferimenti allo “username” utilizzato, alla data e all’ora dell’evento (timestamp), una descrizione dell’evento (sistema di elaborazione o software utilizzato, se si tratti di un evento di log-in, di log-out, o di una condizione di errore, quale linea di comunicazione o dispositivo terminale sia stato utilizzato…).
10) Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’access log? [Rif. comma 2, lettera f]
Qualora il sistema di log adottato generi una raccolta dati più ampia, comunque non in contrasto con le disposizioni del Codice e con i principi della protezione dei dati personali, il requisito del provvedimento è certamente soddisfatto. Comunque è sempre possibile effettuare un’estrazione o un filtraggio dei logfiles al fine di selezionare i soli dati pertinenti agli AdS.
11) Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo scopo della verifica deve prevedere un’analisi dei rischi?
La caratteristica di completezza è riferita all’insieme degli eventi censiti nel sistema di log, che deve comprendere tutti gli eventi di accesso interattivo che interessino gli amministratori di sistema su tutti i sistemi di elaborazione con cui vengono trattati, anche indirettamente, dati personali. L’analisi dei rischi aiuta a valutare l’adeguatezza delle misure di sicurezza in genere, e anche delle misure tecniche per garantire attendibilità ai log qui richiesti.
12) Come va interpretata la caratteristica di inalterabilità dei log?
Caratteristiche di mantenimento dell’integrità dei dati raccolti dai sistemi di log sono in genere disponibili nei più diffusi sistemi operativi, o possono esservi agevolmente integrate con apposito software. Il requisito può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l’eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e “certificati”.
E’ ben noto che il problema dell’attendibilità dei dati di audit, in genere, riguarda in primo luogo la effettiva generazione degli auditable events e, successivamente, la loro corretta registrazione e manutenzione. Tuttavia il provvedimento del Garante non affronta questi aspetti, prevedendo soltanto, come forma minima di documentazione dell’uso di un sistema informativo, la generazione del log degli “accessi” (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento, senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi.
13) Si individuano livelli di robustezza specifici per la garanzia della integrità?
No. La valutazione è lasciata al titolare, in base al contesto operativo (cfr. faq n. 14).
14) Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?
Quelli descritti al paragrafo 4.4 del provvedimento e ribaditi al punto 2, lettera e), del dispositivo. L’adeguatezza è da valutare in rapporto alle condizioni organizzative e operative dell’organizzazione.
15) Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?
Il provvedimento non chiede in alcun modo che vengano registrati dati sull’attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema. Si veda la risposta alla faq n. 11.
16) Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?
La raccolta dei log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso…). L’analisi dei log può essere compresa tra i criteri di valutazione dell’operato degli amministratori di sistema.
17) Cosa si intende per “consultazione in chiaro”?
Il riferimento in premessa (par. 1 “Considerazioni preliminari”) è alla criticità di mansioni che comportino la potenzialità di violazione del dato personale anche in condizioni in cui ne sia esclusa la conoscibilità, come può avvenire, per esempio, nel caso della cifratura dei dati.
18) Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?
Si.
19) La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?
Tra gli accessi logici a sistemi e archivi elettronici sono comprese le autenticazioni nei confronti dei data base management systems (DBMS), che vanno registrate.
20) Nella designazione degli amministratori di sistema occorre valutare i requisiti morali? [Rif. comma 2, lettera a]
No. Il riferimento alle caratteristiche da prendere in considerazione, al comma 2, lettera a), del dispositivo, è all’esperienza, alla capacità e all’affidabilità del soggetto designato. Si tratta quindi di qualità tecniche, professionali e di condotta, non di requisiti morali.
21) Cosa si intende per “estremi identificativi” degli amministratori di sistema?
Si tratta del minimo insieme di dati identificativi utili a individuare il soggetto nell’ambito dell’organizzazione di appartenenza. In molti casi possono coincidere con nome, cognome, funzione o area organizzativa di appartenenza.
22) E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?
Si. L’accesso applicativo non è compreso tra le caratteristiche tipiche dell’amministratore di sistema e quindi non è necessario, in forza del provvedimento del Garante, sottoporlo a registrazione.
23) Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota…) da parte di una società italiana non titolare dei dati gestiti
Il provvedimento si rivolge solo ai titolari di trattamento. I casi esemplificati prefigurano al più una responsabilità di trattamento (secondo il Codice italiano), e sono quindi esclusi dall’ambito applicativo del provvedimento.
24) Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico? Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla manutenzione degli immobili sociali ecc…)
Tali trattamenti possono considerarsi compresi tra quelli svolti per ordinarie finalità amministrativo-contabili e, come tali, esclusi dall’ambito applicativo del provvedimento.
