Il trattamento dei dati con supporti mobili

Compendio

Prima che esistesse il trattamento elettronico dei dati, i propri testi venivano messi su carta, a mano o con la macchina per scrivere, e i documenti confidenziali chiusi a chiave in un armadio, sottratti agli sguardi indiscreti. Per evitare che tali scritti andassero persi, ad esempio a causa di un incendio, si eseguivano copie, custodendole in un luogo sicuro.
Oggi, grazie alle possibilità offerte dall'informatica, vi sono molteplici varianti di trattamento dei dati che, da un lato, sono comode ed efficienti ma, dall'altro, in particolare nel caso di informazioni sensibili, sollevano dubbi sulla sicurezza dei dati stessi. Dalla mobilità dell'uomo moderno risultano in particolare nuovi rischi, che vanno affrontati in modo adeguato. Di seguito, con l'esempio del signor Unstet, vogliamo mostrarvi concretamente come ciò sia possibile.

Il signor Unstet si trova bene con il suo datore di lavoro, tuttavia osserva attentamente il mercato del lavoro e di tanto in tanto si candida per posti che gli paiono interessanti. Inoltre, aggiorna regolarmente il suo curriculum vitae (CV). Spirito mobile e moderno, il signor Unstet vuole poter lavorare in ogni momento e ovunque al suo CV e ovviamente avere sempre accesso all'ultima versione del documento. Poiché contiene informazioni assai personali e rappresenta un profilo della personalità, è importante preservare sempre la riservatezza del curriculum vitae.

Il signor Unstet è sensibile alla questione della protezione dei dati e tiene molto alla riservatezza dei suoi dati personali. Riflette quindi sui criteri che devono essere soddisfatti per un trattamento sicuro e conforme alla protezione dei dati. Sa che, secondo un'indagine svolta a Londra nel 2006, nell'arco di sei mesi nei taxi della capitale inglese sono stati trovati 55000 telefoni cellulari, 5000 palmari, 3000 laptop e 900 chiavette USB.[1] Un ulteriore pericolo è rappresentato dai codici nocivi (virus, troiani, vermi informatici), che si diffondono attraverso gli apparecchi portatili. I delinquenti tentano sempre più spesso di ottenere in questo modo dati personali sensibili.[2]
Nello specifico, il signor Unstet verifica fino a che punto la riservatezza, l'integrità e la disponibilità dei suoi dati siano garantite nell'impiego delle diverse soluzioni, in particolare riguardo ai rischi elencati all'articolo 8 dell'ordinanza relativa alla legge federale sulla protezione dei dati (OLPD):

  • distruzione accidentale o non autorizzata;
  • perdita accidentale;
  • difetti tecnici;
  • falsificazione, furto o uso illecito;
  • modificazione, copia, accesso o altro trattamento non autorizzati.

Di quali soluzioni dispone dunque il signor Unstet per il trattamento mobile del suo CV? Si possono distinguere le seguenti 4 forme generali (modelli):

  • dati locali, applicazione locale
  • dati locali, applicazione su Internet
  • dati su Internet, applicazione locale
  • dati su Internet, applicazione su Internet
Per ognuna di queste varianti (descritte nel dettaglio qui di seguito) risultano necessità specifiche, rilevanti per le esigenze di protezione dei dati del signor Unstet.

[1] http://www.pressebox.de/pressemeldungen/ime-mobile-solutions-gmbh-0/boxid-94946.html (soltanto in tedesco e inglese)
[2] http://www.symantec.com/de/de/about/theme.jsp?themeid=smpr_20090415&depthpath=0 (soltanto in tedesco)

Modello 1: dati e applicazione locale

Nel caso di questo modello, vi sono tre varianti interessanti per il signor Unstet:

a) dati e applicazione si trovano su un laptop o su un dispositivo mobile.
Il signor Unstet utilizza questo apparecchio, sul quale si trovano il suo curriculum vitae in forma elettronica e le applicazioni necessarie a trattarlo. In questo caso può trattare i dati senza memorie esterne o estraibili e anche senza connessione a Internet;

b) i dati si trovano su una chiavetta USB e l'applicazione su un PC (p.es. a casa, sul posto di lavoro o in un Internetcafé).
Il signor Unstet non dispone di un computer portatile e conserva il suo CV su una memoria mobile (p.es. su una chiavetta USB). Per trattare i dati necessita di un computer con un'applicazione compatibile. Può collegare la chiavetta USB al computer, ad esempio, al suo PC di casa, alla postazione di lavoro in ufficio PC, nell'Internetcafé ecc. Tratta i dati direttamente sulla chiavetta. Anche in questo caso non necessita di alcuna connessione a Internet. È indispensabile copiare i dati a intervalli regolari su un apparecchio sicuro (backup);

c) dati e applicazione si trovano su un supporto di dati mobile (p.es. una chiavetta USB).

