La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Studio Legale Savino ABC SICUREZZA DEI DATI E DELLE INFORMAZIONI.

Presentazioni simili


Presentazione sul tema: "Studio Legale Savino ABC SICUREZZA DEI DATI E DELLE INFORMAZIONI."— Transcript della presentazione:

1 Studio Legale Savino ABC SICUREZZA DEI DATI E DELLE INFORMAZIONI

2 Studio Legale Savino LA SICUREZZA

3 Studio Legale Savino LA SICUREZZA (Introduzione) Il termine sicurezza, non si riferisce solo a quella fisica (security o safety). Tale concetto va integrato in una visione più moderna, attenta ai temi della sicurezza informatica, dei dati e delle informazioni.

4 Studio Legale Savino Il concetto di sicurezza SECURITY SAFETY SICUREZZA LOGICA ED INFORMATICA SICUREZZA DEI DATI E DELLE INFORMAZIONI

5 Studio Legale Savino LA SICUREZZA FISICA: SECURITY Con il termine security, deve intendersi, quel ramo della sicurezza che ha come base di partenza (soprattutto) la sicurezza fisica degli individui e che si estrinseca attraverso la protezione fisica di persone o beni (è quella svolta da polizia, guardie giurate, etc.)

6 Studio Legale Savino LA SICUREZZA FISICA: SAFETY Con il termine inglese safety, si indica quel ramo della sicurezza attenta a porre in essere una serie di misure di protezione su individui (beni o servizi). Rappresenta lapplicazione di norme di leggi statali o aziendali che mirano attraverso, piani e procedure applicative, alla protezione dei lavoratori.

7 Studio Legale Savino LA SICUREZZA LOGICA ED INFORMATICA Negli ultimi 15 anni si è formato il diritto della sicurezza informatica e telematica. Pi ù di 30, tra leggi, decreti, normative, riguardano, direttamente o indirettamente, la sicurezza informatica. Il diritto della sicurezza informatica, è quella parte del diritto che ha ad oggetto i reati commessi attraverso il computer o sul computer.

8 Studio Legale Savino Limpiego diffuso di Internet e delle nuove tecnologie, ha fatto scomparire i sistemi isolati e modesti situati allinterno di reti informatiche prevalentemente chiuse. Oggi linterconnessione è sempre più accentuata e le connessioni travalicano i confini nazionali. A seguito della crescente interconnettività, i sistemi informativi e le reti sono esposti attualmente a minacce e rischi sempre più numerosi e di più varia tipologia. Tutto ciò solleva nuove problematiche di sicurezza.

9 Studio Legale Savino VIRUS, INTERNET WORM E CODICI PERICOLOSI IN RETE si diffondono ed entrano in azienda a causa dei mancati aggiornamenti degli antivirus e delle patch che risolvono le vulnerabilità individuate e rese note I VIRUS

10 Studio Legale Savino I RISCHI... Sistemi informativi e reti informatiche sono sempre accompagnati da nuovi e crescenti rischi. I dati e le informazioni conservati e trasmessi attraverso i sistemi informativi e le reti, sono continuamente esposti a rischi legati a varie modalità di accesso e utilizzazione indebiti, alla loro sottrazione o alterazione, alla trasmissione impropria di codici, ad attacchi o alla loro distruzione, e necessitano di opportune garanzie.

11 Studio Legale Savino Il caso "Botmaster" (10 novembre 2007 da La Repubblica) LOS ANGELES - Rischia di pagare una multa di quasi due milioni di dollari e di essere condannato fino a 60 anni di carcere: John Schiefer, un hacker di 26 anni, ha confessato di aver infettato 250 mila computer. E di aver carpito le identità di migliaia di persone intercettando le loro comunicazioni in internet e entrando nei loro conti bancari. Il giovane pirata informatico ha ammesso di aver commesso i reati ed ha anche detto di aver frodato la compagnia olandese di pubblicità online Simpel Internet per un ammontare pari a 19 mila dollari. L'azienda lo aveva arruolato come consulente. Schiefer aveva installato il suo software di intercettazione sui 150 mila computer della società, mentre altri 100 mila pc sarebbero stati raggiunti dal programma attraverso suo collaboratori che avevano installato codici spia. Con un software e con i codici spia installati sui computer, Schiefer è riuscito a superare gli sbarramenti di username e password ed a penetrare nelle comunicazioni bancarie di molte persone.