* Così richiamate dal provvedimento “Amministratori di sistema: avvio di una consultazione pubblica” - 21 aprile 2009 [doc. web n. 1611986]
FONTE: www.garanteprivacy.it
FAQ del Garante privacy sugli amministratori di sistema
- May 26, 2009
- Publicado en @ DIRITTO PENALE E NUOVE TECNOLOGIE
- Por admin
- Post a comment
Provvedimento “Amministratori di sistema” del 27 novembre 2008
(G.U. n. 300 del 24 dicembre 2008)
Risposte alle domande più frequenti (FAQ) *
1 Cosa deve intendersi per “amministratore di sistema”?
2 Cosa vuol dire la locuzione “Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…”
3 Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?
4 Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server?
5 Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?
6 Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento.
7 Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS?
8 Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?
9 Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?…)
10 Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’access log?
11 Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo
scopo della verifica deve prevedere un’analisi dei rischi?
12 Come va interpretata la caratteristica di inalterabilità dei log?
13 Si individuano livelli di robustezza specifici per la garanzia della integrità dei log?
14 Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?
15 Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?
16 Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?
17 Cosa si intende per “consultazione in chiaro”?
18 Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?
19 La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?
20 Nella designazione degli amministratori di sistema occorre valutare i requisiti morali?
21 Cosa si intende per “estremi identificativi” degli amministratori di sistema?
22 E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?
23 Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota…) da parte di una società italiana non titolare dei dati gestiti.
24 Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle manutenzione degli immobili sociali ecc…). Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico?
1) Cosa deve intendersi per “amministratore di sistema”?
In assenza di definizioni normative e tecniche condivise, nell’ambito del provvedimento del Garante l’amministratore di sistema è assunto quale figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati. i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati i personali.
Il Garante non ha inteso equiparare gli “operatori di sistema” di cui agli articoli del Codice penale relativi ai delitti informatici, con gli “amministratori di sistema”: questi ultimi sono dei particolari operatori di sistema, dotati di specifici privilegi.
Anche il riferimento al d.P.R. 318/1999 nella premessa del provvedimento è puramente descrittivo poiché la figura definita in quell’atto normativo (ormai abrogato) è di minore portata rispetto a quella cui si fa riferimento nel provvedimento.
Non rientrano invece nella definizione quei soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software.
2) Cosa vuol dire la locuzione “Qualora l’attività degli ADS riguardi anche indirettamente servizi o sistemi che…”
I titolari sono tenuti a instaurare un regime di conoscibilità dell’identità degli amministratori di sistema, quale forma di trasparenza interna all’organizzazione a tutela dei lavoratori, nel caso in cui un amministratore di sistema, oltre a intervenire sotto il profilo tecnico in generici trattamenti di dati personali in un’organizzazione, tratti anche dati personali riferiti ai lavoratori operanti nell’ambito dell’organizzazione medesima o sia nelle condizioni di acquisire conoscenza di dati a essi riferiti (in questo senso il riferimento nel testo del provvedimento all’”anche indirettamente…”).
3) Il caso di uso esclusivo di un personal computer da parte di un solo amministratore di sistema rientra nell’ambito applicativo del provvedimento?
Non è possibile rispondere in generale. In diversi casi, anche con un personal computer possono essere effettuati delicati trattamenti rispetto ai quali il titolare ha il dovere di prevedere e mettere in atto anche le misure e gli accorgimenti previsti nel provvedimento. Nel caso-limite di un titolare che svolga funzioni di unico amministratore di sistema, come può accadere in piccolissime realtà d’impresa, non si applicheranno le previsione relative alla verifica delle attività dell’amministratore né la tenuta del log degli accessi informatici.
4) Relativamente all’obbligo di registrazione degli accessi logici degli AdS, sono compresi anche i sistemi client oltre che quelli server
Si, anche i client, intesi come “postazioni di lavoro informatizzate”, sono compresi tra i sistemi per cui devono essere registrati gli accessi degli AdS.
Nei casi più semplici tale requisito può essere soddisfatto tramite funzionalità già disponibili nei più diffusi sistemi operativi, senza richiedere necessariamente l’uso di strumenti software o hardware aggiuntivi. Per esempio, la registrazione locale dei dati di accesso su una postazione, in determinati contesti, può essere ritenuta idonea al corretto adempimento qualora goda di sufficienti garanzie di integrità.
Sarà comunque con valutazione del titolare che dovrà essere considerata l’idoneità degli strumenti disponibili oppure l’adozione di strumenti più sofisticati, quali la raccolta dei log centralizzata e l’utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la verifica dell’integrità delle registrazioni.
