E-privacy 2007 - Tecnocontrollo e Controllo Sociale

Interventi

"La paranoia è una virtù." - Anonimo, 1984

Programma del Convegno

venerdi 18 maggio
09:00 - 09:30 - Registrazione partecipanti
09:30 - 09:45 - Saluto degli organizzatori
09:45 - 10:30 - Il Progetto Winston Smith: relazione annuale - Marco A. Calamari
10:30 - 11:15 - Dal controllo della tecnologia al controllo sulla tecnologia - Shara Monteleone
11:15 - 11:30 - break
11:30 - 12:15 - Diritto di accesso ai documenti amministrativi elettronici - Francesca Romana Fuxa Sadurny
12:15 - 13:00 - Le linee guida del Garante per posta elettronica ed internet - Monica Gobbato
13:00 - 14:30 - break pranzo
14:30 - 15:15 - Identita'  personale e identita'  digitale - Raffaele Zallone
15:15 - 16:00 - La policy aziendale - Laura Lecchi
16:00 - 16:15 - break
16:15 - 16:45 - Le nuove potenzialita'  dei sistemi Rfid associati a dati biometrici - Michele Iaselli
16:45 - 17:30 - Non solo Google (Desktop) - Matteo G.P. Flora / Flavio Castelli

sabato 19 maggio
09:30 - 10:15 - Voice over Internet Privacy - Alessio L.R. Pennasilico
10:15 - 10:45 - Trusted Computing, il controllo totale - Daniele Masini
10:45 - 11:15 - Information Security Governance ed incidenti informatici - Gerardo Costabile
11:15 - 11:30 - break

11:30 - 12:30 - consegna BBA Italia 2007

12:30 - 13:00 - Anonymous Credentials Systems - Gianfranco Ciotti
13:00 - 14:30 - break pranzo
14:30 - 15:15 - Googletistic - Matteo G.P. Flora / Alessio Orlandi
15:15 - 16:00 - Google Search Obfuscator - Mauro Rappa
16:00 - 16:15 - break
16:15 - 16:45 - Dalla legge 547/93 sui reati informatici all'articolato Tanga - Daniele Minotti
16:45 - 17:30 - Videosorveglianza e video rilevazione - Giuseppe Nicosia

Dettaglio degli Interventi

Marco A. Calamari - Progetto Winston Smith
Progetto Winston Smith: relazione annuale
slide in formato pdf, odp; audio mp3 dell' intervento.

La relazione descrivera' i progetti realizzati e pianificati, gli obbiettivi raggiunti e mancati, le attivita' in corso e gli orientamenti generali del Progetto per le attivita' future: Privacy Box, DDL 1728 sulla Data Retention, Progetto 95%, gestione delle risorse per la privacy in rete, partecipazione a convegni e gruppi di lavoro.

Shara Monteleone - MICC Universita' degli Studi di Firenze
Dal controllo della tecnologia al controllo sulla tecnologia: necessita'  di un approccio tecnico-giuridico.
slide in formato pdf, ppt; audio mp3 dell' intervento e delle domande.

La presenza di tecnologie pervasive sembra inevitabile in tutta una serie di attivita' quotidiane(DRM, videocamere sofisticate, Rfid, sistemi di ubiquitous computing); il rapporto tra diritto e tecnologia e' sempre piu' di necessaria integrazione (come dimostra la normativa comunitaria), ma e' proprio nel legal-technical approach che vanno individuate le soluzioni (giuridiche e tecniche appunto) per un giusto equilibrio tra esigenze contrapposte.

Francesca Romana Fuxa Sadurny - Circolo Giuristi Telematici
Diritto di accesso ai documenti amministrativi elettronici e Privacy nell'ambito della P.A: conflitto potenziale? Le nuove frontiere dottrinali e giurisprudenziali.
slide in formato pdf, ppt; audio mp3 dell' intervento e delle domande.

La relazione intende fornire un quadro normativo e giurisprudenziale sul conflitto esistente fra diritto di accesso ai documenti amministrativi informatici e privacy nell'ambito dell'attivita'  delle p.a., alla luce delle novita'  introdotte dal DPR 445/2000 e dalla riforma della legge sul procedimento (l. n. 241/1990).

Monica Gobbato - studio legale Gobbato
Le linee guida del garante per posta elettronica e internet: aspetti Pratici e Giurisprudenza.
slide in formato pdf, ppt; audio mp3 dell' intervento e delle domande.

