Incidenza della sicurezza nellambito dei services informatici CLUSIT Convegni SMAU - ROMA Prof. Avv. Cesare Triberti Roma, 6 giugno 2002
OUTSOURCING DISASTER RECOVERY FACILITY MANAGEMENT Prof. Avv. Cesare Triberti
DISASTER RECOVERY APPALTO DI SERVIZIO O MISTO ( SERVIZIO + OPERA) COME NEL CASO IN CUI IL FORNITORE SVILUPPI PROGRAMMI APPOSITAMENTE PER IL CLIENTE. N.B.: IN TALE CASO DETTI PROGRAMMI POSSONO: - ESSERE CONCESSI SOLO IN LICENZA DURANTE LA DURATA DELLINTERO SERVIZIO - ESSERE TRASFERITI NELLA PIENA TITOLARITÀ DEL CLIENTE CHE NE USUFRUISCE DURANTE IL RAPPORTO DI D.R. TRAMITE IL SERVIZIO UN ESSERE, E NE MANTERRÀ ANCHE SUCCESSIVAMENTE LA TITOLARITÀ OGGETTO: Prof. Avv. Cesare Triberti
CARATTERISTICA DEL D.R. E QUELLA DI COLLOCARSI INDIFFERENTEMENTE COME CONTRATTO SINGOLO E AUTONOMO DA OGNI ULTERIORE DIVERSA PRESTAZIONE ALLINTERNO DI UN PIÙ COMPLESSO RAPPORTO CONTRATTUALE, COME AD ES. NELLIPOTESI DI OUTSOURCING ( E CIÒ SIA COME PRESTAZIONE AUTONOMA RISPETTO ALLINTERA GESTIONE DEL CENTRO, SIA COME PRESTAZIONE COLLEGATA / CONNESSA ALLE ALTRE) Prof. Avv. Cesare Triberti
ATTENZIONE !!! AL FINE DI UN CORRETTO RAPPORTO OCCORRE CHE IL FORNITORE OFFRA TANTO LA SICUREZZA FISICA QUANTO QUELLA LOGICA: IN NESSUN ALTRO CONTRATTO INFORMATICO È RAVVISABILE UN COSÌ INCIDENTE INTERESSE ALLA SICUREZZA DEL CENTRO ED ALLA CUSTODIA DEI PROPRI DATI È BUONA NORMA RICHIEDERE UN AUDIT PREVENTIVO E IN CORSO DI ESECUZIONE DEL CONTRATTO Prof. Avv. Cesare Triberti
FACILITY MANAGEMENT OGGETTO PRESTAZIONE DI SERVIZI PRESTAZIONE DI SERVIZI E OPERA PRESTAZIONE DOPERA Prof. Avv. Cesare Triberti
OUTSOURCING CONTRATTO DI APPALTO SERVICEMISTO SERVICESVILUPPOMANUT. ASSIST. Prof. Avv. Cesare Triberti
RAPPORTI CONTRATTUALI UTENTEUTENTE GESTORE DEL SERVIZIO DI OUTSOURCING SVILUPPO SOFTWARE ASSISTENZA SOFTAWARE MANUTENZIONE HARDWARE DISASTER RECOVERY ULTER. SERV. Prof. Avv. Cesare Triberti
CONDIZIONI SPECIALI OGGETTO - DETERMINATO O DETERMINABILE - UTILIZZO DI ALLEGATI ANCHE SUCCESSIVI ALLA SOTTOSCRIZIONE E/O PERFEZIONAMENTO DEL CONTRATTO ! LOGGETTO E IL PERNO CENTRALE DI TUTTO LACCORDO PRESENZA DI UNO STUDIO PRELIMINARE PARTICOLARE ATTENZIONE ALLA CONTESTUALITA DI PRESTAZIONI DI OPERA E DI SERVIZI CON LORO PARITETICITA O CONNESSIONE E/O COLLEGAMENTO (sviluppo SW. - L.USO - DISASTER RECOVERY - SERVICE - MIGRAZIONI - ECC. ) ! ! Prof. Avv. Cesare Triberti
EDP AUDIT SUL FORNITORE FASE PRELIMINARE AL CONTRATTO CONTROLLA SICUREZZA FISICA SICUREZZA LOGICA DURANTE LESECUZIONE DEL CONTRATTO IL LIVELLO DI QUALITÀ DEL SERVIZIO CONTROLLA Prof. Avv. Cesare Triberti