Proprietà ed esempi

In nessuna delle varianti descritte è necessaria una connessione a Internet. Nelle varianti a e c, i dati e l'applicazione che serve a trattarli sono sotto controllo e responsabilità del signor Unstet.
Esempio
Per l'elaborazione di testi si può ad esempio utilizzare AbiWord[1], un'applicazione ottenibile gratuitamente e disponibile per tutti i sistemi operativi di uso corrente. AbiWord esiste anche quale versione portatile[2], che è possibile portare con sé ovunque su una chiavetta USB. Può essere avviata senza installazione sul computer sul quale si sta lavorando, il che è molto utile qualora esso non disponga di un'adeguata elaborazione di testi.
Vantaggi
Se i dati e l'applicazione si trovano su una memoria locale, si elimina il pericolo di accesi da parte di terzi o di programmi dannosi da Internet e non si dipende inoltre da offerenti esterni. Nelle varianti a e c, la disponibilità di dati e applicazione da parte dell'utente è alta.
Svantaggi
A causa del pericolo di perdita o danneggiamento, il signor Unstet deve sempre portare con sé i suoi dispositivi di memoria (dati e applicazione). Inoltre, eseguire copie di sicurezza è oneroso e la mobilità dell'utente è limitata. Nella variante b, il signor Unstet ha accesso al suo CV soltanto se trova un PC con un'applicazione compatibile.

Conclusione: rischi e raccomandazioni

Nel caso del modello 1, l'elevata disponibilità si ottiene a prezzo di un'utilizzazione scomoda. In compenso, la riservatezza è elevata.
I dati che si trovano su un supporto USB rischiano di andare persi, di essere danneggiati o distrutti a causa di un furto o  un difetto tecnico. Chi utilizza chiavette dovrebbe tenere presente che si possono perdere facilmente. Se i dati sono degni di protezione, si dovrebbe perciò lavorare in ogni caso con dati cifrati. Un'applicazione utile a tale scopo, semplice e ottenibile gratuitamente in rete, è ad esempio Truescript.

[1] http://www.abisource.com/ (soltanto in inglese) o http://abiword.org/ (soltanto in inglese)
[2] http://portableapps.com/ (soltanto in tedesco, inglese e russo)

Modello 2: dati locali, applicazione su Internet

Nel caso di questo modello, i dati si trovano su un computer (p.es. PC laptop) o su un dispositivo di memoria mobile (p.es. chiavetta USB). Nella prassi questo modello è piuttosto raro. Nella maggior parte dei casi gli offerenti propongono nel pacchetto sia l'applicazione sia lo spazio di memoria per i dati. Questa situazione è tuttavia realizzabile memorizzando i dati localmente e cancellandoli presso il provider.

Proprietà

Poiché il signor Unstet porta con sé soltanto il suo curriculum vitae, per trattarlo deve ricorrere all'applicazione di un offerente, che trova su Internet. Per tale modello è dunque assolutamente necessaria una connessione a Internet.
Vantaggi
Il signor Unstet non deve portare l'applicazione con sé. I suoi dati sarebbero fisicamente disponibili anche se l'offerente venisse a mancare (p.es. per interruzione del servizio). La maggior parte degli offerenti consente ai clienti di memorizzare i dati in formati usuali (pdf, doc ecc.).
Svantaggi
Per il trattamento dei dati è indispensabile una connessione a Internet, che cela il pericolo di accessi non autorizzati e di infezioni da parte di programmi dannosi. Il signor Unstet deve poter contare sul fatto che l'applicazione offerta è disponibile e compatibile con i suoi dati. È possibile che il trattamento dei dati venga compromesso se l'offerente di un'applicazione di proprietà sospende il suo servizio. Questo tuttavia succede raramente.