12 Studio Legale Savino Situazione attuale Spesso si crede che sia sufficiente installare un antivirus e generare una password per salvaguardare lintegrità dei dati e risolvere quindi tutti i problemi sulla sicurezza. E necessario invece che ci sia una consapevolezza maggiore dei problemi inerenti la Sicurezza Informatica, ovvero delle soluzioni di sicurezza idonee che rappresentino una garanzia adeguata di privacy secondo la normativa vigente.

13 Studio Legale Savino Applicazioni Lambito soggettivo della disciplina riguarda non solo coloro che effettuano trattamento dei dati nellambito di attività pubbliche e/o private di tipo istituzionale, commerciale e/o di altro genere, ma anche i privati cittadini nello svolgimento della loro normale vita sociale

14 Studio Legale Savino La Gaffe del fisco in Gran Bretagna: due CD inviati per corriere non sono mai arrivati. Spariti nella posta i dati di 25 milioni di cittadini inglesi (da La Stampa ) In Gran Bretagna sono spariti nella posta i dati di 25 milioni di cittadini inglesi. I dati erano contenuti su supporti informatici che sono stati spediti non attraverso i classici protocolli di sicurezza del caso, ma utilizzando il comune corriere Tnt. Il problema è che il plico non è mai arrivato a destinazione. Secondo la Bbc i dati spariti riguardano nomi, indirizzi, date di nascita codici del sistema dei sussidi allinfanzia, codici fiscali e anche estremi bancari di tutti i cittadini che ricevono sussidi per i bambini: 25 milioni di individui e più di 7 milioni di famiglie. Le dimissioni del capo dell'agenzia Sir Paul Gray, non hanno impedito una clamorosa crisi per il governo di Gordon Brown. L'Indipendent ha titolato: il disastro dei dati.

15 Studio Legale Savino Call center, arrivano le sanzioni per servizi non richiesti e telefonate indesiderate Sessanta sanzioni applicate e oltre 260 mila euro già versati sono solo i primi risultati dei recenti interventi del Garante sull'operato dei call center a tutela degli utenti telefonici. Le sanzioni comminate a gestori di telefonia fissa e mobile per illeciti trattamenti di dati personali riguardano prevalentemente attivazione di servizi non richiesti e, in misura minore, telefonate pubblicitarie indesiderate. 05/11/2007 FONTE: Garante della privacy

16 Studio Legale Savino Garante Privacy, nuovo stop allo spamming Due società e un sito Internet inviavano e- mail e fax pubblicitari senza consenso degli utenti. Il Garante della Privacy ribadisce il divieto di trattare i dati personali: "Sono i destinatari che devono dare l'ok". 30/08/2007FONTE: GARANTE PRIVACYGARANTE PRIVACY

17 Studio Legale Savino Garante della Privacy: Vietate telecamere negli spogliatoi "È vietato utilizzare sistemi di videosorveglianza che riprendano persone negli spogliatoi". Lo ha ribadito il Garante della privacy, con un provvedimento adottato a seguito di una segnalazione da parte dei Carabinieri relativa ad alcune telecamere installate in una piscina che riprendevano indebitamente clienti e ospiti. 04/05/2007 FONTE: TUTTOCONSUMATORITUTTOCONSUMATORI

18 Studio Legale Savino Il Garante della Privacy richiama un istituto di credito È vietato l'accesso ai dati personali dei clienti conservati nella Centrale rischi della Banca d'Italia se non giustificato da legittime esigenze. Il principio è stato ribadito dal Garante della Privacy che ha dichiarato illecito il comportamento di un dirigente di banca che, per scopi personali, aveva fatto controllare la posizione debitoria del cognato. 03/05/2007 FONTE: GARANTE PRIVACYGARANTE PRIVACY

19 Studio Legale Savino Sanità, no alla pubblicazione dei dati sanitari in Internet Il Garante ha vietato alla regione Puglia la diffusione dei dati sullo stato di salute di circa 4500 disabili, reperibili sul sito della regione. In attuazione del provvedimento la regione ha disposto la rimozione della pagina. 02/03/2007FONTE: GARANTE PRIVACYGARANTE PRIVACY

20 Studio Legale Savino Nelle cure mediche pretendete la privacy (Garante della Privacy) Il Garante fissa le regole di riservatezza in ospedali e ambulatori. La privacy non è solo un adempimento burocratico che si risolve con una firma apposta su un foglio. Le violazioni delle regole sulla privacy sono un comportamento illecito che può comportare responsabilità civili e penali. Garantire al cittadino che va in una struttura sanitaria per curarsi "la più assoluta riservatezza" e il "più ampio rispetto dei diritti fondamentali e della dignità".

