Studio Legale Savino ABC SICUREZZA DEI DATI E DELLE INFORMAZIONI

Studio Legale Savino

ABC

SICUREZZA DEI DATI E DELLE INFORMAZIONI


LA SICUREZZA


LA SICUREZZA (Introduzione)

Il termine “ sicurezza”, non si riferisce solo a quella fisica (security o safety).

Tale concetto va integrato in una visione più moderna, attenta ai temi della sicurezza informatica, dei dati e delle informazioni.


Il concetto di sicurezza

SECURITY

SAFETY

SICUREZZA LOGICA ED INFORMATICA

SICUREZZA DEI DATI E DELLE INFORMAZIONI


LA SICUREZZA FISICA: “SECURITY”

Con il termine “security”, deve intendersi, quel ramo della sicurezza che ha come base di partenza (soprattutto) la sicurezza fisica degli individui e che si estrinseca attraverso la protezione “fisica” di persone o beni” (è quella svolta da polizia, guardie giurate, etc.)


LA SICUREZZA FISICA: “SAFETY”

Con il termine inglese “safety”, si indica quel ramo della sicurezza attenta a porre in essere una serie di misure di protezione su individui (beni o servizi).

Rappresenta l’applicazione di norme di leggi statali o aziendali che mirano attraverso, piani e procedure applicative, alla protezione dei lavoratori.


LA SICUREZZA LOGICA ED INFORMATICA

Negli ultimi 15 anni si è formato il diritto della sicurezza informatica e telematica.

Più di 30, tra leggi, decreti, normative, riguardano, direttamente o indirettamente, la sicurezza informatica.

Il diritto della sicurezza informatica, è quella parte del diritto che ha ad oggetto i reati commessi attraverso il computer o sul computer.


L’impiego diffuso di Internet e delle nuove tecnologie, ha fatto scomparire i sistemi isolati e modesti situati all’interno di reti informatiche prevalentemente chiuse.

Oggi l’interconnessione è sempre più accentuata e le connessioni travalicano i confini nazionali.

A seguito della crescente interconnettività, i sistemi informativi e le reti sono esposti attualmente a minacce e rischi sempre più numerosi e di più varia tipologia.

Tutto ciò solleva nuove problematiche di sicurezza.


VIRUS, INTERNET WORM E CODICI PERICOLOSI IN RETE si diffondono ed entrano in azienda a causa dei mancati aggiornamenti degli antivirus e delle patch che risolvono le vulnerabilità individuate e rese note

E-mail77%

Internet20%

CD ROM3%

I VIRUS


I RISCHI...

Sistemi informativi e reti informatiche sono sempre accompagnati da nuovi e crescenti rischi.

I dati e le informazioni conservati e trasmessi attraverso i sistemi informativi e le reti, sono continuamente esposti a rischi legati a varie modalità di accesso e utilizzazione indebiti, alla loro sottrazione o alterazione, alla trasmissione impropria di codici, ad attacchi o alla loro distruzione, e necessitano di opportune garanzie.


Il caso "Botmaster" (10 novembre 2007 da La Repubblica)

LOS ANGELES - Rischia di pagare una multa di quasi due milioni di dollari e di essere condannato fino a 60 anni di carcere: John Schiefer, un hacker di 26 anni, ha confessato di aver infettato 250 mila computer. E di aver carpito le identità di migliaia di persone intercettando le loro comunicazioni in internet e entrando nei loro conti bancari.

Il giovane pirata informatico ha ammesso di aver commesso i reati ed ha anche detto di aver frodato la compagnia olandese di pubblicità online Simpel Internet per un ammontare pari a 19 mila dollari.

L'azienda lo aveva arruolato come consulente. Schiefer aveva installato il suo software di intercettazione sui 150 mila computer della società , mentre altri 100 mila pc sarebbero stati raggiunti dal programma attraverso suo collaboratori che avevano installato codici spia.

Con un software e con i codici spia installati sui computer, Schiefer è riuscito a superare gli sbarramenti di username e password ed a penetrare nelle comunicazioni bancarie di molte persone.


