sabato 23 ottobre 2010

Il Garante e la sicurezza della giustizia amministrativa

Qualche giorno fa è stata pubblicata la nuova newsletter del Garante Privacy in cui viene riportata, tra le altre notizie, una nota sull'esito di un ciclo di verifiche effettuate in collaborazione con il Consiglio di Stato e con il Tar del Lazio sullo stato di conformità alle regole privacy della giustizia amministrativa.

Nelle verifiche effettuate sono emerse alcune problematiche di "natura logistica":
- alcuni armadi, collocati nei corridoi delle segreterie e nei quali sono custoditi fascicoli processuali, sono privi di serratura
- alcuni faldoni, contenenti fascicoli processuali, si trovano nel corridoio di accesso all'archivio, al di fuori dei locali chiusi
- l'accesso alla sala server e alla sala ove sono collocati i gruppi di continuità, site presso la sede di Palazzo Spada in un'area separata dagli uffici, è possibile, rispettivamente, con badge non nominativo e con chiave fisica. Gli accessi non vengono registrati. E' istallata una telecamera che riprende l'area prospiciente l'ingresso ai locali

Inoltre sono emerse delle problematiche dal punto di vista della gestione informatica dei dati:
- le comunicazioni gestite da N.S.I.G.A. (Nuovo Sistema Informativo della Giustizia Amministrativa) fra le sedi della Giustizia amministrativa e gli accessi dei magistrati a N.S.I.G.A. da postazioni esterne agli uffici (cd. "scrivania del magistrato") avvengono attraverso il protocollo "http" non cifrato
- relativamente agli accessi a N.S.I.G.A. da parte degli utenti abilitati (magistrati e personale amministrativo), vengono tracciate le operazioni di scrittura, non gli accessi in sola lettura
- le password utilizzate dal personale per accedere a N.S.I.G.A. e al dominio della rete interna dell'amministrazione rispondono alle specifiche misure minime di sicurezza richieste dal Codice. Peraltro: 1) ogni password utilizzata per l'accesso a N.S.I.G.A. è composta da una parte del nome dell'utente che la utilizza; 2) relativamente alle password per l'accesso al dominio della rete interna dell'amministrazione, il sistema impedisce per ventiquattro volte agli utenti di ripetere una password già utilizzata;

Il Garante Privacy ha quindi stabilito che, nel termine di dodici mesi, oltre agli ovvi miglioramenti logistici, il sistema N.S.I.G.A. dovrà  implementare la cifratura delle comunicazioni telematiche provenienti dall’esterno (tramite l'adozione del protocollo "https"), la tracciatura di tutti gli accessi e di tutte le operazioni effettuate dagli utenti abilitati ed infine delle diverse policy per la gestione delle password. Tra le misure logistiche, risultano particolarmente interessanti quelle riguardanti la sala server e la sala dove sono collocati i gruppi di continuità che dovranno essere costantemente monitorati, eventualmente anche attraverso un impianto di videosorveglianza interno, e i cui accessi dovranno essere registrati (tramite log) e consentiti solo con badge nominativi.

Questa serie di prescrizioni mi fa riflettere, ancora una volta, sul ruolo e sull'approccio adottato dal Garante privacy italiano. Mi chiedo infatti, se sia opportuno che il Garante esprima direttamente delle soluzioni vincolanti che devono essere adottate (come ad esempio l'adozione del protocollo https per gli accessi dall'esterno o l'adozione di badge nominativi), piuttosto che indicare le problematiche riscontrate associate ad una generica indicazione per la risoluzione. Insomma, trovo che sarebbe più appropriato un approccio più neutro, simile ad esempio a quello adottato dagli auditor nelle verifiche di certificazione che, in presenza di "non conformità", si limitano a darne una descrizione e a descrivere l'approccio da adottare per risolvere la problematica ma non entrano nella specifica indicazione della soluzione da adottare, anche perché, guardando le cose dall'esterno, a volte, si possono effettuare scelte che non sono le migliori.

A mio giudizio, invece, il dato positivo è che il Garante è riuscito a ricavarsi un ruolo che gli consente di interfacciarsi con altre autorità e sottoporre a valutazione critica le scelte effettuate da quelle autorità.

Insomma, abbiamo una risposta ad una delle più classiche domande... Qui custodiet custodes? (Chi controlla i controllori?)... ovvio... il Garante!!

Nessun commento:

Posta un commento

http://www.wikio.it