ART C.C. RESPONSABILITÀ DEGLI AMMINISTRATORI VERSO I CREDITORI SOCIALI PER LINOSSERVANZA DEGLI OBBLIGHI INERENTI ALLA CONSERVAZIONE DEL PATRIMONIO SOCIALE. ART C.C. I SINDACI SONO RESPONSABILI SOLIDALMENTE CON GLI AMMINISTRATORI QUALORA IL DANNO NON SI SAREBBE PRODOTTO SE AVESSERO VIGILATO IN CONFORMITÀ ALLA LORO CARICA. ART C.C. GLI AMMINISTRATORI SONO RESPONSABILI VERSO LA SOCIETÀ SE NON ADEMPIONO AI DOVERI DELLA LEGGE E DALLATTO COSTITUTIVO CON LA DILIGENZA DEL MANDATARIO E SONO SOLIDALMENTE RESPONSABILI VERSO LA SOCIETÀ CUI DANNI AD ESSA DERIVANTI. Prof. Avv. Cesare Triberti
EVOLUZIONE DEL CONCETTO DI PRIVACY DELLA RISERVATEZZA ASSOLUTA TANTO SOGGETTIVA ( DATO PERSONALE) QUANTO OGGETTIVA ( DATO ECONOMICO) AL CONTROLLO E GESTIONE DELLA RISERVATEZZA E QUINDI CON RIFERIMENTO : - RACCOLTA DATI - GESTIONE DATI - UTILIZZO DATI - ACCESSO AI DATI - SISTEMI DI RACCOLTA E GESTIONE - SICUREZZA IN SENSO LATO Prof. Avv. Cesare Triberti
LEGGE 675/96 DEFINIZIONI SI INTENDE PER : BANCA DATI, QUALSIASI COMPLESSO DI DATI PERSONALI, RIPARTITO IN UNA O PIÙ UNITÀ DISLOCATE IN UNO O PIÙ SITI, ORGANIZZATO SECONDO UNA PLURALITÀ DI CRITERI DETERMINATI TALI DA FACILITARNE IL TRATTAMENTO Prof. Avv. Cesare Triberti
SI INTENDE PER TRATTAMENTO, QUALUNQUE OPERAZIONE O COMPLESSO DI OPERAZIONI, SVOLTE CON O SENZA LAUSILIO DI MEZZI ELETTRONICI O COMUNQUE AUTOMATIZZATI, CONCERNENTI LA RACCOLTA, LA REGISTRAZIONE, LORGANIZZAZIONE, LA CONSERVAZIONE, L'ELABORAZIONE LA MODIFICAZIONE, LA SELEZIONE, LESTRAZIONE, IL RAFFRONTO, LUTILIZZO, LINTERCONNESSIONE, LA DIFFUSIONE, LA CANCELLAZIONE E LA DISTRIBUZIONE DI DATI. Prof. Avv. Cesare Triberti
SI INTENDE PER DATO PERSONALE, QUALUNQUE INFORMAZIONE RELATIVA A PERSONA FISICA, PERSONA GIURIDICA ENTE OD ASSOCIAZIONE, IDENTIFICABILI ANCHE INDIRETTAMENTE, MEDIANTE RIFERIMENTO A QUALSIASI ALTRA INFORMAZIONE IVI COMPRESO UN NUMERO DI IDENTIFICAZIONE PERSONALE Prof. Avv. Cesare Triberti
SI INTENDE PER TITOLARE, LA PERSONA FISICA, LA PERSONA GIURIDICA, LA PUBBLICA AMMINISTRAZIONE E QUALSIASI ALTRO ENTE, ASSOCIAZIONE OD ORGANISMO CUI COMPETONO LE DECISIONI IN ORDINE ALLE FINALITÀ DEL TRATTAMENTO DI DATI PERSONALI, IVI COMPRESO IL PROFILO DELLA SICUREZZA. Prof. Avv. Cesare Triberti
SI INTENDE PER RESPONSABILE, LA PERSONA FISICA, LA PERSONA GIURIDICA, LA PUBBLICA AMMINISTRAZIONE E QUALSIASI ALTRO ENTE, ASSOCIAZIONE OD ORGANISMO PREPOSTO DAL TITOLARE AL TRATTAMENTO DEI DATI PERSONALI. SI INTENDE PER INTERESSATO, LA PERSONA FISICA, LA PERSONA GIURIDICA, LASSOCIAZIONE O LENTE CUI SI RIFERISCONO I DATI PERSONALI Prof. Avv. Cesare Triberti