La Relazione esamina le linee guida del Garante del 1° marzo 2007 con particolare riferimento al rispetto dei Principi del Codice Privacy e dello Statuto dei Lavoratori (Legge 300 del 1970). Saranno illustrati gli accorgimenti suggeriti dal Garante per svolgere al meglio un corretto utilizzo degli strumenti informatici da parte dei lavoratori, con particolare riferimento alla posta elettronica e Internet.
La relazione evidenziera'  gli aspetti preventivi e le modalita'  per svolgere un eventuale controllo in modo graduale e non invasivo della liberta'  dei lavoratori. Seguira'  una breve analisi della Giurisprudenza in materia.

Raffaele Zallone - Unione degli Avvocati Europei
Identita'  personale e identita'  digitale: nuovi profili di tutela e di responsabilita'  in Internet.
slide in formato pdf, ppt; audio mp3 dell' intervento.

Il concetto di identita'  personale nella elaborazione della giurisprudenza. Dall'identita'  personale alla identita'  digitale. Caratteristiche della identita'  digitale. L'identita'  digitale come contenuto. La tutela dei contenuti nell'era di Internet. Contenuti e dati personali: la nuova responsabilita'  del provider: dal caso LICRA - Yahoo ai casi Google e Tiscali France.

Laura Lecchi - Studio Legale Lecchi
La policy aziendale: il controllo legittimo e regolamentato degli strumenti elettronici aziendali in uso nel rispetto del trattamento dei dati personali dei dipendenti?
slide in formato ppt; audio mp3 dell' intervento.

L'ammodernamento delle imprese e delle societa'  e la nascita della new economy hanno implicato l'ingresso di dotazioni tecnologiche che hanno preso il sopravvento e modificato non solo i metodi di lavoro, ma hanno fatto sollevare questioni che prima d'oggi non avevano avuto rilievo con una simile pregnanza. Attualmente gli interrogativi che il diritto si e' dovuto porre sono molteplici e rivolti sempre piu' spesso alla risoluzione di problematiche derivanti dall'uso e dal controllo degli strumenti informatici e telematici sempre in evoluzione. Si esaminera'  cio' che un dipendente all'atto dell'assunzione puo' ricevere la dotazione che segue: 1)il c.d. badge o cartellino elettronico, sistema di rilevazione biometrica;
2) un personal computer a postazione fissa o mobile (c.d. notebook) e connessione ad Internet per navigare (UAC);
3) un indirizzo e-mail con l'account della societa' ;
4) telefono fisso o cellulare aziendale;
5) schede prepagate con sistema scalare come per es. viacard o dispositivi similari (telepass).
Tutte problematiche queste che meritano di essere esaminate e disciplinate in un regolamento per un legittimo e corretto controllo, risparmio e tutela del patrimonio aziendale nel rispetto delle norme a presidio della protezione dei dati personali.

Michele Iaselli - Associazione Nazionale per la Difesa della Privacy
Le nuove potenzialita'  dei sistemi Rfid associati a dati biometrici: necessita'  e limiti.
slide in formato pdf; audio mp3 dell' intervento.

Gli ultimi tempi sono stati contraddistinti dall'utilizzo piuttosto frequente delle Radio Frequency ID Devices (Rfid), uno strumento utile in numerosi settori e per diverse finalita' : puo' essere impiegato, ad esempio, per il tracciamento di singole unita'  di prodotto nella catena di distribuzione dell'industria; per la prevenzione di furti e di contraffazioni dei prodotti; per garantire una maggiore rapidita'  nelle operazioni commerciali; per il controllo degli accessi ad aree riservate.
Di recente, in alcuni settori come quello bancario si e' previsto un ricorso piu' evoluto a questa tecnologia creando dei sistemi che vedono l'utilizzo congiunto di Rfid e dati biometrici. Cerchiamo di capire quale possa essere la convenienza e quali possano essere i problemi per le inevitabili ripercussioni sui diritti delle persone in termini di protezione dei dati personali. L'evoluzione tecnologica se da un lato ha reso sempre piu' semplici ed accessibili i meccanismi attraverso i quali la pretesa di solitudine dell'individuo tende ad essere compressa, dall'altro ha offerto forme di protezione e di prevenzione dalle intrusioni indesiderate che consentono di risolvere o quanto meno di attenuare in radice questo fenomeno. Cosicche' diventa essenziale non tanto evitare che altri violino il pur diritto fondamentale di essere lasciati soli, quanto consentire che ogni individuo possa disporre di un agile diritto di controllo rispetto alle tante informazioni di carattere personale che altri possano aver assunto.

Matteo G.P. Flora / Flavio Castelli - LkProject Privacy & Security
Non solo Google (Desktop)
intervento non presentato.