21 Studio Legale Savino LA SICUREZZA DEI DATI E DELLE INFORMAZIONI Da diversi anni, anche a livello parlamentare e governativo, ci si è accorti della necessità di promuovere una legislazione attenta a tutelare non solo il bene vita, e quindi la sicurezza fisica, ma anche il dato personale, degno anchesso, di idonea tutela giuridica. E nata così la legge sulla privacy e sulla tutela delle informazioni, i quali costituiscono entrambi beni di rilevanza giuridica.

22 Studio Legale Savino Pertanto, (in azienda) le norme che disciplinano laccesso ai dati, dovrebbero considerare la moderna accezione del riconoscimento dei ruoli di responsabile e di incaricato al trattamento dei dati personali e delle relative autorizzazioni al trattamento stesso.

23 Studio Legale Savino Ambito di applicazione La normativa si applica a qualsiasi operazione di trattamento di dati personali riferibile direttamente o indirettamente ad un soggetto (persona fisica o giuridica).

24 Studio Legale Savino I princìpi dellUnione Europea Direttiva 96/45/CE: tutela del diritto fondamentale alla privacy; Protezione dei consumatori e dei contraenti deboli; Trasparenza (soprattutto nei rapporti contrattuali); Sicurezza dei dati personali (studi a livello di Unione Europea e linee guida); Difesa dei diritti dellinteressato tramite un Garante (anche per evitare la tradizionale strada giudiziale).

25 Studio Legale Savino Le fonti della tutela giuridica dei dati personali Consiglio dEuropa - Convenzione di Strasburgo n. 108 del 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale; Legge n. 98 del 21 febbraio 1989 (ratifica italiana); Raccomandazioni del Consiglio dEuropa dal 1981 a oggi; Direttiva 46/95/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati; Carta dei diritti fondamentali dell'Unione Europea del 18 dicembre 2000;

26 Studio Legale Savino Altre direttive correlate Direttiva 97/66/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni; Direttiva 2000/31/CE sul commercio elettronico;

27 Studio Legale Savino La Carta dei diritti fondamentali dellUnione Europea Articolo 8 - Protezione dei dati di carattere personale 1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.

28 Studio Legale Savino La Carta dei diritti fondamentali dellUnione Europea 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di unautorità indipendente

29 Studio Legale Savino LA LEGGE SULLA PRIVACY (Origini) The right to be alone: il concetto di privacy nella cultura anglosassone. Il diritto alla protezione dei dati personali: Così come i tradizionali diritti della personalità (nome, immagine, riservatezza), anche il diritto alla protezione dei dati personali viene ad essere tutelato direttamente dalla legge.

30 Studio Legale Savino IL TESTO UNICO (CODICE) SULLA PRIVACY (D.Lgs. 196/2003)

31 Studio Legale Savino Perché un Codice? Riordino di una normativa cresciuta in maniera non coordinata Primo bilancio, e nuovo inizio, dopo sette anni di esperienza Adeguamento costante alle nuove tecnologie Raggruppa norme esistenti, modifica e introduce norme nuove

32 Studio Legale Savino LA STRUTTURA DEL CODICE (T.U.) I principi fondamentali

33 Studio Legale Savino Struttura del codice Parte I Disposizioni Generali: si individuano le regole sostanziali che si applicano a tutti i trattamenti di dati personali, salvo quanto previsto dalle disposizioni della Parte II; Parte II: Disposizioni relative a specifici Settori si individuano le regole applicabili a specifici settori (sanitario, istruzione, lavoro, bancario, comunicazioni elettroniche, etc.); Parte III: Tutela dellinteressato e sanzioni.

