Introduzione alle applicazioni e ai concetti informatici

Posted on by admin

Introduzione

Copertina della rivista Time intitolata "I tuoi dati: in vendita."

La privacy delle informazioni, o privacy dei dati (o protezione dei dati), è la relazione tra la raccolta e la diffusione dei dati, la tecnologia, l’aspettativa pubblica della privacy e le questioni legali e politiche che li circondano.

Esistono problemi di privacy ovunque vengano raccolte e archiviate informazioni personali o altre informazioni sensibili, in forma digitale o in altro modo. Il controllo della divulgazione improprio o inesistente può essere la causa principale dei problemi di privacy. Problemi di privacy dei dati possono sorgere in risposta alle informazioni provenienti da una vasta gamma di fonti, come ad esempio:

  • registri Sanitari
  • di giustizia Penale, le indagini e i procedimenti
  • istituzioni Finanziarie e le transazioni
  • tratti Biologici, come materiale genetico
  • Residenza e geografica record
  • Etnia
  • violazione della Privacy
  • i servizi basati sulla Localizzazione e la geolocalizzazione

La sfida nella riservatezza dei dati è la condivisione di dati, mentre la protezione di informazioni personali. I settori della sicurezza dei dati e della sicurezza delle informazioni progettano e utilizzano software, hardware e risorse umane per risolvere questo problema. Poiché le leggi e i regolamenti relativi alla protezione dei dati sono in continua evoluzione, è importante tenere il passo con eventuali cambiamenti nella legge e rivalutare continuamente la conformità con le norme sulla privacy e sulla sicurezza dei dati.

Tipi di informazioni

Vari tipi di informazioni personali sono spesso oggetto di problemi di privacy.

Internet

La capacità di controllare le informazioni che si rivelano su se stessi su Internet, e chi può accedere a tali informazioni, è diventata una preoccupazione crescente. Queste preoccupazioni includono se le e-mail possono essere memorizzate o lette da terze parti senza consenso o se terze parti possono continuare a tracciare i siti web che qualcuno ha visitato. Un’altra preoccupazione è siti web che vengono visitati raccogliere, memorizzare, ed eventualmente condividere informazioni personali sugli utenti.

L’avvento di vari motori di ricerca e l’uso del data mining hanno creato una capacità per i dati sulle persone da raccogliere e combinare da un’ampia varietà di fonti molto facilmente. La FTC ha fornito una serie di linee guida che rappresentano concetti ampiamente accettati riguardanti le pratiche di informazione equa in un mercato elettronico chiamato i principi di pratica dell’informazione equa.

Per non dare via troppe informazioni personali, le e-mail dovrebbero essere criptate e la navigazione delle pagine web così come altre attività online dovrebbe essere fatto trace-less tramite anonymizer, o, nei casi in cui questi non sono attendibili, da open source anonymizer distribuiti, le cosiddette reti mix, come I2P-The Onion Router o Tor.

E-mail non è l’unico uso di Internet con preoccupazione della privacy. Tutto è accessibile su Internet al giorno d’oggi. Tuttavia un problema importante con la privacy si riferisce al social networking. Ad esempio, ci sono milioni di utenti su Facebook e le normative sono cambiate. Le persone possono essere taggate nelle foto o avere informazioni preziose esposte su se stesse per scelta o la maggior parte del tempo inaspettatamente da altri. E ” importante essere cauti di ciò che viene detto su Internet e quali informazioni viene visualizzato così come le foto, perché tutto questo può cercato attraverso il web e utilizzato per accedere a database privati che lo rende facile per chiunque di andare rapidamente on-line e profilo di una persona.

Televisione via cavo

La capacità di controllare quali informazioni si rivela su se stessi attraverso la televisione via cavo, e chi può accedere a tali informazioni. Ad esempio, terze parti possono tenere traccia dei programmi TV IP che qualcuno ha guardato in un dato momento.

L’aggiunta di qualsiasi informazione in un flusso di trasmissione non è richiesta per un sondaggio di valutazione del pubblico, non è richiesto l’installazione di dispositivi aggiuntivi nelle case di spettatori o ascoltatori e, senza la necessità della loro cooperazione, le valutazioni del pubblico possono essere eseguite automaticamente in tempo reale.