Situazione attualeSpesso si crede che sia sufficiente installare un antivirus e generare una password per salvaguardare l’integrità dei dati e risolvere quindi tutti i problemi sulla sicurezza.

E’ necessario invece che ci sia una consapevolezza maggiore dei problemi inerenti la Sicurezza Informatica, ovvero delle soluzioni di sicurezza idonee che rappresentino una garanzia adeguata di privacy secondo la normativa vigente.


Applicazioni

L’ambito soggettivo della disciplina riguarda non solo coloro che effettuano trattamento dei dati nell’ambito di attività pubbliche e/o private di tipo istituzionale, commerciale e/o di altro genere, ma anche i privati cittadini nello svolgimento della loro normale vita sociale


La Gaffe del fisco in Gran Bretagna: due CD inviati per corriere non sono mai arrivati. Spariti nella posta i dati di 25 milioni di cittadini inglesi (da La Stampa 21.11.2007)

In Gran Bretagna sono spariti nella posta i dati di 25 milioni di cittadini inglesi.

I dati erano contenuti su supporti informatici che sono stati spediti non attraverso i classici protocolli di sicurezza del caso, ma utilizzando il comune corriere Tnt.

Il problema è che il plico non è mai arrivato a destinazione.

Secondo la Bbc i dati spariti riguardano nomi, indirizzi, date di nascita codici del sistema dei sussidi all’infanzia, codici fiscali e anche estremi bancari di tutti i cittadini che ricevono sussidi per i bambini: 25 milioni di individui e più di 7 milioni di famiglie.

Le dimissioni del capo dell'agenzia Sir Paul Gray, non hanno impedito una clamorosa crisi per il governo di Gordon Brown.

L'Indipendent ha titolato: il disastro dei dati.


Call center, arrivano le sanzioni per servizi non richiesti e telefonate indesiderate

Sessanta sanzioni applicate e oltre 260 mila euro già versati sono solo i primi risultati dei recenti interventi del Garante sull'operato dei call center a tutela degli utenti telefonici.

Le sanzioni comminate a gestori di telefonia fissa e mobile per illeciti trattamenti di dati personali riguardano prevalentemente attivazione di servizi non richiesti e, in misura minore, telefonate pubblicitarie indesiderate.

05/11/2007 FONTE: Garante della privacy


Garante Privacy, nuovo stop allo spamming

Due società e un sito Internet inviavano e-mail e fax pubblicitari senza consenso degli utenti.

Il Garante della Privacy ribadisce il divieto di trattare i dati personali: "Sono i destinatari che devono dare l'ok".

30/08/2007FONTE: GARANTE PRIVACY


Garante della Privacy: Vietate telecamere negli spogliatoi

"È vietato utilizzare sistemi di videosorveglianza che riprendano persone negli spogliatoi".

Lo ha ribadito il Garante della privacy, con un provvedimento adottato a seguito di una segnalazione da parte dei Carabinieri relativa ad alcune telecamere installate in una piscina che riprendevano indebitamente clienti e ospiti.

04/05/2007 FONTE: TUTTOCONSUMATORI


Il Garante della Privacy richiama un istituto di credito

È vietato l'accesso ai dati personali dei clienti conservati nella Centrale rischi della Banca d'Italia se non giustificato da legittime esigenze.

Il principio è stato ribadito dal Garante della Privacy che ha dichiarato illecito il comportamento di un dirigente di banca che, per scopi personali, aveva fatto controllare la posizione debitoria del cognato.

03/05/2007 FONTE: GARANTE PRIVACY


Sanità, no alla pubblicazione dei dati

sanitari in Internet

Il Garante ha vietato alla regione Puglia la diffusione dei dati sullo stato di salute di circa 4500 disabili, reperibili sul sito della regione.

In attuazione del provvedimento la regione ha disposto la rimozione della pagina.

02/03/2007FONTE: GARANTE PRIVACY


Nelle cure mediche pretendete la privacy(Garante della Privacy)

Il Garante fissa le regole di riservatezza in ospedali e ambulatori. “La privacy non è solo un adempimento burocratico che si risolve con una firma apposta su un foglio. Le violazioni delle regole sulla privacy sono un comportamento illecito che può comportare responsabilità civili e penali”.