Il fenomeno del Desktop Search in ambiente Microsoft, MacOs X e Linux: pericoli per la privacy, strategie difensive e tipologie di dati recuperabili.
Quando qualche anno fa Google presento' il suo prodotto Google Desktop la comunita'  internazionale della Privacy si e' movimentata in massa per contrastare un fenomeno che poteva costituire una pesante invasione della Privacy dell'utente. A qualche anno di distanza, pero', le stesse tecnologie e gli stessi pericoli si sono infiltrati in quasi tutti i sistemi operativi, ma a volte senza che l'utente ne sia neppure a conoscenza. Non solo Google Desktop, ma anche Spotlight su MacOs X, la ricerca integrata di Windows Vista e addirittura un motore di personal search integrato nel nuovo KDE. Quali sono gli scenari? Quali i dati ricuperabili? Cosa viene indicizzato ed in che modo? Una analisi approfondita delle possibilita'  di utilizzo in ambito di Computer Forensics dei dati di ricerca e nel contempo una analisi delle strategie difensive da queste nuove minacce per la riservatezza dell'individuo.

Alessio L.R. Pennasilico - AIPSI
VoIP: Voice over Internet Privacy
slide in formato pdf; audio mp3 dell' intervento.

Il VoIP e' uno strumento sempre piu' diffuso, grazie alla sua economicita', anche tra gli utenti privati, oltre che tra le aziende. Quali rischi comportano le diverse soluzioni disponibili? Come preservare la nostra riservatezza?
Breve viaggio dal softphone al centralino IP in casa, passando per le diverse tecnologie, implementazioni e licenze.

Daniele Masini - No1984.org
Trusted Computing, il controllo totale.
slide in formato pdf, odp; audio mp3 dell' intervento e delle domande.

La sicurezza dei meccanismi digitali sta diventando un argomento sempre piu' importante, sia come protezione dei sistemi che come protezione dei diritti d'autore sulle opere distribuite con tali tecnologie.
Il Trusted Computing e' un meccanismo che permette il controllo totale e pervasivo dei sistemi digitali, pertanto potrebbe garantire entrambe le protezioni. Tutti i dispositivi digitali (cellulari, computer, TV, lettori/masterizzatori DVD, ...) stanno utilizzando questa tecnologia. Il problema e' che il Trusted Computing non sara'  sotto il controllo del legittimo proprietario del dispositivo, che invece sara'  considerato un possibile malintenzionato dal quale difendersi.

Gerardo Costabile - Poste Italiane
Information Security Governance ed incidenti informatici: graduazione dei controlli interni alla luce delle nuove indicazioni del Garante della Privacy
slide non disponibili; audio mp3 dell' intervento.

Il primo marzo il Garante della Privacy ha emanato le linee guida circa l'utilizzo della posta elettronica e di internet negli ambienti di lavoro, a completamento di un lavoro di raccolta ed armonizzazione delle indicazioni emanate nel tempo in materia di protezione dei dati dei dipendenti e di controllo datoriale.
L'utilizzo di Internet e della posta elettronica da parte dei lavoratori puo' potenzialmente formare oggetto di analisi, profilazione e integrale ricostruzione, generalmente mediante elaborazione di file di log. Appare necessario, da parte del datore di lavoro nell'ambito dei cosiddetti controlli difensivi, ispirarsi a principi di trasparenza, pertinenza, non eccedenza, indicando le ragioni legittime -specifiche e non generiche- per cui gli stessi verrebbero effettuati e le relative modalita' . Nell'effettuare controlli sull'uso degli strumenti elettronici dovra'  essere evitata un'interferenza ingiustificata sui diritti e sulle liberta'  fondamentali di lavoratori, come pure di soggetti esterni che ricevono o inviano comunicazioni elettroniche di natura personale o privata. Il Garante Privacy indica che, nel caso in cui un evento dannoso o una situazione di pericolo non sia stato impedito con preventivi accorgimenti tecnici, il datore di lavoro potra'  adottare eventuali misure che consentano la verifica di comportamenti anomali, preferendo ove possibile un controllo preliminare su dati aggregati (il c.d. controllo graduale), riferiti all'intera struttura lavorativa o a sue aree. L'intervento si ispira a tali indicazioni, approfondendo l'applicabilita'  in un contesto di Information Security Governance in una organizzazione aziendale complessa. Sara'  poi illustrato un case study di un incidente informatico aziendale da parte di un insider.

Gianfranco Ciotti - Progetto Winston Smith
Anonymous Credentials Systems
slide in formato pdf; audio mp3 dell' intervento.

Anonymous Credential System, ossia come rendere anonimi i nostri dati personali, assicurandoci cosi' la protezione da furti di identita'  o altri tipi di abusi. Quando inviamo i nostri dati personali per abbonarci ad una rivista o prenotare una vacanza, lasciamo dietro di noi una traccia di dati che rivela molteplici informazioni sulla nostra persona e sulle nostre preferenze. Gli Anonymous Credential System ci aiutano utilizzando pseudonimi e credenziali cifrate e rendendo in questo modo le transazioni perfettamente anonime.

