Venerdì, 18 Maggio 2012
Cosimo Comella
Sicurezza e Privacy nel Cloud

playervideo

Per postare un messaggio in questo spazio basta scrivere sulla bachecca di ForumPa su Facebook
Francesco Proietti
Saluto introduttivo
Giuseppe Ateniese
L'auditing delle nuvole
Cosimo Comella
Sicurezza e Privacy nel Cloud
Matteo Righetti
DR to the Cloud. Una risposta al 50-bis?
Leonardo Valcamonici
cCloud, una soluzione di Cloud "federato" per Università e PA

La trascrizione automatica dell'evento

se i dati approfitto quindi per passare la parola alla dottor Comella dirigente del dipartimento risorse tecnologiche del garante della professione dei dati personali che ci parlerà appunto dei temi di sicurezza travasi nell'ambito del Claudio Graziano buonasera a tutti voi ringrazio il collega Vacca ammonisce per la presentazione ma adesso cercherò parte di qualche secondo per predisporre qualcosa che avevo tre preparato ma che dovrei dire come si usa e dei discorsi pubblici ho preparato un bel discorso ma lo stracciato e parlerò a braccio perché già alle sollecitazioni venute dal delle delle parti ora posso ateniese sono tali che consentono comunque di entrare in argomento anche facendo a meno diciamo di una presentazione tradizionale basata su aspetti normativi della della protezione dei dati allora recuperiamo un popolo aggancia armi ad alcuni concetti che ho fatto cenno possa ateniese uno era quello dei detta principi la legge californiana che impone la notificazione anche del diritto è sfuggito e dell'impatto che può avere questa disciplina che la disciplina di trattamento dati personali dell'efficienza dei servizi noi ci abbiamo nel contesto europeo verso un regime analogo perché già la direttiva cento trentasei che fa parte delle stelle compact in corso di recepimento prevede questa obbligo di notificazione dei detta principi alle autorità nazionali competenti devo dire anche che perfino nelle nell'ordinamento italiano questa non è una novità perché questo obbligo conti e di varianti esiste già qual è il problema è che esiste ed esisterà rafforzato però esclusivamente di uno specifico settore industriale che il settore delle telecomunicazioni per in particolare delle comunicazioni elettroniche accessibile al pubblico questo perché il legislatore europeo del mila centonovantasei e poi i territori nazionali hanno in qualche modo individuato nella materia trattata dall'operatori della comunicazione una materia particolarmente delicata che hanno previsto questo obbligo detta Belice in realtà con l'occhio o dell'osservatore attento dell'informatico la prima osservazione vi è da fare che non è quello un settore più predisposto di altri alla all'i alla fuga di notizie e alle affatto salvo il caso del delle intercettazioni abusive quindi il legislatore europeo più recente quindi nel due mila nove commette le compatta in corso di recepimento ha previsto può nell'articolato della direttiva ha riproposto nel modo più dettagliato all'obbligo di notificazione del capriccio però ne ha previsto nella parte introduttiva nelle considerazioni preliminari la direttiva cento trentasei dell'impegno degli Stati membri per estendere questo obbligo di notificazione a tutti i trattamenti di dati in qualunque settore non più uno specifico settore che è lecito ma qualunque titolare di trattamento qualunque detta controllerà sarà tenuto con modalità che poi dovranno ancora essere individuato tener presente ancora l'Italia come tanti Paesi europei non ha ancora recepito la direttiva centotrentasei che prevede questo obbligo relativamente all'solo settore delle telecomunicazioni però negli anni avvenire il la tendenza è verso questa maggiore trasparenza anche nei trattamenti di dati personali fino alla notificazione dei capricci con tutto ciò che poi ne è conseguita in termini di accresciuta sfiducia del mercato e dei consumatori verso i servizi questo sarà importante anche per l'offerta di servizi Claudio un'altra tendenza macroscopica che è rileviamo quando ci confrontiamo con le altre autorità nazionali sulla protezione dati personali e che questa cultura della trasparenza sui detta Belice sulla sicurezza è più matura nel nord Europa perché mentre i casi di detta Brigitte rilevati o notificati all'autorità