5) Cosa si intende per operato dell’amministratore di sistema soggetto a controllo almeno annuale?
E’ da sottoporre a verifica l’attività svolta dall’amministratore di sistema nell’esercizio delle sue funzioni. Va verificato che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.
6) Chiarire i casi di esclusione dall’obbligo di adempiere al provvedimento
Sono esclusi i trattamenti effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle misure di semplificazione introdotte nel corso del 2008 per legge (art. 29 d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 27 novembre 2008).
7) Cosa si intende per descrizione analitica degli ambiti di operatività consentiti all’ADS? [Rif. comma 2, lettera d]
Il provvedimento prevede che all’atto della designazione di un amministratore di sistema, venga fatta “elencazione analitica” degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, ovvero la descrizione puntuale degli stessi, evitando l’attribuzione di ambiti insufficientemente definiti, analogamente a quanto previsto al comma 4 dell’art. 29 del Codice riguardante i responsabili del trattamento.
Oltre alla job description si deve andare più in dettaglio? Si devono indicare i singoli sistemi e le singole operazioni affidate?
No, è sufficiente specificare l’ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.
9) Cosa si intende per access log (log-in, log-out, tentativi falliti di accesso, altro?…) [Rif. comma 2, lettera f]
Per access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica all’atto dell’accesso o tentativo di accesso da parte di un amministratore di sistema o all’atto della sua disconnessione nell’ambito di collegamenti interattivi a sistemi di elaborazione o a sistemi software.
Gli event records generati dai sistemi di autenticazione contengono usualmente i riferimenti allo “username” utilizzato, alla data e all’ora dell’evento (timestamp), una descrizione dell’evento (sistema di elaborazione o software utilizzato, se si tratti di un evento di log-in, di log-out, o di una condizione di errore, quale linea di comunicazione o dispositivo terminale sia stato utilizzato…).
10) Laddove il file di log contenga informazioni più ampie, va preso tutto il log o solo la riga relativa all’access log? [Rif. comma 2, lettera f]
Qualora il sistema di log adottato generi una raccolta dati più ampia, comunque non in contrasto con le disposizioni del Codice e con i principi della protezione dei dati personali, il requisito del provvedimento è certamente soddisfatto. Comunque è sempre possibile effettuare un’estrazione o un filtraggio dei logfiles al fine di selezionare i soli dati pertinenti agli AdS.
11) Come va interpretata la caratteristica di completezza del log? Si intende che ci devono essere tutte le righe? L’adeguatezza rispetto allo scopo della verifica deve prevedere un’analisi dei rischi?
La caratteristica di completezza è riferita all’insieme degli eventi censiti nel sistema di log, che deve comprendere tutti gli eventi di accesso interattivo che interessino gli amministratori di sistema su tutti i sistemi di elaborazione con cui vengono trattati, anche indirettamente, dati personali. L’analisi dei rischi aiuta a valutare l’adeguatezza delle misure di sicurezza in genere, e anche delle misure tecniche per garantire attendibilità ai log qui richiesti.
12) Come va interpretata la caratteristica di inalterabilità dei log?
Caratteristiche di mantenimento dell’integrità dei dati raccolti dai sistemi di log sono in genere disponibili nei più diffusi sistemi operativi, o possono esservi agevolmente integrate con apposito software. Il requisito può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l’eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili. In casi più complessi i titolari potranno ritenere di adottare sistemi più sofisticati, quali i log server centralizzati e “certificati”.
E’ ben noto che il problema dell’attendibilità dei dati di audit, in genere, riguarda in primo luogo la effettiva generazione degli auditable events e, successivamente, la loro corretta registrazione e manutenzione. Tuttavia il provvedimento del Garante non affronta questi aspetti, prevedendo soltanto, come forma minima di documentazione dell’uso di un sistema informativo, la generazione del log degli “accessi” (log-in) e la loro archiviazione per almeno sei mesi in condizioni di ragionevole sicurezza e con strumenti adatti, in base al contesto in cui avviene il trattamento, senza alcuna pretesa di instaurare in modo generalizzato, e solo con le prescrizioni del provvedimento, un regime rigoroso di registrazione degli usage data dei sistemi informativi.
13) Si individuano livelli di robustezza specifici per la garanzia della integrità?
No. La valutazione è lasciata al titolare, in base al contesto operativo (cfr. faq n. 14).
14) Quali potrebbero essere gli scopi di verifica rispetto ai quali valutare l’adeguatezza?
