Consapevole violazione privacy

[Habanero]

Scusate il titolo un po' provocatorio.
Qui mi rivolgo a tutti gli esperti di legge sulla privacy e di aspetti legali legati al mondo dell'informatica in generale.

Il problema è il seguente:
per acquistare prodotti in un determinato negozio (fisico, non virtuale su internet) è necessaria una registrazione presso il negozio stesso. Sul loro sito internet permettono di scaricare un file .zip con dentro il catalogo in formato .txt di tutti i loro prodotti. Da parecchi mesi però nel file zip, oltre al catalogo, è presente anche un database Access protetto da password.
Ovviamente mi sono chiesto cosa potesse farci un tale file protetto, e quindi non inteso per la consultazione al pubblico, in un file liberamente scaricabile.

Ora tutti sappiamo che le protezioni MS non sono certo un baluardo in fatto di sicurezza, anzi... curioso, trovo la password ed entro. Il db, notate bene, è sul mio PC perchè mi è stato permesso di scaricarlo. Per ottenerlo non è stata forzata nessuna area protetta del sito!

Cosa trovo dentro al DB? oltre alle tabelle dei prodotti anche quella dei clienti!!!!
I dati sono personali e non sensibili. Si trovano: nome, cognome, date di affiliazione, indirizzo completo, numero di tel e/o cellulare, codice fiscale, data di nascita, numero di un documento di identificazione, eventuale email etc...
Ovviamente la cosa non mi piace molto...

Molti mesi fa ho fatto presente la cosa e mi è stato detto che avrebbere provveduto. Oggi la cosa non è ancora cambiata.
Ho rifatto presente il problema è mi è stato risposto di tutto punto che quello in torto ero io perche avevo violato un DB protetto. A nulla sono valse le mie obiezioni e il tentativo di far loro capire che quel file in quel posto non ci deve assolutamente stare. Io speravo di convincerli a toglierlo e loro continuavano a sostenere che ad essere in torto ero io e non loro... un po' di coda di paglia forse ce l'avevano.
Fatto sta che per qualche arcano motivo, di cui non mi hanno voluto far partecipe, non hanno assolutamente intenzione di risolvere la cosa... e sinceramente non riesco a capirne il motivo.

Ora le mie domande sono queste:

1- Il comma 1 delll'articolo 15 della legge 675 sulla privacy dice che:

I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

questo non mi sembra sia stato fatto, cosa ne pensate? si puo' parlare di infrazione di tale legge?

2- Dal momento che danno consapevolmente la possibilità di scaricare in modo regolare un file protetto, dal momento che non è stato infranto nessun sistema informatico remoto e la violazione del DB è stata effettuata su un PC sul quale è stato scaricato tale file... si puo' parlare di effettiva irregolarità da parte mia?
Dal mio punto di vista è come se mi si regalasse una cassaforte chiusa. Se poi riesco ad aprirla sono fatti miei visto che mi è stata volontariamente consegnata. Sbaglio?



Aspetto i vostri consigli. Devo assolutamente convincerli che in torto sono loro e che devono togliere da lì il file incriminato.



scusate il post un po' lungo...

[antares11]

indirettamente ti sei risposto da solo e ricapitolando
- come potenziale futuro cliente ti devi registrare, fornendo i dati richiesti
- dopodichè scaricatoti il file del catalogo prodotti, trovi un db cmq protetto da pw coi dati tuoi e/o di altri clienti tali o potenziali: questo file, che cmq non dovrebbe trovarsi in quel posto, riporta qualche avvertenza, tipo ......non riservato al pubblico.....accesso vietato.... o cose del genere?
- se sì, il negozio dovrebbe toglierlo perchè non interessa assolutamente alla potenziale clientela, a maggior ragione dopo aver ricevuto una segnalazione in merito
- se no, nessuno ti impedisce di aprirlo e, visto il contenuto, ugualmente il negozio dovrebbe toglierlo dal catalogo visto la possibile anche se involontaria violazione di privacy

conclusione: concordo con quanto pensi, il negozio deve assolutamente provvedere a togliere quel db, facilmente violabile e oltretutto fuori posto, dal file scaricabile


o/t [e che dire che del fatto che avendo io richiesto la 256 di tin.it, quando entravo nell'apposito sito per controllare lo stato di avanzamento della connessione, digitando il mio numero di telefono non vedevo la mia richiesta ma di volta in volta quelle di altri aspiranti utenti di tin.it 256 che l'avevano richiesta come me quel giorno? e da ogni parte d'italia!
che dire ancora se interrogo telecom mi dice che ho un'adsl BBB? e questo tuttora, mentre da quasi un mese navigo gratis con alice mega, receduta?....]
non mi meraviglia niente più di tanto

[pinOut]

Non ne so granché in termini di legge, quindi il mio non è un consiglio. Avrei però il "prurito alle mani" di contattare qualcuno dei nominativi presenti in quel database e sentire se sono contenti di questo fatto. Però poi, forse, potresti trovarti davvero in qualche guaio.

[Yuma]

Anche secondo me è loro il torto.
Per averne la certezza dovresti sentire una persona come un'avvocato.
Considera il fatto che questo file potrebbe essere visualizzato da altre persone, violando cosi la TUA privacy e sulla privacy non si scherza, a volte sembra una cavolata e poi ne esce una "storia infinita", te lo dico per esperienza purtroppo.
Io mi comporterei così; andrei per l'ennesima volta a segnalare il problema al responzabile dell'azienda, se questo se ne sbattesse, farei una denuncia alle autorità competenti, mostrandogli i dati che ti hanno permesso di csaricare dal sito mettendo in evidenza soprattutto i tuoi e facendogli notare che la tua privacy è stata violata perchè il file è stato messo a disposizione di chiunque con scarza protezione.