Garantire al cittadino che va in una struttura sanitaria per curarsi "la più assoluta riservatezza" e il "più ampio rispetto dei diritti fondamentali e della dignità".


LA SICUREZZA DEI DATI E DELLE INFORMAZIONI Da diversi anni, anche a livello parlamentare e

governativo, ci si è accorti della necessità di promuovere una legislazione attenta a tutelare non solo il bene vita, e quindi la sicurezza fisica, ma anche il dato personale, degno anch’esso, di idonea tutela giuridica.

E’ nata così la legge sulla privacy e sulla tutela delle informazioni, i quali costituiscono entrambi beni di rilevanza giuridica.


Pertanto, (in azienda) le norme che disciplinano l’accesso ai dati, dovrebbero considerare la moderna accezione del riconoscimento dei ruoli di responsabile e di incaricato al trattamento dei dati personali e delle relative autorizzazioni al trattamento stesso.


Ambito di applicazione

La normativa si applica a qualsiasi operazione di trattamento di dati personali riferibile direttamente o indirettamente ad un soggetto (persona fisica o giuridica).


I princìpi dell’Unione Europea

Direttiva 96/45/CE: tutela del diritto fondamentale alla privacy;

Protezione dei consumatori e dei contraenti deboli;

Trasparenza (soprattutto nei rapporti contrattuali);

Sicurezza dei dati personali (studi a livello di Unione Europea e linee guida);

Difesa dei diritti dell’interessato tramite un Garante (anche per evitare la tradizionale “strada” giudiziale).


Le fonti della tutela giuridica dei dati personali

Consiglio d’Europa - Convenzione di Strasburgo n. 108 del 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale;

Legge n. 98 del 21 febbraio 1989 (ratifica italiana);

Raccomandazioni del Consiglio d’Europa dal 1981 a oggi;

Direttiva 46/95/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

Carta dei diritti fondamentali dell'Unione Europea del 18 dicembre 2000;


Altre direttive correlate

Direttiva 97/66/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni;

Direttiva 2000/31/CE sul commercio elettronico;


La Carta dei dirittifondamentali dell’Unione Europea

Articolo 8 - Protezione dei dati di carattere personale

1. “Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.”


La Carta dei dirittifondamentali dell’Unione Europea

2. “Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.”

3. “Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente


LA LEGGE SULLA PRIVACY (Origini)

The right to be alone: il concetto di privacy nella cultura anglosassone.

Il diritto alla protezione dei dati personali: Così come i tradizionali diritti della personalità (nome, immagine, riservatezza), anche il diritto alla protezione dei dati personali viene ad essere tutelato direttamente dalla legge.


IL TESTO UNICO (CODICE) SULLA PRIVACY (D.Lgs. 196/2003)

Legge sulla privacy(D.Lgs. 196/2003)

Tutela della riservatezza

Tutela dei datipersonali

Tutela dei datisensibili e/o giudiziari


Perché un Codice?

Riordino di una normativa cresciuta in maniera non coordinata

Primo bilancio, e nuovo inizio, dopo sette anni di esperienza

Adeguamento costante alle nuove tecnologie

Raggruppa norme esistenti, modifica e introduce norme nuove


LA STRUTTURA DEL CODICE (T.U.)

I principi fondamentali


Struttura del codice

Parte I “Disposizioni Generali”: si individuano le regole sostanziali che si applicano a tutti i trattamenti di dati personali, salvo quanto previsto dalle disposizioni della Parte II;

Parte II: “Disposizioni relative a specifici Settori” si individuano le regole applicabili a specifici settori (sanitario, istruzione, lavoro, bancario, comunicazioni elettroniche, etc.);

Parte III: “Tutela dell’interessato e sanzioni”.


Il “diritto” alla protezione dei dati personali

Il Codice definisce il diritto alla protezione dei dati personali come un vero e proprio diritto della persona: l’art. 1, infatti, prevede espressamente che:

“Chiunque ha diritto alla protezione dei dati personali”.

