[interlaw] Cifratura dati sensibili
Marco Eller Vainicher
adranor a infinito.it
Lun 27 Feb 2006 15:15:12 CET
Il giorno lun, 27/02/2006 alle 11.40 +0100, Flavia Fornasiero ha
scritto:
> Buongiorno a tutti,
> vorrei un vostro parere sull’adozione della cifratura di dati sensibili (in
> particolare relativi allo stato di salute) da parte di qualsiasi titolare.
> La 196/2003 obbliga alla cifratura gli enti pubblici e gli organismi
> sanitari, che devono anche prevedere la separazione del dato.
> Secondo voi lo stesso comportamento è da applicarsi anche ad altri soggetti
> privati, magari in base a qualche “cavillo” della legge che mi e’ sfuggito ?
> Ovviamente dal punto di vista della sicurezza informatica sarebbe buona
> norma utilizzare sempre la cifratura... ma questo è un altro discorso !!
> Per essere più chiara, la situazione che sto analizzando è quella di
> un’associazione di volontariato e assistenza sociale che registra in un
> database le richieste e le chiamate degli associati, che forniscono quindi
> informazioni sulle patologie di cui soffrono. Inoltre, il database è
> fisicamente collocato sui server di un fornitore, che sviluppa anche la
> piattaforma software e quindi deve fornire garanzie elevate di sicurezza,
> oltre a dichiarare di aver operato in conformità al codice.
> Grazie come sempre per i vostri liberi commenti !!
Parto da una semplice considerazione: il trattamento di dati sensibili
è, per definizione del legislatore (criticabile o meno) attività
pericolosa, per cui le misure minime sono obbligatorie, ma, di fatto,
non servono a nulla ed ogni ulteriore apporto è, quantomeno, necessario.
Ciò premesso prescinderei dalla domanda: 'è necessario ?' per passare
alla domanda: 'è economicamente possibile ?'.
Il costo della cifratura dei dati non è eccessivo, esistono decine di sw
gratuiti che possono tranquillamente farlo senza appesantire il sistema,
quindi, tutto sommato, considerato che siamo ancora nella fase in cui
non sono state avanzate contestazioni e non occorre difendere una
posizione (giusta o sbagliata) del cliente, ma in cui il criterio
prudenziale deve necessariamente prevalere, considererei la cifratura
come obbligatoria salvo prova contraria.
Peraltro direi anche che, trattandosi di dati sanitarî, e attività
sanitaria svolta dall'associazione, l'obbligo dovrebbe sussistere
comunque.
Marco
Maggiori informazioni sulla lista
interlaw