Questo è il mio parere. Ciao

[Habanero]

Grazie a tutti.
In effetti mi servirebbe un parere di tipo legale ma non credo di poterlo trovare qui.
Il fatto è che non avrei intenzione di procedere con una denuncia; vorrei far loro capire con le buone che sbagliano .
L'aspetto legale voglio sollevarlo solo per far loro presente che qualcuno (non io) potrebbe denunciarli. Di questo però vorrei essere assolutamente certo.

[antares11]

Originariamente inviato da Habanero
.................................
L'aspetto legale voglio sollevarlo solo per far loro presente che qualcuno (non io) potrebbe denunciarli. Di questo però vorrei essere assolutamente certo.

presenta un semplice esposto alle forze dell'ordine (diciamo anche polizia postale, ecc...) e i responsabili di quel sito/shop verranno ufficialmente diffidati dal continuare a quel modo.

è un avvertimento ufficiale, un ammonimento, che non lascia praticamente traccia e non prevede assolutamente alcuna prosecuzione, nè volontaria nè coatta: non è querela e men che meno denuncia, meglio di così......


______________________________________
oggi è un mesetto che aliciona mi fa felice

[geiar99]

essendo presente anche tu in quel database (se ho capito bene) non hai violato nessuna legge, in quanto vi sono custoditi anche i tuoi dati personali a cui tu puoi accedere per legge. Devi denunciare la cosa alle autorità competenti, vai alla polizia postale e sapranno consigliarti al meglio (dato che viene spedito via e-mail).

[geiar99]

dimenticavo: per legge la società ha il dovere di tutelare con mezzi adeguati i tuoi dati da intrusioni di ogni genere. una password di access non mi sembra uno strumento adeguato. inoltre non dovrebbero mandarlòo nel file zip con la tua registrazione.

[Habanero]

Grazie a tutti voi che mi state dando i vostri pareri e consigli.

Sì geiar nel database ci sono anch'io ma per me non è questo il punto. Sarei andato da loro a far presente la cosa anche se non fossi stato presente nel database perchè la considero, datemi pure dell'ingenuo, una questione di principio. Credevo di poter essere utile perchè nessuno con un po' di senno puo' pensare che quella sia una cosa corretta e logicamente pensavo si trattasse di un errore.
Non avevo neanche intenzione di minacciare provvedimenti legali, anzi... pensavo di poter dare il mio contributo per correggere un errore.

Oggi sono tornato da loro.
Mi hanno detto che il loro avvocato li ha rassicurati in merito dicendo che (genericamente) una password è sufficiente (!!??) e ribadendo che in torto sono io.
Ho fatto presente che secondo me c'è una palese violazione dell'art. 15 della legge 675/96 sulla privacy.. etc.
Ma ho soprattutto puntato sul fatto che tutte queste cose (leggi, violazioni etc...) dovrebbero essere ininfluenti per loro, nel senso che comunque scoprendo che il sistema è debole dovrebbero avere la responsabilità morale nei confronti dei loro clienti di provvedere e risolvere il problema.
Questo al di là della legge.
Per me non importa se uno sbaglia, l'importante è che sappia imparare, riconosca i propri errori e di conseguenza corra ai ripari.
Sono i clienti che danno loro da mangiare e come tali dovrebbero essere sacri. Vi prego non datemi dell'ingenuo.

Morale: parole sprecate. Il loro discorso è sempre quello. Ero incredulo.

Ah! non vi voglio risparmiare questa chicca: sapete perchè quel file è li? perchè non riescono a toglierlo!!!!. Il loro programmatore(!) non riesce a toglierlo!!!
Stavo proprio pensando che un programmatore che non sa usare WinZip è meglio che torni a spazzare le strade (con tutto rispetto per quest'ultima categoria) quando sono stato liquidato in modo spiccio perchè il signore doveva lavorare.

Di fronte a tanta incompetenza e ignoranza mi sa che quantomeno chiedo delucidazioni al garante, se non altro per spiattellargli in faccia il suo torto.


A voi i commenti.
Grazie come sempre.

[carlo2002]

Hai sicuramente ragione su tutta la linea, ma
ti rammento che la legge italiana non è proprio
un gioiello. A parte qualche palese flagranza di
reato (e a volte non basta), si può denunciare qualsiasi persona
per qualsiasi cosa, poi tutto è da dimostrare.
Cosa vuol dire?
Tu puoi denunciare loro per non aver protetto bene
dei dati sensibili.
Loro ti possono denunciare per aver violato dei
dati sensibili a lor parere ben protetti.
Le denunce partono e ciao.... anni e anni per non
sapere come può andare a finire, tanto tutta la
situazione sarà interpretata da qualche giudice, se
prima non sono scaduti i termini per la procedura.
Il loro avvocato 'ke se ne intende', con la risposta
ke ha dato, ha già fatto capire a tutti di non
rompere. Quindi inutile continuare a discutere con
gente ke non ascolta.

Unica soluzione è segnalare il fatto alla polizia
postale e sperare ke loro ne ricavino qualcosa
di utile. Poi naturalmente chiudere i rapporti
con queste persone.
Ti consiglio anche di non farti paladino della
giustizia e divulgare troppo la cosa. Della gente così
cretina è capace di denunciarti per diffamazione
con molta leggerezza.



p.s.
la morale è un fatto soggettivo
non farci troppo affidamento