Conclusione: rischi e raccomandazioni

Vi è il rischio che l'offerente dell'applicazione continui a conservare copie dei dati sui propri server anche se l'utente ha cancellati i dati dopo averli trattati. Questo modello va utilizzato con prudenza, in particolare se si lavora con dati personali sensibili. Si consiglia di trattare i dati dopo averli criptati.
Se il signor Unstet elabora ad esempio il suo CV con Google Drive, può criptare il testo direttamente nell'elaborazione di testi (p.es. con Boxcryptor) e memorizzarlo in questa forma. In questo modo i suoi dati sono protetti.

Modello 3: dati su Internet – applicazione locale

Nel caso di questo modello, il signor Unstet, pur modificando il suo CV con un'elaborazione di testi locale, memorizza il suo documento presso un offerente su Internet.

Proprietà ed esempi

Esempio Wuala[1]
Questo software gratuito basato su una rete peer-to-peer (da pari a pari) consente all'utente di depositare i suoi documenti criptati su Internet (l'uso di grandi capacità di memoria è tuttavia soggetto a costi). Lo spazio di memoria Wuala è visibile quale disco duro virtuale e va così utilizzato nella maniera abituale. Ogni utente può anche mettere a disposizione il proprio spazio di memoria inutilizzato. Il criptaggio e il decriptaggio avvengono sul computer locale, in modo che i testi in chiaro non lascino la postazione locale. Anche agli amministratori di Wuala non sarebbe possibile decrittare i documenti depositati.
Quale elaborazione di testi si può ad esempio utilizzare AbiWord [2] (v. pagina 5).

Nel caso di questo modello, vi sono tre varianti interessanti per il signor Unstet:
a) l'applicazione si trova su un laptop o su un apparecchio simile;
b) l'applicazione si trova su un PC (p.es. a casa, sul posto di lavoro o in un Internetcafé);
c) oppure l'applicazione si trova su una chiavetta USB.

Vantaggi

  • A casa, in ufficio, nell'Internetcafé o per strada con il Notebook/lo Smartphone WLAN il signor Unstet può accedere al suo CV e trattarlo. Non deve portare con sé i file su supporti di dati;
  • poiché non porta più con sé il file del suo CV, non può neanche perderlo. Eventuali danneggiamenti del supporto di dati non possono dunque preoccupare il signor Unstet;
  • il signor Unstet non deve occuparsi personalmente del backup dei suoi dati poiché, di regola, è un compito assunto dall'offerente Internet. La perdita di documenti è assai improbabile;
  • se occorre, è possibile optare per un offerente con server in ambienti ad alta sicurezza e archiviazione geograficamente separata (bunker per dati in Internet).
  • per lo più economico.

Svantaggi

  • Senza connessione a Internet, il signor Unstet può, certo, avviare la sua applicazione per testi, ma non può accedere ai suoi documenti. La presenza di una connessione a Internet è dunque condizione necessaria;
  • sul computer sul quale sta lavorando il signor Unstet deve essere installata un'adeguata applicazione per l'elaborazione di testi (solitamente ciò avviene), oppure egli deve portarne una con sé;
  • qualora l'offerente Internet abbia tecnicamente accesso al testo in chiaro, il signor Unstet deve confidare nella sua onestà.

Conclusione: rischi e raccomandazioni

  • Le condizioni generali andrebbero lette accuratamente;
  • si raccomanda di criptare i dati depositati presso l'offerente Internet, se possibile sul client computer;
  • anche se l'offerente Internet provvede alla sicurezza e alla disponibilità dei documenti, per i documenti importanti occorrerebbe di tanto in tanto eseguire una copia da conservare in un luogo sicuro.
    [1] http://www.wuala.com/de/ (soltanto in tedesco e in inglese)
    [2] http://www.abisource.com/ (soltanto in inglese) o http://abiword.org/ (soltanto in inglese)
    http://portableapps.com/ (soltanto in tedesco, inglese e russo)

Modello 4: dati su Internet – applicazione su Internet

Per questo modello, il signor Unstet utilizza un'applicazione Internet e deposita anche il suo CV in Internet. Né l'applicazione né i dati sono dunque memorizzati localmente.