Così come i tradizionali diritti della personalità (nome,

immagine, riservatezza), anche il diritto alla protezione dei dati personali viene ad essere tutelato direttamente dalla legge.

Il principio riproduce quasi fedelmente l’art. 8 della Carta dei diritti fondamentali dell’Unione Europea stipulata a Nizza il 7 dicembre 2000 “Chiunque ha diritto alla

protezione dei dati personali che lo riguardano.”


Il principio di necessità

Il D.Lgs 196/2003, ha introdotto il “Principio di necessità” in base al quale, i titolari, dovranno ricorrere a trattamenti di dati personali solo quando tale ricorso appare necessario al raggiungimento delle finalità. Ricorso a dati anonimi (identificazione dell’interessato solo in caso di necessità.)

Il Principio di necessità rappresenta un potenziamento dei principi di pertinenza e non

eccedenza dei dati rispetto alle finalità del trattamento individuati già con la legge 675/96.


FINALITA’ DELL’INTERVENTO NORMATIVO (art.2 c.1)

- GARANTIRE che il trattamento si svolga nel rispetto di:

diritti e libertà fondamentali dignità dell’interessato diritto alla riservatezza diritto alla protezione dei dati personali

dell’interessato

- SEMPLIFICARE l’esercizio dei diritti (dell’interessato) e l’adempimento degli obblighi (dei titolari del trattamento)

Principi generali


Pausa caffé


DEFINIZIONI


Dato Personale

Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.


Dati sensibili

Vengono definiti sensibili quei dati personali idonei a rivelare:

- L’origine razziale od etnica;- Le convinzioni religiose, filosofiche o di altro genere;- Le opinioni politiche;- L’adesione a partiti, sindacati, associazioni od

organizzazioni a carattere religioso, filosofico,politico o sindacale;- Lo stato di salute;- La vita sessuale.


Dati giudiziari

I dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313 in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.


Trattamento

Qualunque operazione o complesso di operazioni, svolte con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati.


Diffusione

Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.


Comunicazione

ll dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.


Titolare

La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza


Responsabile

La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.


Incaricati

Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile


Interessato

La persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali.


La tutela dell’interessato


Diritti dell’interessato: Il Diritto di

accesso Diritto di sapere se esistono o meno dati che lo

riguardano ed ottenere l'indicazione:

a) dell'origine dei dati personali;

b) delle finalità e modalità del trattamento;

c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;

d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;

e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati


Tutela dell’interessato: Il Diritto di intervento sui propri dati

L'interessato ha diritto di ottenere:

a)l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;

b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.


Tutela dell’interessato: Il Diritto di opporsi

L'interessato ha diritto di opporsi, in tutto o in parte:a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;

b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.


Forme di tutela

Tutela Amministrativa:Garante

Tutela giurisdizionale: Giudice Ordinario

Per il risarcimento dei danni l’unica forma di tutela ammessa è quella davanti al

Giudice Ordinario


Tutela amministrativa: Il Reclamo al Garante.

Il reclamo deve contiene: 1) indicazione dei fatti e delle circostanze; 2) indicazione delle disposizioni che si presumono violate;3) indicazione delle misure richieste; 4) estremi identificativi del titolare, del responsabile e

dell'istante.

- Il reclamo è sottoscritto dagli interessati, o da associazioni ed è presentato al Garante senza particolari formalità.

- Il reclamo reca in allegato la documentazione utile ai fini della sua valutazione e l'eventuale procura, e indica un recapito per l'invio di comunicazioni anche tramite posta elettronica, telefax o telefono.


Tutela amministrativa: Segnalazioni

se non è possibile presentare un reclamo circostanziato, al fine di sollecitare un controllo da parte del Garante sul rispetto della disciplina dei dati personali, si può anche segnalare determinate irregolarità.


Tutela alternativa a quella giurisdizionale: Il Ricorso

il ricorso deve essere preceduto da un interpello al titolare del trattamento, che può aderire alle richieste dell’interessato.

- Avverso la decisione del Garante è ammessa opposizione davanti al

Tribunale competente.