Medico

Una persona potrebbe non desiderare che le proprie cartelle cliniche vengano rivelate ad altri. Questo può essere perché hanno preoccupazione che potrebbe influenzare le loro coperture assicurative o occupazione. O può essere perché non vorrebbero che altri conoscessero condizioni mediche o psicologiche o trattamenti che sarebbero imbarazzanti. Rivelare dati medici potrebbe anche rivelare altri dettagli sulla propria vita personale. Violazione della privacy Ci sono tre categorie principali di privacy medica: informativo (il grado di controllo sulle informazioni personali), fisico (il grado di inaccessibilità fisica agli altri) e psicologico (la misura in cui il medico rispetta le credenze culturali, i pensieri interiori, i valori, i sentimenti e le pratiche religiose dei pazienti e consente loro di prendere decisioni personali). Medici e psichiatri in molte culture e paesi hanno standard per le relazioni medico-paziente che includono il mantenimento della riservatezza. In alcuni casi, il privilegio medico-paziente è legalmente protetto. Queste pratiche sono in atto per proteggere la dignità dei pazienti e per garantire che i pazienti si sentano liberi di rivelare informazioni complete e accurate necessarie per ricevere il trattamento corretto. Gli Stati Uniti hanno leggi che regolano la privacy delle informazioni sanitarie private, vedi HIPAA e l’HITECH Act.

Finanziario

Le informazioni sulle transazioni finanziarie di una persona, compresa la quantità di attività, posizioni detenute in azioni o fondi, debiti in essere e acquisti possono essere sensibili. Se i criminali ottengono l’accesso a informazioni come i conti di una persona o numeri di carta di credito, quella persona potrebbe diventare vittima di frode o furto di identità. Le informazioni sugli acquisti di una persona possono rivelare molto sulla storia di quella persona, come i luoghi che ha visitato, con cui ha contattato, i prodotti che ha usato, le sue attività e abitudini o i farmaci che ha usato. In alcuni casi le aziende potrebbero voler utilizzare queste informazioni per indirizzare gli individui con marketing personalizzato verso le preferenze personali di quegli individui, qualcosa che quella persona può o non può approvare.

Localizzazione

Una mappa del Regno Unito con punti che mostrano tutte le posizioni di un iPhone.

I punti mostrano tutte le posizioni registrate da un iPhone all’insaputa dell’utente.

Con l’aumento delle capacità di localizzazione dei dispositivi mobili (servizio basato sulla posizione), sorgono problemi relativi alla privacy degli utenti. I dati sulla posizione sono infatti tra i dati più sensibili attualmente raccolti. Un elenco di informazioni professionali e personali potenzialmente sensibili che potrebbero essere dedotte su un individuo che conosce solo la sua traccia di mobilità è stato pubblicato di recente dalla Electronic Frontier Foundation. Questi includono i movimenti di una forza vendita concorrente, la presenza di una chiesa particolare o la presenza di un individuo in un motel o in una clinica per aborti. Un recente studio del MIT di de Montjoye et al. ha dimostrato che 4 punti spazio-temporali, luoghi e tempi approssimativi, sono sufficienti per identificare in modo univoco il 95% di 1.5M persone in un database di mobilità. Lo studio mostra inoltre che questi vincoli si mantengono anche quando la risoluzione del set di dati è bassa. Pertanto, anche set di dati grossolani o sfocati forniscono poco anonimato.

Politico

La privacy politica è stata una preoccupazione da quando i sistemi di voto sono emersi in tempi antichi. Il voto segreto è la misura più semplice e più diffusa per garantire che le opinioni politiche non siano note a nessuno che non sia l’elettore stesso—è quasi universale nella democrazia moderna e considerato un diritto fondamentale di cittadinanza. Infatti, anche dove non esistono altri diritti alla privacy, questo tipo di privacy molto spesso lo fa.

Educational

Nel Regno Unito, nel 2012 il segretario all’istruzione Michael Gove ha descritto il National Pupil Database come un “ricco set di dati” il cui valore potrebbe essere “massimizzato” rendendolo più apertamente accessibile, anche alle aziende private. Kelly Fiveash del Registro ha detto che questo potrebbe significare “la vita scolastica di un bambino compresi i risultati degli esami, la frequenza, le valutazioni degli insegnanti e persino le caratteristiche” potrebbe essere disponibile, con organizzazioni di terze parti responsabili dell’anonimizzazione di tutte le pubblicazioni stesse, piuttosto che i dati resi anonimi dal governo prima di essere consegnati. Un esempio di una richiesta di dati che Gove indicato era stato respinto in passato, ma potrebbe essere possibile in una versione migliorata della normativa sulla privacy, era per “analisi sullo sfruttamento sessuale.”