Proprietà ed esempi

Esempio: Google Drive[1]
L'applicazione gratuita di Google per l'elaborazione di testi e il calcolo delle tabelle funziona direttamente nel browser Internet dell'utente. Non occorre installare un software supplementare. A ogni PC Internet è dunque possibile lavorare senza problemi ai propri testi.
Si possono archiviare localmente e caricare documenti, mentre è impossibile escludere l'archiviazione automatica a intervalli regolari su Internet. Google non offre il criptaggio dei file. Applicazioni comparabili sono ad esempio Zoho Writer[2] e thinkfree[3].

Vantaggi

  • Il signor Unstet si può sedere davanti a un qualsiasi computer connesso a Internet (a casa, sul posto di lavoro o in un Internetcafé ecc.) e trattare il suo CV. Non deve portare con sé alcun supporto di dati. Non sussiste così neanche il rischio di danneggiamento, perdita o furto della chiavetta USB o di un altro dispositivo di memoria. Anche in caso di furto o di perdita del computer il signor Unstet rimane in possesso dei suoi dati;
  • mentre si lavora al documento, le modifiche apportate vengono generalmente memorizzate automaticamente e a intervalli regolari;
  • il signor Unstet non deve pensare a un backup
  • il rischio di una perdita di dati causata da fuoco, acqua, furto ecc. è minimo.

Svantaggi

  • Per accedere ai propri dati e poterli trattare, è sempre necessaria una connessione a Internet funzionante.
  • fintanto che i dati non sono criptati (Google Drive non offre alcuna funzione di criptaggio), la riservatezza dei dati può essere minacciata. L'utente ha un controllo limitato sui propri dati.

Conclusione: rischi e raccomandazioni

  • Leggete accuratamente le condizioni generali dei fornitori di servizi interessati, in particolare le disposizioni in materia di protezione dei dati; chi ha accesso in quale caso a quali dati?
  • durante la sessione di lavoro occorre badare a non lasciare tracce o a cancellarle in modo sicuro una volta chiusa l'applicazione. Ciò vale soprattutto se si lavora su computer estranei (p.es. nell'Internetcafé);
  • scegliete password facili da ricordare e difficili da indovinare;
  • il computer utilizzato deve essere libero da programmi dannosi (malware), in particolare per evitare attacchi ai documenti. Occorre anche assicurarsi che non sia installato alcun keylogger o programma analogo che "catturi" i dati di accesso dell'utente al sistema di testo online;
  • si deve confidare nel fatto che l'offerente Internet tratti i dati personali in modo corretto e riservato. In caso di problemi economici questi potrebbe vendere i dati personali amministrati (p.es. nell'ambito della procedura di insolvenza).
Per criptare i testi si può ad esempio impiegare Boxcryptor[4], un software gratuito di facile utilizzo, che funziona con ogni applicazione a base testuale, in particolare con Google Drive, attivo nel browser web. È praticamente sufficiente premere un pulsante per criptare o decriptare il testo. Occorre tuttavia tenere presente che durante il trattamento sul server di Google il testo potrebbe anche essere visto da altri.

Considerazione finale e informazioni supplementari

La scelta della soluzione dipende da diversi fattori ed è determinata dai costi, dal livello di protezione o da direttive formali (p.es. formato dei documenti, lavoro d'équipe). Sono inoltre molto importanti le disposizioni legali e la disponibilità di mezzi (p.es. accessi a Internet). I modelli illustrati si possono impostare con un onere più o meno grande rispettando i principi della protezione dei dati. Oggi, il trattamento di dati memorizzati in un luogo diverso da quello in cui ci si trova è tecnicamente fattibile. Tuttavia, la qualità di una simile soluzione dipende dai dati da trattare.

Se i dati non contengono informazioni personali, nessuna delle varianti analizzate presenta problemi dal profilo della protezione dei dati. Ma appena si trattano dati che per interesse personale o sulla base di disposizioni legali non vanno destinati a terzi, i requisiti posti alle soluzioni sono più severi. Se l'informazione non deve essere vista da altri, occorrerebbe attenersi al seguente principio: criptare sempre i dati, indipendentemente da dove e su quale medium essi sono memorizzati e da chi li amministra. Ciò vale anche per i dati conservati sulla chiavetta USB.