34 Studio Legale Savino Il diritto alla protezione dei dati personali Il Codice definisce il diritto alla protezione dei dati personali come un vero e proprio diritto della persona: lart. 1, infatti, prevede espressamente che: Chiunque ha diritto alla protezione dei dati personali. Così come i tradizionali diritti della personalità (nome, immagine, riservatezza), anche il diritto alla protezione dei dati personali viene ad essere tutelato direttamente dalla legge. Il principio riproduce quasi fedelmente lart. 8 della Carta dei diritti fondamentali dellUnione Europea stipulata a Nizza il 7 dicembre 2000 Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

35 Studio Legale Savino Il principio di necessità Il D.Lgs 196/2003, ha introdotto il Principio di necessità in base al quale, i titolari, dovranno ricorrere a trattamenti di dati personali solo quando tale ricorso appare necessario al raggiungimento delle finalità. Ricorso a dati anonimi (identificazione dellinteressato solo in caso di necessità.) Il Principio di necessità rappresenta un potenziamento dei principi di pertinenza e non eccedenza dei dati rispetto alle finalità del trattamento individuati già con la legge 675/96.

36 Studio Legale Savino FINALITA DELLINTERVENTO NORMATIVO (art.2 c.1) - GARANTIRE che il trattamento si svolga nel rispetto di: diritti e libertà fondamentali dignità dellinteressato diritto alla riservatezza diritto alla protezione dei dati personali dellinteressato - SEMPLIFICARE lesercizio dei diritti (dellinteressato) e ladempimento degli obblighi (dei titolari del trattamento) Principi generali

37 Studio Legale Savino Pausa caffé

38 Studio Legale Savino DEFINIZIONI

39 Studio Legale Savino Dato Personale Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

40 Studio Legale Savino Dati sensibili Vengono definiti sensibili quei dati personali idonei a rivelare: - Lorigine razziale od etnica; - Le convinzioni religiose, filosofiche o di altro genere; - Le opinioni politiche; - Ladesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico,politico o sindacale; - Lo stato di salute; - La vita sessuale.

41 Studio Legale Savino Dati giudiziari I dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313 in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.

42 Studio Legale Savino Trattamento Qualunque operazione o complesso di operazioni, svolte con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati.

43 Studio Legale Savino Diffusione Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

44 Studio Legale Savino Comunicazione ll dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

45 Studio Legale Savino Titolare La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza

46 Studio Legale Savino Responsabile La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

47 Studio Legale Savino Incaricati Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile

48 Studio Legale Savino Interessato La persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali.

49 Studio Legale Savino La tutela dellinteressato

50 Studio Legale Savino Diritti dellinteressato: Il Diritto di accesso Diritto di sapere se esistono o meno dati che lo riguardano ed ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dellarticolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati

51 Studio Legale Savino Tutela dellinteressato: Il Diritto di intervento sui propri dati L'interessato ha diritto di ottenere: a)l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

52 Studio Legale Savino Tutela dellinteressato: Il Diritto di opporsi L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

53 Studio Legale Savino Forme di tutela Tutela Amministrativa:Garante Tutela giurisdizionale: Giudice Ordinario Per il risarcimento dei danni lunica forma di tutela ammessa è quella davanti al Giudice Ordinario

54 Studio Legale Savino Tutela amministrativa: Il Reclamo al Garante. Il reclamo deve contiene: 1) indicazione dei fatti e delle circostanze; 2) indicazione delle disposizioni che si presumono violate; 3) indicazione delle misure richieste; 4) estremi identificativi del titolare, del responsabile e dell'istante. - Il reclamo è sottoscritto dagli interessati, o da associazioni ed è presentato al Garante senza particolari formalità. - Il reclamo reca in allegato la documentazione utile ai fini della sua valutazione e l'eventuale procura, e indica un recapito per l'invio di comunicazioni anche tramite posta elettronica, telefax o telefono.

55 Studio Legale Savino Tutela amministrativa: Segnalazioni se non è possibile presentare un reclamo circostanziato, al fine di sollecitare un controllo da parte del Garante sul rispetto della disciplina dei dati personali, si può anche segnalare determinate irregolarità.

56 Studio Legale Savino Tutela alternativa a quella giurisdizionale: Il Ricorso il ricorso deve essere preceduto da un interpello al titolare del trattamento, che può aderire alle richieste dellinteressato. - Avverso la decisione del Garante è ammessa opposizione davanti al Tribunale competente.