Legalità

La tutela giuridica del diritto alla privacy in generale – e della privacy dei dati in particolare – varia notevolmente in tutto il mondo.

Nessuno deve essere sottoposto a interferenze arbitrarie con la sua privacy, la sua famiglia, la sua casa o la sua corrispondenza, né ad attacchi al suo onore e alla sua reputazione. Ogni individuo ha diritto alla protezione della legge contro tali interferenze o attacchi.- Dichiarazione Universale dei Diritti dell’Uomo, articolo 12

C’è una sfida significativa per le organizzazioni che detengono dati sensibili per raggiungere e mantenere la conformità con così tante normative che hanno rilevanza per la privacy delle informazioni.

Safe Harbor Program and Passenger Name Record issues

Foto: Comandante della Guardia Costiera Adm. Thad W. Allen, a destra, consegna osservazioni come capo delle operazioni navali Adm. Gary Roughead guarda dopo la firma del memorandum of agreement per il programma Safe Harbor durante una cerimonia di firma al Pentagono.

Comandante della Guardia Costiera Adm. Thad W. Allen, giusto, consegna osservazioni come capo delle operazioni navali Adm. Gary Roughead guarda dopo la firma del memorandum of agreement per il programma Safe Harbor durante una cerimonia di firma al Pentagono.

Il Dipartimento del Commercio degli Stati Uniti ha creato l’International Safe Harbor Privacy Principles Certification program in risposta alla Direttiva del 1995 sulla protezione dei dati (Direttiva 95/46/CE) della Commissione Europea. La direttiva 95/46 / CE dichiara al capo IV dell’articolo 25 che i dati personali possono essere trasferiti solo dai paesi dello Spazio Economico europeo a paesi che offrono un’adeguata protezione della vita privata. Storicamente, la definizione di adeguatezza richiedeva la creazione di leggi nazionali sostanzialmente equivalenti a quelle attuate dalla direttiva 95/46/UE. Sebbene vi siano eccezioni a questo divieto generale – ad esempio nel caso in cui la comunicazione a un paese al di fuori del SEE sia effettuata con il consenso della persona interessata (articolo 26, paragrafo 1, lettera a)) – esse hanno una portata pratica limitata. Di conseguenza, l’articolo 25 ha creato un rischio legale per le organizzazioni che trasferiscono dati personali dall’Europa agli Stati Uniti.

Il programma ha una questione importante sullo scambio di informazioni sui record di nome del passeggero tra l’UE e gli Stati Uniti. Secondo la direttiva UE, i dati personali possono essere trasferiti a paesi terzi solo se tale paese fornisce un livello adeguato di protezione. Sono previste alcune eccezioni a questa regola, ad esempio quando il titolare del trattamento stesso può garantire che il destinatario rispetterà le norme sulla protezione dei dati.

La Commissione Europea ha istituito il “Gruppo di lavoro sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali”, comunemente noto come “Gruppo di lavoro Articolo 29”. Il Gruppo fornisce consulenza sul livello di protezione nell’Unione europea e nei paesi terzi.

Il Gruppo di lavoro ha negoziato con i rappresentanti degli Stati Uniti sulla protezione dei dati personali, i principi Safe Harbor sono stati il risultato. Nonostante tale approvazione, l’approccio di autovalutazione del Porto sicuro rimane controverso con un certo numero di regolatori e commentatori europei sulla privacy.

Il programma Safe Harbor affronta questo problema in un modo unico: piuttosto che una legge generale imposta a tutte le organizzazioni negli Stati Uniti, un programma volontario viene applicato dalla FTC. Le organizzazioni statunitensi che si registrano con questo programma, dopo aver auto-valutato la loro conformità a una serie di standard, sono “ritenute adeguate” ai fini dell’articolo 25. Le informazioni personali possono essere inviate a tali organizzazioni dal SEE senza che il mittente sia in violazione dell’articolo 25 o dei suoi equivalenti nazionali dell’UE. Il Porto sicuro è stato approvato dalla Commissione europea il 26 luglio 2000 in quanto fornisce un’adeguata protezione dei dati personali, ai fini dell’articolo 25, paragrafo 6.