SI INTENDE PER COMUNICAZIONE, IL DARE CONOSCENZA DEI DATI PERSONALI A UNO O PIÙ SOGGETTI DETERMINATI DIVERSI DALLINTERESSATO, IN QUALUNQUE FORMA, ANCHE MEDIANTE LA LORO MESSA A DISPOSIZIONE O CONSULTAZIONE. SI INTENDE PER DIFFUSIONE, IL DARE CONOSCENZA DEI DATI PERSONALI A SOGGETTI INDETERMINATI, IN QUALUNQUE FORMA, ANCHE MEDIANTE LA LORO MESSA A DISPOSIZIONE O CONSULTAZIONE Prof. Avv. Cesare Triberti
SI INTENDE PER DATO ANONIMO, IL DATO CHE IN ORIGINE, O A SEGUITO DI TRATTAMENTO, NON PUÒ ESSERE ASSOCIATO AD UN INTERESSATO IDENTIFICATO O IDENTIFICABILE SI INTENDE PER BLOCCO, LA CONSERVAZIONE DI DATI PERSONALI CON SOSPENSIONE TEMPORANEA DI OGNI ALTRA OPERAZIONE DEL TRATTAMENTO. SI INTENDE PER GARANTE, L'AUTORITÀ ISTITUITA AI SENSI DELLARTICOLO 30. Prof. Avv. Cesare Triberti
INTERESSATO TITOLARE DEL TRATTAMENTO PREPONE UN RESPONSABILE DEL TRATTAMENTO Prof. Avv. Cesare Triberti
ART. 18 LEGGE 675/96 CHIUNQUE CAGIONA DANNO AD ALTRI PER EFFETTO DEL TRATTAMENTO DI DATI PERSONALI È TENUTO AL RISARCIMENTO AI SENSI DELLART C.C. ART. 18 LEGGE 675/96 RESPONSABILITÀ PER LESERCIZIO DI ATTIVITÀ PERICOLOSE CHIUNQUE CAGIONA DANNO AD ALTRI NELLO SVOLGIMENTO DI UN'ATTIVITÀ PERICOLOSA, PER SUA NATURA O PER LA NATURA DEI MEZZI ADOPERATI, È TENUTO AL RISARCIMENTO, SE NON PROVA DI AVERE ADOTTATO TUTTE LE MISURE IDONEE A EVITARE IL DANNO Prof. Avv. Cesare Triberti
GRAVANDO SUL TITOLARE LA RESPONSABILITÀ EX ART C.C., QUEST'ULTIMO È GRAVATO DALLA INERENTE PRESUNZIONE E DOVRA DIMOSTRARE DI AVER ADOTTATO TUTTE LE MISURE DI SICUREZZA POSSIBILI E RIFERIBILI ALLO STATO ATTUALE DI CONOSCENZA. TECNICA E SCIENTIFICA. È, IN ALTRE PAROLE, LO STESSO PRINCIPIO ATTUATO DALLA LEGGE SULLA RESPONSABILITÀ DA PRODOTTO DIFETTOSO. LEGGE 24/05/88 N. 224 Prof. Avv. Cesare Triberti
ORA, CON LA LEGGE 675/96 SI È INNANZI A : A) UNESTENSIONE EX LEGE DEL PRINCIPIO DI ATTIVITÀ PERICOLOSA ( ART. 18) B) UNESTENSIONE IMPLICITA DERIVANTE DALLA NATURA DELLATTIVITÀ DI RACCOLTA, GESTIONE ED TRATTAMENTO DEI DATI CON SPECIFICO RIFERIMENTO AI MARGINI DI SICUREZZA ( ART ) Prof. Avv. Cesare Triberti
INOLTRE LART. 36 LEGGE 675/96 VA COLLOCATO ANCHE IN RAFFRONTO CON GLI ART E 615 TER INTRODOTTI DALLA LEGGE 547/93 SUI COMPUTER CRIMES RELATIVI AL PRINCIPIO DELLA SICUREZZA DEL SISTEMA INFORMATIVO Prof. Avv. Cesare Triberti
QUINDI SI È INNANZI A NUOVE SANZIONI PENALI ART OMESSA O INFEDELE NOTIFICAZIONE ART TRATTAMENTO ILLECITO DI DATI PERSONALI ART OMESSA ADOZIONE DI MISURE NECESSARIE ALLA SICUREZZA DEI DATI ART INOSSERVANZA DEI PROVVEDIMENTI DEL GARANTE ART PENA ACCESSORIA Prof. Avv. Cesare Triberti
LEGGE 675/96 TUTELA DELLA PRIVACY LEGGE 300/70 STATUTO DEI LAVORATORI LEGGE 547/93 CRIMINALITÀ INFORMATICA Prof. Avv. Cesare Triberti
