Scusate il titolo un po' provocatorio.
Qui mi rivolgo a tutti gli esperti di legge sulla privacy e di aspetti legali legati al mondo dell'informatica in generale.
Il problema è il seguente:
per acquistare prodotti in un determinato negozio (fisico, non virtuale su internet) è necessaria una registrazione presso il negozio stesso. Sul loro sito internet permettono di scaricare un file .zip con dentro il catalogo in formato .txt di tutti i loro prodotti. Da parecchi mesi però nel file zip, oltre al catalogo, è presente anche un database Access protetto da password.
Ovviamente mi sono chiesto cosa potesse farci un tale file protetto, e quindi non inteso per la consultazione al pubblico, in un file liberamente scaricabile.
Ora tutti sappiamo che le protezioni MS non sono certo un baluardo in fatto di sicurezza, anzi... curioso, trovo la password ed entro. Il db, notate bene, è sul mio PC perchè mi è stato permesso di scaricarlo. Per ottenerlo non è stata forzata nessuna area protetta del sito!
Cosa trovo dentro al DB? oltre alle tabelle dei prodotti anche quella dei clienti!!!!
I dati sono personali e non sensibili. Si trovano: nome, cognome, date di affiliazione, indirizzo completo, numero di tel e/o cellulare, codice fiscale, data di nascita, numero di un documento di identificazione, eventuale email etc...
Ovviamente la cosa non mi piace molto...
Molti mesi fa ho fatto presente la cosa e mi è stato detto che avrebbere provveduto. Oggi la cosa non è ancora cambiata.
Ho rifatto presente il problema è mi è stato risposto di tutto punto che quello in torto ero io perche avevo violato un DB protetto. A nulla sono valse le mie obiezioni e il tentativo di far loro capire che quel file in quel posto non ci deve assolutamente stare. Io speravo di convincerli a toglierlo e loro continuavano a sostenere che ad essere in torto ero io e non loro... un po' di coda di paglia forse ce l'avevano.
Fatto sta che per qualche arcano motivo, di cui non mi hanno voluto far partecipe, non hanno assolutamente intenzione di risolvere la cosa... e sinceramente non riesco a capirne il motivo.
Ora le mie domande sono queste:
1- Il comma 1 delll'articolo 15 della legge 675 sulla privacy dice che:
questo non mi sembra sia stato fatto, cosa ne pensate? si puo' parlare di infrazione di tale legge?I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
2- Dal momento che danno consapevolmente la possibilità di scaricare in modo regolare un file protetto, dal momento che non è stato infranto nessun sistema informatico remoto e la violazione del DB è stata effettuata su un PC sul quale è stato scaricato tale file... si puo' parlare di effettiva irregolarità da parte mia?
Dal mio punto di vista è come se mi si regalasse una cassaforte chiusa. Se poi riesco ad aprirla sono fatti miei visto che mi è stata volontariamente consegnata. Sbaglio?
Aspetto i vostri consigli. Devo assolutamente convincerli che in torto sono loro e che devono togliere da lì il file incriminato.
scusate il post un po' lungo...
Rispondi quotando