Consegna dei premi Big Brother Award Italia 2007
Audio mp3 della consegna dei premi positivi e negativi.

Anonymous Credential System, ossia come rendere anonimi i nostri dati personali, assicurandoci cosi' la protezione da furti di identita'  o altri tipi di abusi. Quando inviamo i nostri dati personali per abbonarci ad una rivista o prenotare una vacanza, lasciamo dietro di noi una traccia di dati che rivela molteplici informazioni sulla nostra persona e sulle nostre preferenze. Gli Anonymous Credential System ci aiutano utilizzando pseudonimi e credenziali cifrate e rendendo in questo modo le transazioni perfettamente anonime.

Matteo G.P. Flora / Alessio Orlandi - LkProject Privacy & Security
Googletistic: le statistiche di utilizzo che nessuno mai mostra.
slide in formato pdf; audio mp3 dell' intervento.

Quanto estesa e' realmente l'utenenza di Google nella vita del Web? Quale reale penetrazione di mercato hanno le soluzioni ed i servizi proposti dal gigante del Web? Quando ci si ritrova a defnire come "pericolose per la privacy" le operazioni di Google ci si scontra sempre con l'incredulita'  e con la scarsa propensione a ritenere che il fenomeno Google sia largamente diffuso. Se infatti la coscienza della permeazione diretta di Google come mezzo di ricerca e' ormai assodata e scontata nell'immaginario collettivo, risulta invade di difficile comprensione la vastita'  del fenomeno del tracciamento della navigazione "derivato", quello cioe' che Google stesso e' in grado di recuperare ed analizzare da suoi tool di piu' complessa rilevazione quali Google Analytics, Google AdSense, Blogger Services e la nuova acquisizione DoubleClick. Questi servizi risiedono infatti sui siti web dei CLIENTI e non esiste metodo di rilevazione o di statistica senza interrogare i domini web uno ad uno. Nell'ambito del progetto WatchingTheWatchers (WTW) verranno presentati i risultati preliminari delle statistiche di utilizzo dei servizi Google su 120.000 domini web inglesi, le statistiche che nessuno avrebbe mai voluto mostrare...

Mauro Rappa
Google Search Obfuscator: come nascondere le nostre ricerche.
slide in formato pdf; audio mp3 dell' intervento.

I log dei proxy web vengono usati per tracciare la navigazione degli utenti, in particolare a quali siti ci si connette; ma ad una analisi piu' approfondita possono rilevare molti dettagli riguardanti la nostra attivita' . Pensiamo all'utilizzo dei motori di ricerca, in particolare di Google: dall'URL registrata dal proxy possiamo risalire alla ricerca compiuta. La privacy di un consulente che sta usando il proxy dell'azienda presso il quale opera e' seriamente compromessa! Verra'  presentato un piccolo tool in javascript capace di 'nascondere' i termini di ricerca usando inoltre tecniche di evasione.

Daniele Minotti - Circolo dei Giuristi Telematici
Dalla legge 547/93 sui reati informatici all'articolato Tanga: elementi di tecnofobia giuridica.
slide in formato pdf, odp; audio mp3 dell' intervento.

Con la legge 547/93 si e' aperta la stagione della criminalizzazione delle condotte strettamente informatiche. E le norme, tutt'ora vigenti, hanno avuto applicazioni imprevedibili a seguito di un'elaborazione giurisprudenziale ulteriormente "adattiva". La "novita' " fa sempre piu' paura; e da tale atteggiamento si e' aperta una nuova frontiera del controllo con la criminalizzazione, pur al momento sventata, di crittografia e steganografia cosi' come appare evidente nel cd. "articolato Tanga".

Giuseppe Nicosia - Studio Legale Nicosia
Videosorveglianza e video rilevazione: utilizzazione propria ed impropria ed i diritti delle parti.
slide non disponibili; audio mp3 dell' intervento.

Volenti o nolenti la realta' del video controllo e della videosorveglianza e' costantemente con noi. Continuamente entriamo in contatto con aree videosorvegliate lasciando tracce della nostra presenza, dei nostri comportamenti, dei nostri desideri. Il problema e' pertanto non solo quello di garantire tutelato e ben bilanciato con le altre esigenze della collettivita', come quelle della lotta alla criminalita' ed alla tutela dei cittadini. Nell' intervento si analizzeranno le problematiche emergenti, con particolare riferimento a criticita' emerse negli ultimi anni ( videosorveglianza nei posti di lavoro, intercettazioni difensive, utilizzabilita' nei procedimenti giudiziari delle riprese effettuate anche per altri fini, diritti dei terzi estranei, etc.), proponendo una soluzione interpretativa e guardando in prospettiva di un intervento normativo.