LEGGE 300/70 LA COSTITUZIONALIZZAZIONE DEL RAPPORTO DI LAVORO PER LA PROMOZIONE SINDACALE SONO GLI ELEMENTI PERMEANTI MIRANTI ALLA PIENA TUTELA DEL LAVORATORE. Prof. Avv. Cesare Triberti
LEGGE 300/70 GRAVA SUL DATORE DI LAVORO L'OBBLIGO DI COMPORTAMENTI A PROTEZIONE DEGLI INTERESSI/DIRITTI DEI LAVORATORI IL TUTTO NELLAMBITO DEI POTERI PROPRI DEL DATORE DI LAVORO, IL CUI INADEMPIMENTO IMPLICA SIA LINVALIDITÀ DELLATTO SIA LA TUTELA RISARCITORIA O RIPRISTINATORIA DEL DIRITTO LESO. Prof. Avv. Cesare Triberti
LEGGE 300/70 PER CIÒ CHE RIGUARDA LESCLUSIONE DEI CONTROLLI SULL'ADEMPIMENTO DELLA PRESTAZIONE LAVORATIVA CHE LEDANO LA DIGNITÀ (OCCULTI) E LA RISERVATEZZA (PRIVACY) DEL LAVORATORE, VI È IL DIVIETO INCONDIZIONATO DELLA MODALITÀ LESIVA ( ES. ART. 3 SALVO CHE IL PERSONALE DI VIGILANZA SIA PUBBLICAMENTE E SPECIFICATAMENTE INDIVIDUATO; ART. 5 ACCERTAMENTI SANITARI, ESCLUSI AL DATORE DI LAVORO E DEVOLUTI AGLI ENTI PUBBLICI COMPETENTI). Prof. Avv. Cesare Triberti
LEGGE 300/70 VI È PERÒ LA NECESSITÀ DI CONTEMPERARE UN CONTROLLO LECITO ( ES. SUL PATRIMONIO AZIENDALE, SULLE CONDIZIONI DI SICUREZZA O SULLESATTO ADEMPIMENTO DELLATTIVITÀ LAVORATIVA) CON IL CORRELATIVO NECESSARIO CONTROLLO SULLA PERSONA. TALE CONTEMPERAZIONE È ATTUATA TRAMITE IL PREVIO E OBBLIGATORIO ACCORDO CON LE RAPPRESENTANZE SINDACALI O CON LISPETTORATO DEL LAVORO ( ES. ART. 4 CONTROLLI A DISTANZA CON SISTEMI AUDIOVISIVI). Prof. Avv. Cesare Triberti
LEGGE 300/70 NECESSITÀ QUINDI DI EQUILIBRIO FRA TUTELA DELLA DIGNITÀ E RISERVATEZZA DEI LAVORATORI E DIRITTO DI CONTROLLO SUL CORRETTO ADEMPIMENTO DELL'OBBLIGO DI LAVORO Prof. Avv. Cesare Triberti
LEGGE 547/93 È UNA LEGGE FONDAMENTALE PER LA LOTTA ALLA CRIMINALITÀ INFORMATICA (PUR SE NECESSITANO CONTINUI ADEGUAMENTI A FRONTE DI NUOVE TECNICHE ATTUATIVE DI REATI, COME NEL CASO DI INTERNET) Prof. Avv. Cesare Triberti
LEGGE 547/93 PECULIARITÀ DELLA LEGGE È IL SUPERAMENTO DEL DIVIETO DEL PRINCIPIO DI APPLICAZIONE ANALOGA DELLA NORMA PROPRIO DEL DIRITTO PENALE A DIFFERENZA DELLAPPLICABILITÀ ANALOGICA ALLAREA CIVILISTICA (ES. IL CONTRATTO DI LICENZA DUSO DI SOFTWARE ) E QUINDI LINTRODUZIONE DI PRECISE IPOTESI DI REATO ( ES. ART. 615 TER C.P. ACCESSO ABUSIVO AD UN SISTEMA INFORMATICO O TELEMATICO, ART. 615 QUATER C.P. DETENZIONE E DIFFUSIONE ABUSIVA DI CODICI DI ACCESSO A SISTEMI DI PROGRAMMI DIRETTI A DANNEGGIARE O INTERROMPERE UN SISTEMA INFORMATICO. ART. 616 C.P. VIOLAZIONE, SOTTRAZIONE E SOPPRESSIONE DI CORRISPONDENZA, ART. 621 C.P. RIVELAZIONE DEL CONTENUTO DI DOCUMENTI SEGRETI, ART. 623 BIS C.P. ALTRE COMUNICAZIONI E RILEVAZIONI) Prof. Avv. Cesare Triberti