Quelli descritti al paragrafo 4.4 del provvedimento e ribaditi al punto 2, lettera e), del dispositivo. L’adeguatezza è da valutare in rapporto alle condizioni organizzative e operative dell’organizzazione.
15) Cosa dobbiamo intendere per evento che deve essere registrato nel log? Solo l’accesso o anche le attività eseguite?
Il provvedimento non chiede in alcun modo che vengano registrati dati sull’attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema. Si veda la risposta alla faq n. 11.
16) Quali sono le finalità di audit che ci dobbiamo porre con la registrazione e raccolta di questi log?
La raccolta dei log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso…). L’analisi dei log può essere compresa tra i criteri di valutazione dell’operato degli amministratori di sistema.
17) Cosa si intende per “consultazione in chiaro”?
Il riferimento in premessa (par. 1 “Considerazioni preliminari”) è alla criticità di mansioni che comportino la potenzialità di violazione del dato personale anche in condizioni in cui ne sia esclusa la conoscibilità, come può avvenire, per esempio, nel caso della cifratura dei dati.
18) Il regime di conoscibilità degli amministratori di sistema è da intendersi per i soli trattamenti inerenti i dati del personale e dei lavoratori?
Si.
19) La registrazione degli accessi è relativa al sistema operativo o anche ai DBMS?
Tra gli accessi logici a sistemi e archivi elettronici sono comprese le autenticazioni nei confronti dei data base management systems (DBMS), che vanno registrate.
20) Nella designazione degli amministratori di sistema occorre valutare i requisiti morali? [Rif. comma 2, lettera a]
No. Il riferimento alle caratteristiche da prendere in considerazione, al comma 2, lettera a), del dispositivo, è all’esperienza, alla capacità e all’affidabilità del soggetto designato. Si tratta quindi di qualità tecniche, professionali e di condotta, non di requisiti morali.
21) Cosa si intende per “estremi identificativi” degli amministratori di sistema?
Si tratta del minimo insieme di dati identificativi utili a individuare il soggetto nell’ambito dell’organizzazione di appartenenza. In molti casi possono coincidere con nome, cognome, funzione o area organizzativa di appartenenza.
22) E’ corretto affermare che l’accesso a livello applicativo non rientri nel perimetro degli adeguamenti, in quanto l’accesso a una applicazione informatica è regolato tramite profili autorizzativi che disciplinano per tutti gli utenti i trattamenti consentiti sui dati?
Si. L’accesso applicativo non è compreso tra le caratteristiche tipiche dell’amministratore di sistema e quindi non è necessario, in forza del provvedimento del Garante, sottoporlo a registrazione.
23) Si chiede se sia necessario conformarsi al provvedimento nel caso della fornitura di servizi di gestione sistemistica a clienti esteri (housing, hosting, gestione applicativa, archiviazione remota…) da parte di una società italiana non titolare dei dati gestiti
Il provvedimento si rivolge solo ai titolari di trattamento. I casi esemplificati prefigurano al più una responsabilità di trattamento (secondo il Codice italiano), e sono quindi esclusi dall’ambito applicativo del provvedimento.
24) Si possono ritenere esclusi i trattamenti relativi all’ordinaria attività di supporto delle aziende, che non riguardino dati sensibili, giudiziari o di traffico telefonico/telematico? Ci si riferisce ai trattamenti con strumenti elettronici finalizzati, ad esempio, alla gestione dell’autoparco, alle procedure di acquisto dei materiali di consumo, alla manutenzione degli immobili sociali ecc…)
Tali trattamenti possono considerarsi compresi tra quelli svolti per ordinarie finalità amministrativo-contabili e, come tali, esclusi dall’ambito applicativo del provvedimento.
* Così richiamate dal provvedimento “Amministratori di sistema: avvio di una consultazione pubblica” - 21 aprile 2009 [doc. web n. 1611986]
FONTE: www.garanteprivacy.it
FAPAV/2 - La Confessione…
- May 26, 2009
- Publicado en @ GBLOG
- Por admin
- Post a comment
Fulvio Sarzana in un bel pezzo su Punto Informatico di questa mattina fa rimbalzare una notizia apparsa in Rete nei giorni scorsi secondo la quale la FAPAV - la federazione contro la pirateria cinematografica - avrebbe chiesto a Telecom Italia, tra l’altro, di comunicare all’Autorità giudiziaria i dati idonei a consentire l’identificazione degli utenti rei [...]
Concerto del Maestro Jue Wang
- May 26, 2009
- Publicado en @ Cultura Universale
- Por admin
- Post a comment
Installazione di fotografie e calligrafie
- May 26, 2009
- Publicado en @ Cultura Universale
- Por admin
- Post a comment