57 Studio Legale Savino LE AUTORITY Autorità Amministrative Indipendenti Le c.d. Autorità indipendenti sono amministrazioni dell'Ordinamento giuridico che agiscono in modo indipendente rispetto al Parlamento e al Governo in settori in cui è di particolare rilevanza la figura di un soggetto imparziale rispetto agli interessi pubblici in gioco. I poteri essenzialmente attribuiti a queste autorità sono di regolazione, sorveglianza, controllo e sanzionatori nei confronti dei soggetti che agiscono in questi ambiti.

58 Studio Legale Savino Le Autorità indipendenti attualmente previste nel nostro ordinamento sono: la Banca d'Italia; l' Autorità Garante della Concorrenza e del Mercato; la Commissione Nazionale per le Società e la Borsa (CONSOB); l' Autorità per le Garanzie nelle Telecomunicazioni; l' Istituto per la Vigilanza sulle Assicurazioni Private (ISVAP); il Garante per la Protezione dei Dati Personali; l' Autorità per l'Energia Elettrica ed il Gas.

59 Studio Legale Savino Il Garante per la Protezione dei Dati Personali Il Garante è un organo collegiale che rientra tra le autorità amministrative indipendenti ed ha poteri in primo luogo, di vigilanza, controllo e monitoraggio connessi al ruolo di vigilanza dellattuazione delle leggi sulla privacy.

60 Studio Legale Savino IL GARANTE Il Garante per la protezione dei dati personali è unautorità indipendente istituita dalla legge sulla privacy (legge 31 dicembre 1996 n. 675) per assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali.legge 31 dicembre 1996 n. 675 É un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di quattro anni rinnovabile. Lattuale collegio si è insediato il 18 aprile LUfficio del Garante, al quale sovrintende il Segretario generale, è articolato, oltre che in alcune unità temporanee, in dipartimenti e servizi

61 Studio Legale Savino REGOLE GENERALI

62 Studio Legale Savino OBBLIGO DI INFORMATIVA Gli interessati, hanno diritto ad essere preventivamente informati, per iscritto o anche oralmente (purché sia poi possibile darne prova), circa

63 Studio Legale Savino Le finalità e le modalità del trattamento. La natura obbligatoria o facoltativa del conferimento dei dati. Le conseguenze di un eventuale rifiuto a rispondere. I soggetti o le categorie di soggetti ai quali i dati possono essere comunicati. I diritti dellinteressato indicati allart. 7 del D.Lgs.196/2003. Il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare e, se designato, del responsabile.

64 Studio Legale Savino Il CONSENSO Il consenso deve essere fornito in riferimento ad un trattamento chiaramente individuato De ve essere espresso liberamente. Casi di esclusione del consenso: obblighi di legge, obblighi derivanti da un contratto, dati di dominio pubblico.

65 Studio Legale Savino Le misure di protezione Misure minime di protezione Misure idonee di protezione

66 Studio Legale Savino Sono 3 le componenti indispensabili a garantire la protezione dei dati INTEGRITA la salvaguardia della esattezza dei dati, la difesa da manomissioni e da modifiche non autorizzate, il monitoraggi automatici degli accessi, ecc.. RISERVATEZZA (CONFIDENZIALITA) la protezione delle informazioni tramite laccesso solo agli autorizzati, la protezione delle trasmissioni, il controllo accessi, ecc.. DISPONIBILITA la garanzia per gli utenti della fruibilità dei dati delle informazioni e dei servizi, evitando la perdita o riduzione dei dati o dei servizi

67 Studio Legale Savino Le Misure Minime di Sicurezza sono tenuti Tutti i titolari sono tenuti ad adottare le misure minime, individuate preventivamente dal Codice e secondo le modalità previste nel Disciplinare Tecnico, per assicurare un Livello minimo di protezione dei dati.