Il Porto sicuro non è una soluzione perfetta alle sfide poste dall’articolo 25. In particolare, le organizzazioni adottanti devono valutare attentamente la loro conformità agli obblighi di trasferimento successivo, nel caso in cui i dati personali originari dell’UE siano trasferiti nel porto sicuro degli Stati Uniti e successivamente in un paese terzo. L’approccio alternativo di conformità delle “regole aziendali vincolanti”, raccomandato da molti regolatori della privacy dell’UE, risolve questo problema. Inoltre, qualsiasi controversia derivante in relazione al trasferimento dei dati delle risorse umane al porto sicuro degli Stati Uniti deve essere ascoltata da un gruppo di regolatori della privacy dell’UE.

Nel luglio 2007 è stato sottoscritto un nuovo, controverso, accordo di registrazione del nome del passeggero tra gli Stati Uniti e l’UE. Poco tempo dopo, l’amministrazione Bush ha dato l’esenzione per il Department of Homeland Security, per l’arrivo e partenza Information System (ADIS) e per il sistema di destinazione automatizzato dal 1974 Privacy Act.

Nel febbraio 2008, Jonathan Faull, capo della Commissione ue per gli affari interni, si è lamentato della politica bilaterale degli Stati Uniti in materia di PNR. Gli Stati Uniti avevano firmato nel febbraio 2008 un memorandum d’intesa (MOU) con la Repubblica Ceca in cambio di un regime di esenzione dal visto, senza concertare prima con Bruxelles. Le tensioni tra Washington e Bruxelles sono causate principalmente da un minore livello di protezione dei dati negli Stati Uniti, soprattutto perché gli stranieri non beneficiano della legge sulla privacy degli Stati Uniti del 1974. Tra gli altri paesi interessati al protocollo d’intesa bilaterale figurano il Regno Unito, l’Estonia, la Germania e la Grecia.

Protezione della privacy nei sistemi informativi

Poiché sistemi informativi eterogenei con regole sulla privacy diverse sono interconnessi e le informazioni sono condivise, le appliance politiche saranno tenute a conciliare, applicare e monitorare una quantità crescente di regole (e leggi) sulla privacy. Esistono due categorie di tecnologie per affrontare la protezione della privacy nei sistemi IT commerciali: comunicazione e applicazione.

Policy Communication

  • P3P – La Piattaforma per le Preferenze sulla Privacy. P3P è uno standard per comunicare le pratiche sulla privacy e confrontarle con le preferenze degli individui.

Policy Enforcement

  • XACML – L’Extensible Access Control Markup Language insieme al suo profilo sulla privacy è uno standard per esprimere le politiche sulla privacy in un linguaggio leggibile dalla macchina che un sistema software può utilizzare per applicare la politica nei sistemi IT aziendali.
  • EPAL-Il linguaggio di autorizzazione Enterprise Privacy è molto simile a XACML, ma non è ancora uno standard.
  • WS-Privacy – “Web Service Privacy” sarà una specifica per comunicare l’informativa sulla privacy nei servizi web. Ad esempio, può specificare come le informazioni sulla politica sulla privacy possono essere incorporate nella busta SOAP di un messaggio di servizio Web.

Proteggere la privacy su Internet

Su Internet quasi sempre dare via un sacco di informazioni su di te: Le e-mail non crittografate possono essere lette dagli amministratori del server di posta elettronica, se la connessione non è crittografata (senza https), e anche il provider di servizi Internet e altre parti che annusano il traffico di quella connessione sono in grado di conoscere il contenuto. Inoltre,lo stesso vale per qualsiasi tipo di traffico generato su Internet (navigazione web, messaggistica istantanea, tra gli altri) Per non dare troppe informazioni personali, le e-mail possono essere crittografate e la navigazione di pagine web e altre attività online può essere effettuata senza traccia tramite anonymizer o, nei casi in cui non sono attendibili, tramite anonymizer distribuiti open source, i cosiddetti mix net. Rinomate reti mix open-source sono I2P-La rete anonima o tor.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.