nazionale cioè al Garante italiano sono si contano in dieci anni sulle dita di due mani e in genere non sono stati il frutto di notificazione volontaria in nord Europa l'assoluta istituzione in quinta estremamente diversa per il garante in UK ce l'ha testimoniato due anni fa che aveva totalizzato circa quattrocento notifiche azioni nei quattro anni precedenti ora questo non indicatore di una maggiore vulnerabilità o di una maggiore criticità degli aspetti di sicurezza nel contesto britannico perché ovviamente tutti gli indicatori sono in tutt'altra direzione di questo dossier a riflettere perché quello che viene visto come un'onta da nascondere ciò idrici viene invece per la trasparenza per maggiore maturità viene premiato quando viene non perché sia un valore subirebbe dice ma si riconosce l'onestà della trasparenza nei confronti del mercato qui latente quanto e a questo specifico rispetto dei principi l'assoluta del un dazio se potrebbe cambiare già nei prossimi mesi per quanto e telecomunicazioni è in futuro meno prossimo per quanto riguarda tutti i settori per quanto riguarda invece il il tema sottostante la prova segretazione le posso ateniese e un un tema fondamentale poiché la tecnologia Cristo grafica la vera tecnologia abilitante di tutto l'uso serio possibile il lusso economicamente anche sensato delle risorse in rete gli strumenti ci sono ci vuole anche magari una maggiore l'incapacità di utilizzarli per coniugare la protezione con l'efficienza perché quello che il problema a cui ha fatto cenno posso ateniese è un problema che abbiamo riscontrato anche noi negli anni passati era molto difficile anche per l'autorità garante agendo nella veste di autorità di verifica in sede ispettiva e quindi con potere anche di prescrivere misure di sicurezza per mettere in sicurezza i trattamenti era molto difficile perché l'industria del sorto non offriva strumenti efficienti nessuno se la sentiva di prescrivere al gestore di un grosso sistema di detta pesa l'uso di strumenti trito grafici in genere forniti a terze parti non non certificati la casa produttrice per creare un sistema farraginoso con fortissime penalizzazioni in performance la situazione è cambiata diciamo dal due mila quattro due mila cinque in poi non è cambiata per effetto della pendenza alla protezione dati o per per effetto dell'impegno dei sostenitori la Price cambiata perché le normative statunitensi sulla trasparenza delle società quotate in particolare la stampa non so se lei ha stimolato i produttori ha creato il mercato per proporre questo tipo di tecnologie che prima erano perché oggi è estremamente costose sia in termini economici sia in termini di performance quindi la tecnologia scritto grafica ben usata è uno strumento che spalanca tante possibilità e riesce anche arrendere potrebbe riuscire a rendere praticabile anche in termini giuridicamente legalmente accettabili delle elaborazioni che invece potrebbero in assenza di questo tipo di protezione andare incontro forti censure anche sotto sul piano normativo della protezione dei dati personali quindi devo riallacciare insomma alla veste con cui sono formalmente intervengo questo interessante il convegno che quella comunque di seppur di di una persona con un lontano trascorso tecnico informatico ma in un'autorità fondamentalmente giuridica come e sono le autorità di garanzia e anche sulla protezione dei dati quindi dovrei richiamare un po'gli aspetti applicabili a tutti i trattamenti compreso quindi il club compiuti in do richiamare concetti come la sicurezza l'adeguatezza delle misure di sicurezza la valutazione adeguatezza dei paesi dei paesi esteri si è extra comunitari laddove ci siano dei flussi transfrontalieri non potrei fare citando parti della direttiva novantacinque quarantasei che la direttiva madre sulla protezione dati chiaramente il non temo che contribuirà insomma un comprensibile assortimento che è dopo pranzo a quest'ora in tutti noi forse a cominciare da me però voglio soltanto invitare a recuperare e valorizzare l'assenza pezza di alcune di queste norme le norme pensate dal legislatore europeo nel metà degli anni novanta evidentemente risentono della direi vetustà perché cogliere quasi vent'anni fa sono qui norme elaborate