68 Studio Legale Savino Gli obblighi generali di sicurezza Custodia e controllo in modo da ridurre al minimo i rischi (art. 31 D. Lgs.196/2003) di: distruzione e perdita dei dati anche accidentale accesso non autorizzato trattamento non consentito trattamento non conforme alle finalità della raccolta Misure di sicurezza idonee

69 Studio Legale Savino Misure idonee di sicurezza Parametri di scelta delle misure idonee: progresso tecnologico natura dei dati trattati specifiche caratteristiche del trattamento Le misure di sicurezza idonee vengono identificate a seguito dellattività di Analisi dei rischi

70 Studio Legale Savino Gli obblighi specifici di sicurezzaMisure minime di sicurezza (art. 33, 34, 35 e Allegato B al Codice) La loro adozione consente lo svolgimento delle attività di trattamento. Assicurano un livello minimo di protezione dei dati personali, sensibili e/o giudiziari. Sono obbligatorie, pena lapplicazione di sanzioni penali e amministrative. Si applicano a tutte le tipologie di trattamento siano esse svolte nel settore privato che in quello pubblico. Sono individuate rispettivamente per: Trattamenti svolti con strumenti elettronici (art. 34) Trattamento svolti senza lausilio di strumenti elettronici (art. 35)

71 Studio Legale Savino Trattamenti con strumenti elettronici utilizzo di un sistema di autenticazione informatica adozione di procedure di gestione delle credenziali di autenticazione ed utilizzo di un sistema di autorizzazione aggiornamento periodico dellindividuazione dellambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, ad accessi non autorizzati ed a determinati programmi informatici

72 Studio Legale Savino …Trattamenti con strumenti elettronici adozione di procedure per la custodia di copie di sicurezza, e per il ripristino della disponibilità dei dati e dei sistemi tenuta di un aggiornato Documento Programmatico sulla Sicurezza adozione di tecniche di cifratura o di codici identificativi per dati idonei a rivelare lo stato di salute o la vita sessuale trattati da organismi sanitari

73 Studio Legale Savino Le Misure di Sicurezza MINIME Un apposito Disciplinare Tecnico ad aggiornamento annuale stabilisce le misure minime che la società deve adottare in relazione al proprio trattamento. Tutti i titolari sono tenuti ad adottare le misure minime, individuate dal Codice e secondo le modalità previste nel Disciplinare Tecnico, per assicurare un Livello minimo di protezione dei dati. InosservanzaSanzioni penali

74 Studio Legale Savino Mancata adozione delle misure minime Responsabilità Penale Misure di sicurezza (art. 169) Arresto sino a 3 anni Detenzione Fino a Multa

75 Studio Legale Savino RESPONSABILITA PENALI Sono previste pene detentive sino ad un massimo di tre anni di reclusione e la pena accessoria della pubblicazione della sentenza per falsa notifica o false informazioni al Garante; per trattamento illecito di dati personali (illecita comunicazione o diffusione dei dati; trattamento non consentito) omessa adozione di misure necessarie alla sicurezza dei dati.

76 Studio Legale Savino RESPONSABILITA CIVILE Chiunque cagiona ad altri un danno per effetto del trattamento di dati personali è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee ad evitare il danno ATTENZIONE! La legge ha parificato il trattamento di dati allesercizio di attività pericolose ex art c.c. Sostanzialmente, di fronte a danni riconducibili al trattamento dei dati, la società dovrà provare di avere fatto tutto quanto era possibile fare per evitare i danni.

77 Studio Legale Savino Le Misure di Sicurezza IDONEE: i dati personali devono essere custoditi e controllati in modo da ridurre al minimo, mediante ladozione di idonee misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Inosservanza Sanzioni civili

78 Studio Legale Savino Mancata adozione delle misure idonee Responsabilità Civile Danni per effetto di trattamento (art. 15) Art c.c. onere della prova a carico del Titolare del trattamento Danno patrimoniale Danno morale Danno non patrimoniale

79 Studio Legale Savino Ulteriori misure per il trattamento di dati : Istruzioni per lutilizzo degli archivi cartacei Modalità di accesso agli archivi Modalità di gestione degli archivi Ubicazione degli archivi es. gli archivi contenenti dati personali devono essere ubicati in modo da non essere accessibili a persone non incaricate del trattamento es. gli archivi contenenti dati sensibili e/o giudiziari devono essere ubicati in locali ad accesso controllato Lavorazione della documentazione es. è opportuno evitare di lasciare le pratiche contenenti dati personali, sensibili e/o giudiziari sulla scrivania, tavoli di lavoro o comunque a portata di mano, se non per il tempo necessario all'effettivo utilizzo. Riutilizzo e smaltimento della carta es. tutti i documenti contenenti dati personali, sensibili e/o giudiziari non possono essere oggetto di procedure di riutilizzo della carta.

