On Fri, 27 Apr 2018 18:06 +0200, Roberto Tagliaferri
Post by Roberto TagliaferriPost by Leonardo SerniDel resto una mica mi si può smutandare davanti e poi denunciarmi per atti
di voyeurismo perché non sono stato svelto a girarmi.
Se io ricevo con regolarità email a contenuto sensibile OVVIAMENTE mi devo
attrezzare, e se poi quei dati li ho addirittura chiesti IO, ancor più. Ma
se me li mandi così a raglio, IMHO mica avanzi niente.
Mi interessano entrambi i casi.
Caso 1: ma il trattamento parte all'atto dello scaricamento.
Okay, avrai fatto una piccola lista di possibili sfighe e ti sarai attrezzato
contro ciascuna ("Che succede se perdo la password? Se mi rubano il PC? Se si
guasta qualcosa? Se arriva 'Cryptolocker'? Se la Polizia mi chiede una email?
Se devo dimostrare cos'è successo, e quando e a chi? Se cancello qualcosa per
errore? Se mi chiedono che email mi hanno mandato? E quanto tempo le tengo le
email? Qualcuno potrebbe recuperarle dopo che le ho cancellate?"). Tenendo in
ciascun caso conto della probabilità stimabile di quel rischio.
E' possibile che qualcuno mi seguestri la famiglia e mi chieda di aggirare le
mie innumerevoli sicurezze, visto che io sicuramente posso farlo in quanto ne
sono il titolare. NON è un motivo buono per farmi impiantare un secondo dente
pieno di cianuro, perché la probabilità che succeda è insignificante.
Post by Roberto TagliaferriAnche perché se non cancelli, svuoti cestino e poi compatti gli archivi la
tua email con i gusti sessuali del meccanico rimane sempre li.
E anche dopo la compattazione c'è sicuramente (un bell'SSD se non sbaglio
non sovrascrive finché può).
Okay, ma non si può pretendere più di tanto. Io tengo la macchina in ordine e
guido con attenzione, e un tizio mi _CADE_ davanti al cofano dall'albero dove
si era arrampicato per riprendere un aquilone. Sicuramente, se guido un'auto,
mettere sotto qualcuno non è impossibile; sicuramente se fossi andato a piedi
non sarebbe successo niente. Dovremmo quindi tutti andare solo a piedi? Anche
no. Uno prende le precauzioni RAGIONEVOLI.
Naturalmente devo dimostrare di averle prese, le precauzioni ragionevoli.
Per esempio il computer è protetto da una password considerata sicura e ha il
suo bravo antivirus. Se non ce l'ho e mi sbananano il PC, colpa mia. Se ce li
ho e mi sbananano il PC lo stesso, colpa loro.
Sicuramente se ad ogni email che ricevo brucio il laptop in un altoforno e ne
compro uno nuovo di pacca, il mittente è più tutelato. Però anche puppa.
Post by Roberto TagliaferriCaso 2: quindi chi detiene un qualsiasi server di posta deve essere
considerato trattante dati sensibili (e perché non giudiziari? posso avere
anche avvocati come clienti)?
Credo che sia irrilevante: se detieni un server di posta devi prendere quelle
precauzioni lo stesso e probabilmente le hai pure già prese. Il GDPR aggiunge
solo la faccenda del data breach e poco altro.
Dovrai magari comunicare agli utenti che i backup della posta sono riciclati,
distruggendo i dati più vecchi di un certo tot, e idem per i log.
Post by Roberto TagliaferriPrevedo grossi casini (molte aziende hanno server in casa e per chi come me
tratta posta elettronica si prospettano momenti incasinati)
Li prevedo anch'io, ma perché molte aziende hanno server non "in casa", bensì
"nel casino". E ora non si può più fare le cose alla sanfasò.
Per quello che ho letto, il GDPR, a uno che lavorava bene, aggiunge ben poco,
e le sanzioni per lui sono puramente teoriche. Salvo se è un grosso operatore
e gli serve il DPO, ma se è un grosso operatore qualcuno che già faceva più o
meno quel lavoro ce l'ha già, anzi probabilmente più d'uno.
===
Dalla corsa che vedo in altri ambiti al "Ma c'è un modo economico per potersi
adeguare?" o "Ma se trovo un pirla che mi firma un tuttobene, sono sicuro che
poi la colpa se la becca lui?", sospetto che parecchi non lavorassero bene, o
almeno abbiano parecchio la coda di paglia.
Leonardo
--
"You all presumably know why" :-) :-(