vent'anni fa quando ancora internet non era un fenomeno di massa non era quello esisteva diciamo in forma diffusa e il due per è uno strumento fondamentalmente di ricerca e accademico allora non era appunto probabilmente è concepibile ciò vent'anni fa prevedere tutto lo sviluppo susseguente questa è un'osservazione si può fare una critica che si può muovere d'altro canto però è innegabile che nella loro formulazione nella terminologia adottata i concetti utilizzati appaiano fortemente inadeguati per cogliere oggi la realtà dell'elaborazione delle informazioni con strumenti informatici il in questo contrasto emerge in modo clamoroso oggi che ci troviamo di fronte a delle opportunità importanti conforti prospettive di miglioramento dell'efficienza dei servizi offerte per esempio la tecnologia e dal modello di club compiuti in cosa possiamo osservare con gli strumenti normativi dico con gli strumenti normativi vigenti doveri richiamare tutte le cautele che ogni buon le gallerie d'azienda prospetta proprio cliente attenzione trasferimenti all'estero attenzione alle misure di sicurezza riservarsi le possibilità di il controllo di verifica sui dati e sui trattamenti tutte cose sicuramente più facili ha denunciato un po'più difficili da tradursi in elaborati contrattuali in cui però sono molto bravi tempi legali e tanti avvocati Amici nonché lavorano brillantemente a questo scopo però definitiva da tecnico mi chiedo ma tutto ciò riesce poi effettivamente a garantire la sicurezza concreta dei trattamenti oppure diciamo crea una un substrato di comprare anzi formale alle norme ma poi non offre in realtà una sicurezza sostanziale sui trattamenti quindi qual è non voglio lasciare irrisolto le il problema c'è il problema della inadeguatezza delle norme dipende anche un problema di qualità della normazione quando interviene su argomenti tecnici purtroppo non è solo in Italia che la cultura tecnologica e più indietro e meno diffusa questo è un anche lo vediamo nelle sedi comunitarie come difficile l'elaborazione di norme quando vanno a incidere su concetti che richiederebbero una conoscenza profonda e specialistica delle tecnologie a meno di non fare del di errori grossolani o non seguendo diciamo la moda del momento intervenire ma senza avere chiaro realmente una precisa comprensione dei fenomeni che si vuole regolare ora io qui sorvolo su tutti gli aspetti di sicurezza che poi trovate nei testi normativi sono testi normativi ormai molto datati adesso noi e di vedremo come coniugare il quadro normativo con la spinta che c'è anche in forza di altre norme pensiamo il decreto cosiddetto semplifica Italia poi convertito in legge che prevede un impegno da parte delle pubbliche amministrazioni e pubblica amministrazione nel suo insieme verso la condivisione dei servizi e in particolare per l'adozione della del Montello di club compiuti in quindi lasciamo sul sorvolo anche sugli interventi dell'autorità che è sono intervenuti già a partire dall'anno scorso con delle indicazioni fornite in sede di relazione annuale ho con lei le recentissime linee guida di diritti di piazze credo siano state presentate proprio in questi giorni qui in questa sede noi per la parte nostra come autorità di garanzia ci siamo mossi già con una campagna ispettiva durata circa un anno che ha avuto il valore di campagne di scavo fin qui esplorati IVA per capire il fenomeno nazionale delle club compiuti nell'offerta di servizi abbiamo prodotto alcuni testi di carattere informativo non ancora nulla di amministrativamente pesante però ritengo invece uno dei compiti dell'autorità sanciti aleggia proprio quello di informare sui rischi dei trattamenti e perché no anche sulle opportunità dell'accesso determinate tecnologie questo stato fatto a mio avviso meritoriamente l'anno scorso e anche recentemente con un vademecum che invece ha un altro target informativo anche questo opuscolo che trovate anche in distribuzione al banco e negli altri Stati Uniti da sfogliando mi diciamo del nelle vesti di il dirigente dell'autorità garante paralisi quello che osservo che ancora la strada verso una chiarezza normativa è tutta in salita perché purtroppo il mondo delle tecnologie il mondo delle frodi informatiche è fortemente