LE AUTORITY

Autorità Amministrative Indipendenti Le c.d. Autorità indipendenti sono amministrazioni dell'Ordinamento giuridico che agiscono in modo indipendente rispetto al Parlamento e al Governo in settori in cui è di particolare rilevanza la figura di un soggetto imparziale rispetto agli interessi pubblici in gioco.

I poteri essenzialmente attribuiti a queste autorità sono di regolazione, sorveglianza, controllo e sanzionatori nei confronti dei soggetti che agiscono in questi ambiti.


Le Autorità indipendenti attualmente previste nel nostro ordinamento sono:

la Banca d'Italia; l' Autorità Garante della Concorrenza e del

Mercato; la Commissione Nazionale per le Società e la Borsa

(CONSOB); l' Autorità per le Garanzie nelle Telecomunicazioni; l' Istituto per la Vigilanza sulle Assicurazioni Private

(ISVAP); il Garante per la Protezione dei Dati Personali; l' Autorità per l'Energia Elettrica ed il Gas.


Il Garante per la Protezione dei Dati Personali

Il Garante è un organo collegiale che rientra tra le autorità amministrative indipendenti ed ha poteri in primo luogo, di vigilanza, controllo e monitoraggio connessi al ruolo di vigilanza dell’attuazione delle leggi sulla privacy.


IL GARANTE

Il Garante per la protezione dei dati personali è un’autorità indipendente istituita dalla legge sulla privacy (legge 31 dicembre 1996 n. 675) per assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali.

É un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di quattro anni rinnovabile.

L’attuale collegio si è insediato il 18 aprile 2005.

L’Ufficio del Garante, al quale sovrintende il Segretario generale, è articolato, oltre che in alcune unità temporanee, in dipartimenti e servizi


REGOLE GENERALI


OBBLIGO DI INFORMATIVA

Gli interessati, hanno diritto ad essere preventivamente informati, per iscritto o anche oralmente (purché sia poi possibile darne prova), circa


Le finalità e le modalità del trattamento.

La natura obbligatoria o facoltativa del conferimento dei dati.

Le conseguenze di un eventuale rifiuto a rispondere.

I soggetti o le categorie di soggetti ai quali i dati possono essere comunicati.

I diritti dell’interessato indicati all’art. 7 del D.Lgs.196/2003.

Il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare e, se designato, del responsabile.


Il CONSENSO

Il consenso deve essere fornito in riferimento ad un trattamento chiaramente individuatoDe ve essere espresso liberamente.

Casi di esclusione del consenso: obblighi di legge, obblighi derivanti da un contratto, dati di dominio pubblico.


Le misure di protezione

Misure minime di protezione

Misure idonee di protezione


Sono 3 le componenti indispensabili a garantire la protezione dei dati

INTEGRITA’ la salvaguardia della esattezza dei dati, la difesa da manomissioni e da modifiche non autorizzate, il monitoraggi automatici degli accessi, ecc..

RISERVATEZZA (CONFIDENZIALITA’) la protezione delle informazioni tramite l’accesso solo agli autorizzati, la protezione delle trasmissioni, il controllo accessi, ecc..

DISPONIBILITA’ la garanzia per gli utenti della fruibilità dei dati delle informazioni e dei servizi, evitando la perdita o riduzione dei dati o dei servizi


Le Misure Minime di Sicurezza

Tutti i titolari sono tenutisono tenuti ad adottare le misure minime,

individuate preventivamente dal Codice e secondo le modalità

previste nel Disciplinare Tecnico, per assicurare un Livello minimo

di protezione dei dati.


Gli obblighi generali di sicurezza

Custodia e controllo in modo da ridurre al minimo i rischi (art. 31 D. Lgs.196/2003) di:

distruzione e perdita dei dati anche accidentale

accesso non autorizzatotrattamento non consentito

trattamento non conforme alle finalità della raccolta

Misure di sicurezza idonee


Misure idonee di sicurezza

Parametri di scelta delle misure idonee: progresso tecnologico natura dei dati trattati specifiche caratteristiche del trattamento

Le misure di sicurezza idonee

vengono identificate a

seguito dell’attività di

Analisi dei rischi

Gestione dei rischi

Misure di sicurezza Organizzative

Misure di sicurezza Fisiche

Misure di sicurezza Logiche

Mis

ure

idon

ee

Gestione dei rischi

Misure di sicurezza Organizzative

Misure di sicurezza Fisiche

Misure di sicurezza Logiche

Mis

ure

idon

ee


Gli obblighi specifici di sicurezzaMisure minime di sicurezza (art. 33, 34, 35 e Allegato B al Codice)

La loro adozione consente lo svolgimento delle attività di trattamento.