LEGGI 300/ / /93 EMERGE QUINDI CHE I VARI TESTI LEGISLATIVI MIRANO A DIVERSI LIVELLI DI TUTELA, CHE NON SI ELIDONO MA, ANZI, SI INTEGRANO. LA LEGGE 300/70 TUTELA PRIORITARIAMENTE LA PERSONA ( FISICA E MORALE) DEL LAVORATORE LA LEGGE 675/96 TUTELA SIA LA PERSONA FISICA CHE LA PERSONA GIURIDICA, SENZA DISTINGUERE FRA IL LAVORATORE E IL DATORE DI LAVORO E TERZE PARTI. LA LEGGE 547/93 È DI PORTATA GENERALE Prof. Avv. Cesare Triberti
CODICE PENALE LIBRO SECONDO Dei delitti in particolare TITOLO XII - Dei delitti contro la persona CAPO III - Dei delitti contro la libertà individuale SEZIONE IV - Dei delitti contro la inviolabilità del domicilio VECCHIO TESTONUOVO TESTO ART. 615 BIS - ( interferenze illecite nella vita privata) ART ( violazione, sottrazione e soppressione di corrispondenza ) ART. 615 BIS - ( interferenze illecite nella vita privata) ART. 615 TER - ( Accesso abusivo ad un sistema informatico o telematico) Prof. Avv. Cesare Triberti
ART. 615 TER - ( ACCESSO ABUSIVO AD UN SISTEMA INFORMATICO O TELEMATICO) CHIUNQUE ABUSIVAMENTE SI INTRODUCE IN UN SISTEMA INFORMATICO O TELEMATICO PROTETTO DA MISURE DI SICUREZZA OVVERO VI SI MANTIENE CONTRO AL VOLONTÀ ESPRESSA O TACITA DI CHI HA IL DIRITTO DI ESCLUDERLO, È PUNITO CON LA RECLUSIONE FINO A TRE ANNI. Prof. Avv. Cesare Triberti
LA PENA È DELLA RECLUSIONE DA UNO A CINQUE ANNI: 1) SE IL FATTO È COMMESSO DA UN PUBBLICO UFFICIALE O DA UN INCARICATO DI UN PUBBLICO SERVIZIO, CON ABUSO DEI POTERI O CON LA VIOLAZIONE DEI DOVERI INERENTI ALLA FUNZIONE O AL SERVIZIO, O DA CHI ESERCITA ANCHE ABUSIVAMENTE LA PROFESSIONE DI INVESTIGATORE PRIVATO, CON ABUSO DELLA QUALITÀ DI OPERATORE DEL SISTEMA; Prof. Avv. Cesare Triberti
2) SE IL COLPEVOLE PER COMMETTERE IL FATTO USA VIOLENZA SULLE COSE O ALLE PERSONE, OVVERO SE È PALESEMENTE ARMATO; 3) SE DAL FATTO DERIVA LA DISTRUZIONE O IL DANNEGGIAMENTO DEL SISTEMA O LINTERRUZIONE TOTALE O PARZIALE DEL SUO FUNZIONAMENTO, OVVERO LA DISTRUZIONE O IL DANNEGGIAMENTO DEI DATI, DELLE INFORMAZIONI O DEI PROGRAMMI IN ESSO CONTENUTI. Prof. Avv. Cesare Triberti
QUALORA I FATTI DI CUI AI COMMI PRIMO E SECONDO RIGUARDINO SISTEMI INFORMATICI O TELEMATICI DI INTERESSE MILITARE O RELATIVI ALLORDINE PUBBLICO O ALLA SICUREZZA PUBBLICA O ALLA SANITÀ O ALLA PROTEZIONE CIVILE O COMUNQUE DI INTERESSE PUBBLICO, LA PENA È, RISPETTIVAMENTE, DELLA RECLUSIONE DA UNO A CINQUE ANNI E DA TRE A OTTO ANNI. NEL CASO PREVISTO DAL PRIMO COMMA IL DELITTO È PUNIBILE A QUERELA DELLA PERSONA OFFESA, NEGLI ALTRI CASI SI PROCEDE DUFFICIO. Segue 3) Prof. Avv. Cesare Triberti