80 Studio Legale Savino Ulteriori misure per il trattamento di dati : Istruzioni per lutilizzo degli strumenti informatici Accesso alle risorse del sistema informatico Utilizzo della Password Utilizzo del Personal Computer Utilizzo dei servizi di Rete Posta elettronica Internet Intranet

81 Studio Legale Savino I REATI INFORMATICI

82 Studio Legale Savino Legge sui reati informatici Lintercettazione di (art.617 quater c.p.). La rivelazione del contenuto di documenti segreti (art.621 c.p.). Il danneggiamento di sistemi informatici e telematici (art.635 bis c.p.). La frode informatica (art.640 ter c.p.) ovvero lalterazione dellintegrità dei dati allo scopo di procurarsi un ingiusto profitto.

83 Studio Legale Savino DIVIETO DI ANALOGIA IN MATERIA PENALE Art. 14 Disposizioni sulla legge in generale: Le leggi penali e quelle che fanno eccezione a regole generali o ad altre leggi non si applicano oltre i casi e i tempi in esse considerati. Art. 1 codice penale: Nessuno può essere punito per un fatto che non sia espressamente preveduto come reato dalla legge, né con pene che non siano da essa stabilite. Art. 25 co. 2° Costituzione: Nessuno può essere punito se non in forza di una legge che sia entrata in vigore prima del fatto commesso

84 Studio Legale Savino Art.392 c.p.:Esercizio arbitrario delle proprie ragioni con violenza sulle cose (art. 1 lg.n°.547/93) Il primo articolo della l.547/93 ha novellato lart. 392 c.p. Il nuovo art. 392 c.p. recita così: Chiunque, al fine di esercitare un preteso diritto, potendo ricorrere al giudice, si fa arbitrariamente ragione da sé medesimo, mediante violenza sulle cose, è punito a querela della persona, con la multa fino a euro 516. Agli effetti della legge penale, si ha violenza sulle cose allorché la cosa viene danneggiata o trasformata, o ne è mutata la destinazione. Si ha altresì violenza sulle cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico.

85 Studio Legale Savino art. 420 c.p.: Attentato ad impianti di pubblica utilità (art. 2 lg. n°. 547/93) Lart.2 della l. 547/93 ha sostituito lart. 420 c.p., nei seguenti termini: Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni. La pena di cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti. Se dal fatto deriva la distruzione o il danneggiamento dellimpianto o del sistema, dei dati, delle informazioni o dei programmi ovvero linterruzione anche parziale del funzionamento dellimpianto o del sistema la pena è della reclusione da tre a otto anni.

86 Studio Legale Savino art. 491bis c.p.: Documenti informatici (art. 3 lg. n°. 547/93) Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli.

87 Studio Legale Savino art. 615ter c.p.: Accesso abusivo ad un sistema informatico o telematico (art. 4 lg. n°. 547/93) IL DOMICILIO INFORMATICO Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni (…)

88 Studio Legale Savino Art. 615quinquies: Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (art. 4 lg. n°. 547/93) La norma punisce chi diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in lui contenuti o ad esso pertinenti, ovvero linterruzione totale o parziale, lalterazione del suo funzionamento; Punisce la produzione e la diffusione dei virus informatici.

89 Studio Legale Savino art. 640 ter c.p. (art. 10 lg. n°. 547/93): Frode informatica. chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 516 a euro (…). Il legislatore, con questo intervento normativo, ha ridisegnato la figura tradizionale del reato di truffa, e in particolare il concetto di induzione in errore di una persona mediante artifizi o raggiri, elaborando una nuova fattispecie in cui il raggirato è il computer soggetto alla alterazione ad opera del reo.

90 Studio Legale Savino

91 FINE PRESENTAZIONE STUDIO LEGALE SAVINO VIA PIETRO BEMBO ROMA


Scaricare ppt "Studio Legale Savino ABC SICUREZZA DEI DATI E DELLE INFORMAZIONI."

Presentazioni simili


Annunci Google