Assicurano un livello minimo di protezione dei dati personali, sensibili e/o giudiziari.

Sono obbligatorie, pena l’applicazione di sanzioni penali e amministrative.

Si applicano a tutte le tipologie di trattamento siano esse svolte nel settore privato che in quello pubblico.

Sono individuate rispettivamente per: Trattamenti svolti con strumenti elettronici (art. 34) Trattamento svolti senza l’ausilio di strumenti

elettronici (art. 35)


Trattamenti con strumenti elettronici

utilizzo di un sistema di autenticazione informatica

adozione di procedure di gestione delle credenziali di autenticazione ed utilizzo di un sistema di autorizzazione

aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici

protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, ad accessi non autorizzati ed a determinati programmi informatici


…Trattamenti con strumenti elettronici

adozione di procedure per la custodia di copie di sicurezza, e per il ripristino della disponibilità dei dati e dei sistemi

tenuta di un aggiornato Documento Programmatico sulla Sicurezza

adozione di tecniche di cifratura o di codici identificativi per dati idonei a rivelare lo stato di salute o la vita sessuale trattati da organismi sanitari


Le Misure di Sicurezza

MINIME Un apposito Disciplinare Tecnico ad aggiornamento annuale stabilisce le misure minime che la società deve adottare in relazione al proprio trattamento. Tutti i titolari sono tenuti ad adottare le misure minime, individuate dal Codice e secondo le modalità previste nel Disciplinare Tecnico, per assicurare un Livello minimo di protezione dei dati.

Inosservanza Sanzioni penali


Mancata adozione delle misure minimeResponsabilità

Penale

Misure di sicurezza (art. 169)

Arresto sino a 3 anni

Detenzione

Fino a € 60.000

Multa


RESPONSABILITA’ PENALI

Sono previste pene detentive sino ad un massimo di tre anni di reclusione e la pena accessoria della pubblicazione della sentenza per falsa notifica o false informazioni al Garante; per trattamento illecito di dati personali (illecita comunicazione o diffusione dei dati; trattamento non consentito) omessa adozione di misure necessarie alla sicurezza dei dati.


RESPONSABILITA’ CIVILE Chiunque cagiona ad altri un danno per

effetto del trattamento di dati personali è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee ad evitare il danno

ATTENZIONE!

La legge ha parificato il trattamento di dati all’esercizio di attività pericolose ex art. 2050 c.c. Sostanzialmente, di fronte a danni riconducibili al trattamento dei dati, la società dovrà provare di avere fatto tutto quanto era possibile fare per evitare i danni.


Le Misure di Sicurezza

IDONEE:i dati personali devono essere custoditi e controllati in modo da ridurre al minimo, mediante l’adozione di idonee misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Inosservanza Sanzioni civili


Mancata adozione delle misure idonee

Responsabilità Civile

Danni per effetto di trattamento (art. 15)

Art. 2050 c.c.onere della prova a

carico del Titolare del trattamento

Danno patrimoniale

Danno morale

Danno non patrimoniale


Ulteriori misure per il trattamento di dati : Istruzioni per l’utilizzo degli archivi cartacei

Modalità di accesso agli archivi Modalità di gestione degli archivi

Ubicazione degli archivies. gli archivi contenenti dati personali devono essere ubicati in modo da non essere accessibili a persone non incaricate del trattamentoes. gli archivi contenenti dati sensibili e/o giudiziari devono essere ubicati in locali ad accesso controllato

Lavorazione della documentazione es. è opportuno evitare di lasciare le pratiche contenenti dati personali, sensibili e/o giudiziari sulla scrivania, tavoli di lavoro o comunque a portata di mano, se non per il tempo necessario all'effettivo utilizzo.

