Premessa: questo post “nasce” dal verificarsi di une serie di "episodi” concentrati negli ultimi giorni; più precisamente:
- Questo post di Raf
- Una conversazione avvenuta ieri (e quindi ancora facilmente rintracciabile sul mio feed) con il Makka su Twitter. Argomento: “Database as a service”
- Ultimamente sto dando una mano al team di Dexter, perchè i “ragassuoli” vogliono aggiungere il supporto multi blog (Dexter users, non trattenete il respiro perché non so se sarà una attesa breve <g>). Fondamentalmente, li sto supportando nel ruolo di “analista”, ergo sto scrivendo requisiti.
Cosa hanno in comune questi episodi, e perché sono IMHO degni di una riflessione? Semplicemente, perché mostrano una tendenza tipica di noi “tennici”, ossia focalizzarci solo sull’aspetto tecnico (nonché, diciamocelo, “giocoso”) e non su quello legale, come se la nostra professione e i nostri “artefatti” non vivessero su un pianeta regolamentato da leggi (più o meno precise, d’accordo, ma *esistenti*). Giusto qualche esempio:
- Il Makka (in *estrema* sintesi) è in piena fase testosteronica per la “NoSQL suburbia” e per l’uso “in the cloud” dei DBMS. La mia semplice domanda è: la legge ti permette di mettere “in the cloud” i dati della *tua* applicazione? E non sto parlando di “generici” dati, ma proprio quelli della *tua* applicazione (sono dati “personali”? sono dati “sensibili”? “tuttappppposto” con i D.P.S.?). ‘nzomma, si può fare? Chi te lo ha detto? Lo hai deciso tu, che sei un tecnico IT, o te lo ha detto un “tecnico” del mondo legale?
- Raf si pone una domanda sulla licenza GPL: è giusto che se la ponga lui? In caso di contestazioni, in tribunale si difenderebbe autonomamente? Ok ok, lui è Raf e sappiamo che è onnisciente, ma… Noi altri?
- Un blog engine con supporto a blog multipli prevede la figura dell’amministratore, ossia colui che può effettuare operazioni di amministrazione/manutenzione: questa figura è oggetto del bollettino 99 del novembre 2008 emesso dal Garante per la protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale in data 24 dicembre 2008. In sintesi, questo bollettino include alcuni requisiti che tutti i sistemi IT che prevedano la figura dell’AdS devono soddisfare; a valle di questa pubblicazione, la stessa autorità ha emesso una FAQ per sciogliere eventuali dubbi (ad esempio, una definizione “concettuale” di chi/cosa sia un AdS). Quanti di noi conoscono questi requisiti, e quindi realizzano software a norma di legge?
In realtà, si potrebbero citare una “valanga” di situazioni a rischio: il disclaimer e le note legali dei siti web, l’uso di smartphone contenenti informazioni aziendali, … Se qualche ingenuo pensasse che possedere un iPhone/Android/Windows Phone sia a “impatto legale zero”, beh… Si chieda quali policy abbia messo in atto per prevenire il leak di informazioni sotto NDA (es: le informazioni contenute nelle mail scaricate sul telefono ed inviateci dai clienti) in caso di furto o smarrimento del telefono, e soprattutto prepari una bella argomentazione da fornire in caso di una citazione per danni… Quel che è certo è che non vorrei essere nei suoi panni.
Eppure, quando guardo i bilanci di fine anno di Managed Designs riscontro sempre un enorme scollamento (leggasi: rapporto 1:10) tra il volume d’affari generato dalla business unit dedicata alla consulenza legale in ambito IT e quella del “branco di geek”. Per carità, magari hanno tutti il proprio avvocato personale che è espertissimo in materia di diritto informatico e viene contattato prima di ogni decisione, ma quando mi capita di affrontare il discorso di persona, ho l’impressione di veder “cadere dal pero” la maggior parte dei miei interlocutori.
As usual, ci incaXXiamo con i clienti/utenti se vogliono fare i tecnici e dirci come fare le cose, e poi siamo i soliti ipocriti: a Milano si dice “Ofelè fa el to mestee”, ma sembra che non sia più uno sport di moda…