Un ulteriore fattore decisivo per la scelta di una delle varianti surriferite è l'esigenza di disporre dei dati. Come abbiamo già ricordato, spesso i dati memorizzati vanno persi perché vengono smarriti telefoni cellulari, palmari, laptop o chiavette USB. Il rischio di perdere dati è minore se essi vengono memorizzati e amministrati facendo capo alle infrastrutture di provider professionali. Del resto, la stabilità di simili sistemi è solitamente maggiore. Tuttavia, l'utente deve ricordarsi dove ha memorizzato quali dati. Se ne perde la visione d'insieme, eventuali e malcelati scheletri nell'armadio potrebbero riservare talune sorprese. Lo stesso vale per la protezione di dati dai codici nocivi. Rispetto all'utente finale sui suoi apparecchi mobili, i provider professionali hanno, di regola, mezzi più efficaci per proteggere i dati da virus, troiani, vermi informatici e altri programmi dannosi.

La seguente tabella vuole essere d'aiuto per identificare il modello adatto a ridurre un determinato rischio. Si tratta di una caratterizzazione rudimentale dei quattro modelli in relazione con i rischi elencati nell'art. 8 dell'OLPD. Infine, occorre rilevare che non esiste una protezione assoluta per dati memorizzati, neanche per quelli massimamente personali. Perciò, memorizzare un'informazione degna di protezione è rischioso, indipendentemente dal sistema o dal modello scelto.

Documenti e link di approfondimento

  • Praxistipp: Sicherheit von USB-Sticks in Unternehmen (Consiglio pratico: la sicurezza delle chiavette USB nelle imprese). In: Datenschutzberater 4/2009 PC News: "Installationsfreie Programme und USB-Sticks" (Programmi esenti da installazione e chiavette USB). 2008, in: http://pcnews.at/?Id=14611&Type=Htm (soltanto in tedesco)
  • FoeBud e.V.: PrivacyDongle - Anonym im Internet surfen (PrivacyDongle - navigare anonimamente in Internet). 2009, in: https://www.foebud.org/datenschutz-buergerrechte/vorratsdatenspeicherung/privacydongle/index (soltanto in tedesco)
  • Pressetext Schweiz: Datenspeicher der Zukunft sind im Web.(I supporti di memoria del futuro sono in rete)] 2/10/2008, in: http://pressetext.ch/news/081002003/datenspeicher-der-zukunft-sind-im-web/ (soltanto in tedesco)
  • News.ch: Das Internet als Daten-Tresor oder gemeinsame Festplatte.(Internet quale cassaforte di dati o disco duro comune) 13/01/2009, in: http://www.news.ch/Das+Internet+als+Daten+Tresor+oder+gemeinsame+Festplatte/330494/detail.htm (soltanto in tedesco)
  • PC-Welt: Kostenloser Datenspeicher im Netz (Supporti di memoria gratuiti in rete). 2008, in: http://www.pcwelt.de/ratgeber/Backup-Filesharing-und-Community-Kostenloser-Datenspeicher-im-Netz-73825.html (soltanto in tedesco)
  • Thomas Söbbing: Cloud Computing - die Zukunftsvisionen von Amazon, Google und Microsoft rechtlich betrachtet (Cloud Computing - le visioni avveniristiche di Amazon, Google e Microsoft viste dal profilo giuridico). 2009, in: jusletter.ch del 10/8/09. (soltanto in tedesco)
  • World Privacy Forum: Privacy in the Clouds - Risks to Privacy and Confidentiality from Cloud Computing (Privacy nelle nuvole - i rischi per la privacy e la riservatezza derivanti dal Cloud Computing). 2009. http://www.worldprivacyforum.org/pdf/WPF_Cloud_Privacy_Report.pdf (soltanto in inglese)
  • Landesbeauftragter für den Datenschutz Niedersachsen: Mobiles Arbeiten - datenschutzgerecht gestaltet, Orientierungshilfe und Checkliste (Incaricato del Land della Bassa Sassonia per la protezione dei dati: il lavoro mobile impostato nel rispetto della protezione dei dati, vademecum e lista di controllo). 2003. http://cdl.niedersachsen.de/blob/images/C1405288_L20.pdf (soltanto in tedesco) 

Ultima modifica in maggio 2014

https://www.edoeb.admin.ch/content/edoeb/it/home/protezione-dei-dati/handel-und-wirtschaft/imprese/il-trattamento-dei-dati-con-supporti-mobili.html