Riutilizzo e smaltimento della cartaes. tutti i documenti contenenti dati personali, sensibili e/o giudiziari non possono essere oggetto di procedure di riutilizzo della carta.


Ulteriori misure per il trattamento di dati : Istruzioni per l’utilizzo degli strumenti informatici

Accesso alle risorse del sistema informatico

Utilizzo della Password Utilizzo del Personal Computer Utilizzo dei servizi di Rete Posta elettronica Internet Intranet


I REATI INFORMATICI


Legge sui reati informatici

L’intercettazione di e-mail (art.617 quater c.p.).

La rivelazione del contenuto di documenti segreti(art.621 c.p.).

Il danneggiamento di sistemi informatici e telematici (art.635 bis c.p.).

La frode informatica (art.640 ter c.p.) ovvero l’alterazione dell’integrità dei dati allo scopo di procurarsi un ingiusto profitto.


DIVIETO DI ANALOGIA IN MATERIA PENALE

Art. 14 Disposizioni sulla legge in generale: “Le leggi penali e quelle che fanno eccezione a regole generali o ad altre leggi non si applicano oltre i casi e i tempi in esse considerati”.

Art. 1 codice penale: “Nessuno può essere punito per un fatto che non sia espressamente preveduto come reato dalla legge, né con pene che non siano da essa stabilite”.

Art. 25 co. 2° Costituzione: “Nessuno può essere punito se non in forza di una legge che sia entrata in vigore prima del fatto commesso”


Art.392 c.p.:Esercizio arbitrario delle proprie ragioni con violenza sulle cose (art. 1 lg.n°.547/93)

Il primo articolo della l.547/93 ha novellato l’art. 392 c.p. Il nuovo art. 392 c.p. recita così: “Chiunque, al fine di esercitare un preteso diritto, potendo ricorrere al giudice, si fa arbitrariamente ragione da sé medesimo, mediante violenza sulle cose, è punito a querela della persona, con la multa fino a euro 516. Agli effetti della legge penale, si ha violenza sulle cose allorché la cosa viene danneggiata o trasformata, o ne è mutata la destinazione. Si ha altresì violenza sulle cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico”.


art. 420 c.p.: Attentato ad impianti di pubblica utilità (art. 2 lg. n°. 547/93)

L’art.2 della l. 547/93 ha sostituito l’art. 420 c.p., nei seguenti termini: “Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni. La pena di cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti. Se dal fatto deriva la distruzione o il danneggiamento dell’impianto o del sistema, dei dati, delle informazioni o dei programmi ovvero l’interruzione anche parziale del funzionamento dell’impianto o del sistema la pena è della reclusione da tre a otto anni”.


art. 491bis c.p.: Documenti informatici (art. 3 lg. n°. 547/93)

Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private.

A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli.


art. 615ter c.p.: Accesso abusivo ad un sistema informatico o telematico (art. 4 lg. n°. 547/93)

IL “DOMICILIO INFORMATICO” Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.La pena è della reclusione da uno a cinque anni (…)


Art. 615quinquies: Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (art. 4 lg. n°. 547/93)

La norma punisce chi “diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in lui contenuti o ad esso pertinenti, ovvero l’interruzione totale o parziale, l’alterazione del suo funzionamento”;

Punisce la produzione e la diffusione dei virus informatici.


art. 640 ter c.p. (art. 10 lg. n°. 547/93): Frode informatica.

“chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 516 a euro 1032. (…).

Il legislatore, con questo intervento normativo, ha ridisegnato la figura tradizionale del reato di truffa, e in particolare il concetto di “induzione in errore di una persona mediante artifizi o raggiri”, elaborando una nuova fattispecie in cui il raggirato è il computer soggetto alla alterazione ad opera del reo.



FINE PRESENTAZIONE

STUDIO LEGALE SAVINOVIA PIETRO BEMBO 8600168 [email protected]

Documents

Studio Legale Savino ABC SICUREZZA DEI DATI E DELLE INFORMAZIONI