sotto rappresentato nelle istituzioni questa cosa si riflette anche nella qualità delle norme che incidono sul nostro mi accomuna anch'io lo sul nostro settore adesso vediamo la delle previsioni sull'agenda digitale articolo quarantasette prevedono diciamo sottolineato commesso questa parte sottolineata come aggiunta al testo è però che non commento e che lascio così alla valutazione recentemente la commissaria Cruz che è venuta in visita a Roma che noi tanto come autorità garante conosciamo da un paio d'anni essendoci confrontati con lei su tematiche di protezione dati è rilevando la particolare di particolare interesse verso lo sviluppo di queste tecnologie per cui se Cruz ha fatto delle critiche poi di comprensibili o meno però sicuramente il dato che ha colpito era forse la mancanza di governo centrale di queste dinamiche di ammodernamento della ammodernamento della pubblica amministrazione e della società italiana concluso le tecnologie l'articolo quarantasette aggiunte digitale con riferimento a parte sottolineata probabilmente non rassicurerebbe la la confusa laddove insomma si prevede una corposo Colletti collettiva partecipazione uno strumento del concerto alla elaborazione di una cabina di leggi detto questo prendiamo atto che comunque in questo articolo quarantasette del Po semplificazioni all'comma due bis alla lettera d siamo toccati direttamente tutti noi qua in quanto interessati a Claudio in quanto si tratta della promozione della diffusione del controllo di architetture Claudio per attività e servizi di pubblica amministrazione e poi vedremo come verrà tradotto questo nei successivi atti che verranno adottati la come e come dicevamo invece torno a essere appartenente alla garante per la protezione dati personali infatti devo fare anche qualche domanda retoricamente a me stesso ma in realtà tutti noi non si deve senz'altro lavorare un po'sulla consapevolezza dei rischi dobbiamo anche mitigare lavorare insieme agli esperti technology per mitigare i rischi percepiti e non reali far capire come certi strumenti mi riferisco qui in particolare alle tecnologie della sulla carta recita accorge capito grazie quanto possa essere abitanti della sicurezza dei trattamenti sicuri pur tuttavia voglio citare qui degli studi un un articolo molto interessante che che non è un articolo recente all'articolo mille novecento sessantatré pubblicato negli atti della John computer conferenza sessantacinque l'autore Roberto fanno Roberto fanno che è spero sia ancora vivente vera vecchietto fino a qualche anno fa che lascio l'Italia negli anni trenta per comprensibili motivi lascio d'Italia e divenne il direttore il progetto metta le mani di e poi è stato un contributo importante io venendo dalla dalla comunità di performance dei sistemi operativi il progetto ma altri stata una miniera di avanzamenti è un di cose molto interessanti per chiunque a seguito l'evoluzione dei sistemi informativi dei sistemi distribuiti e dei sistemi operativi allora fanno cosa diceva in questo anche più che è un articolo scientifico era una specie di piccolo saggio sulle minacce alla privacy sui rischi per la pricing che potevano derivare dall'adozione di modelli centralizzati poiché l'obiettivo di quei tempi a rendere il elaborazione dati come utility quindi l'utopia di avere al testo la capacità di calcolo perché si parlava di compiuti in power all'epoca ma vista già prefigurato a metaforicamente come la una protesi logica così come l'energia meccanica per elettrica varato delle protesi meccanica l'essere umano il compiuti in power se trasferito al testo sui rubinetti diciamo informatici elettronici portava poteva essere usato come protesi logica però il rischio paventato e straordinariamente attuale quando andiamo a leggere che di fronte che questi sistemi con questi sistemi di registrazione di massa o sistemi di community computer potrebbero essere i dati personali diventare aperti a scrutinio ad esame di qualcuno quali mezzi tecnici saranno disponibili per escludere prevenire indagini lecite dove verrà posta la linea tra illegale ed illegale queste sono sono delle dei dubbi che diciamo affliggono tuttora la nostra società informatica i custodi del sistema saranno capaci di resistere alle tentazioni dall'esterno da agenzie governative da gruppi di interesse per custodire le informazioni quindi qua rari prossimi riproposizione delle corrisposto oggetti Ipsos custode stima di giornale ma con altre parole e noi ci siamo confrontati un questi temi due anni fa a tre anni fa anzi nel due mila otto con al provvedimento dell'autorità sugli amministratori di sistema per esempio quindi diciamo il il messaggio per me è duplice sono molto molto con molto piacere ho ascoltato il posto ateniese perché è quella la chiave bisogna promuovere la conoscenza di questi strumenti sono gli unici che possono poi anche dare fiducia per l'utilizzo di certe tecnologie ovviamente gli scenari del Claudio visto non saranno mai sono scenari importanti e urgenti non totalizzante di perché ci sono tante lavorazioni che probabilmente non non converrà a trasferire sul plaude penso al controllo di processo penso esiste mia realtà in che hanno altri requisiti che probabilmente l'attuale tecnologia Claudio non consente di soddisfare per la gran parte delle elaborazioni senz'altro per il supporto al business probabilmente invece è una strategia vincente per la riduzione dei costi anche per l'efficienza però se non si adotteranno le misure adeguate per trasmettere senso di fiducia al consumatore l'utente al cittadino che l'utente di tutti i servizi pubblici probabilmente l'adozione di queste tecnologie andrà incontro a forti rallentamenti e quindi io chiudo qui con queste parole diciamo inquietanti nella misura in cui vengono da da un millennio passato ma a volte diciamo il pensiero non sempre così ma in informatica tanto di ciò di cui di battiamo è stato detto anche negli anni tra lo sappiamo tanto c'è da fare per avanzare ma certi concetti chiave stupefacente con quale acume siano stati messi a fuoco già nei decenni passati uno per tutti c'è un'altra tecnologia abitante che cos'è la tecnologia dell'avvio attualizzazione la tipologia abitante dei dei sistemi di Claudio che in fondo è nata negli stessi anni in cui scrivevano fanno i beni dei tempi del progetto ma molti x comunque io vi lascio qui con queste suggestioni e sono poi a disposizione anche dopo questa sessione per eventuali scambi di informazioni non risponde a domande la ringraziamo il dottor Comella per le aree di intervento per appunto il suo contributo e concludo è garante a quelle che sono i nuovi scenari che Claudio Del altre se ci sono delle domande

Da Youtube

Ven, 10/10/2014 - 15:55
52:27
Il 7 ottobre il PON R...
Ven, 10/10/2014 - 13:50
1:00:02
Il 7 ottobre il PON R...
Ven, 10/10/2014 - 13:30
10:13
A Bologna il 22, 23 e 24 ottobre, nell'ambito di Smart City Exhibition parleremo di Open Data.
Ven, 09/26/2014 - 10:59
1:17:14
L'Osservatorio Nazionale Smart City dell'ANCI e FORUM PA hanno promosso un evento dedicato alla...
Mer, 09/10/2014 - 16:56
0:32
Mer, 09/10/2014 - 16:56
0:46
Mer, 09/10/2014 - 16:56
0:32
Mer, 09/10/2014 - 16:55
0:33
Mer, 09/10/2014 - 16:55
0:33
Gio, 06/26/2014 - 11:06
56:47
Mercoledì 25 giugno FORUM PA e Digital...
Ven, 06/13/2014 - 11:14
1:16
A margine della conferenza "Twist and Share. La PA alla svolta dell'economia collaborativa",...
Gio, 06/12/2014 - 17:04
0:32
A margine della conferenza "Twist and Share. La PA alla svolta dell'economia collaborativa",...

Potrebbero interessarti anche

Venerdì, 18 Maggio 2012 - 12:00am
01:06:53
Francesco Pizzetti
Francesco Pizzetti è intervistato da Ernesto Belisario nell'ambito XXIII Edizione del Forum PA 2012 "Agenda Digitale e Sviluppo nell'Open Government" (16 - 19 maggio)
Giovedì, 17 Maggio 2012 - 12:00am
00:27:52
Paolo Reboani
XXIII edizione del Forum PA 2012 "Agenda Digitale, Semplificazione e Sviluppo nell'Open Government" (16 - 19 maggio 2012)
Venerdì, 18 Maggio 2012 - 12:00am
00:48:11
Mauro Bonaretti
XXIII Edizione del Forum PA 2012 "Agenda Digitale, Semplificazione e Sviluppo nell'Open Government" (16 - 19 maggio 2012)
Venerdì, 18 Maggio 2012 - 12:00am
00:53:01
Gustavo Piga
XXIII Edizione del Forum PA 2012 "Agenda Digitale e Sviluppo nell'Open Government" (16 - 19 maggio)
Giovedì, 17 Maggio 2012 - 12:00am
00:08:27
Danilo Bianco
XXIII edizione del Forum PA 2012 "Agenda Digitale, Semplificazione e Sviluppo nell'Open Government" (16 - 19 maggio 2012)