E. Bovo INFN1 Documento informatico e comunicazioni elettroniche. Tutela dei dati ed efficacia delle comunicazioni. Castiadas (CA) 25.05.2004 Eleonora.

Slides:



Advertisements
Presentazioni simili
La Posta Elettronica Certificata
Advertisements

Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Struttura del codice sulla privacy:
CORSO PRIVACY PARTE GENERALE
Il Processo Civile Telematico
CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Introduzione alla firma elettronica
Eutekne – Tutti i diritti riservati Il Codice della Privacy (DLgs. 196/2003) e le Associazioni Sportive Avv. Stefano Comellini.
Diritto di accesso e privacy
LA NORMATIVA DI RIFERIMENTO
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.
La tutela dei dati personali
Documento informatico Ingegneria Informatica 31 marzo 2006 Prof. Pieremilio Sammarco.
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
La Posta Certificata per la trasmissione dei documenti informatici renzo ullucci.
Sistema di Comunicazione in INPS
Impresa e Privacy. Il trattamento dei dati deve essere eseguito nel rispetto dei diritti e delle libertà fondamentali, della dignità della persona, con.
CSR in COLT Italia Piano operativo. CSR piano operativo A livello centrale >Switch off campaign >Analisi sul trattamento dei rifiuti >Riciclo apparati.
1 La Legge Italiana sulla Firma Digitale Nicola Rebagliati.
Autore TECNOCHORA SPA - AREA INFORMATION TECHNOLOGY La Privacy Formazione del personale interno Materiale riservato. Proprietà di Tecnochora spa. Vietata.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
PRIVACY SCUOLA a cura di DOTT. MANGANIELLO MARCO
ISTAT DCRS Novità organizzative e legislative per il PSN (Roma, 24 giugno 2009) Maria Rosaria Simeone (Dirigente Servizio DCRS/IST) Impatto della normativa.
Riproduzione riservata
Posta Certificata Cosè e come funziona: valore legale, applicazioni e prove pratiche di invio e ricezione. Posta Certificata Cosè e come funziona: valore.
La prova nel processo civile
Dlgs. 196/ Da onere burocratico a opportunità aziendale Testo unico che integra, sotituisce e abroga i precedenti D. lgs.: 675 del 31/12/1996:
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
Seminario informativo sulle problematiche della trasmissione telematica delle dichiarazioni Privacy e sicurezza: Gli obblighi in tema di riservatezza -
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Direttiva 2005/36/CE Relativa al riconoscimento delle qualifiche professionali.
Dati delle Pubbliche Amministrazioni e Servizi in Rete Prefettura di Reggio Calabria novembre 2010.
IL PROCEDIMENTO AMMINISTRATIVO ON LINE: REQUISITI, METODI E STRUMENTI
Firma digitale e firme elettroniche
La Posta Elettronica Certificata
D. Lgs 196/2003 Codice in materia di protezione dei dati personali.
22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.
La gestione informatica dei documenti
D.L.196 del 30 giugno 2003 codice in materia di protezione dei dati personali Scuola elementare statale IV Circolo di Lodi.
PEC, istituzionale e comunicazioni pubbliche
PRIVACY: Adempimenti e Opportunità
La sicurezza delle reti informatiche : la legge sulla Privacy
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
20 maggio CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196) Formatore:
_________________________________________________________________ Trade System Srl - Viale Gran Sasso Corropoli (TE) Tel: Fax:
IL CODICE DELLA PRIVACY
Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale1 Progetto: Consumatori Informati – cod. 310/ giugno 2009.
1 Firma Elettronica E’ un insieme di dati in forma elettronica utilizzati come metodo di identificazione informatica. E’ la Firma informatica più debole.
Azienda Ospedaliera San Giovanni Addolorata: Compiti dei responsabili e referenti privacy Avv. Giovanni Guerra.
Azienda Ospedaliera San Giovanni Addolorata Privacy: Misure Minime di Sicurezza Gianpiero Guerrieri Dirigente Analista I.C.T.
CORSO DI AGGIORNAMENTO ADEMPIMENTI PER LA TUTELA DELLA PRIVACY ANNO 2008.
Principio di necessità nel trattamento dei dati (art.3 codice privacy)
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Forum PA – Roma 12 maggio PEC – Un nuovo servizio per tutti - C. Petrucci Posta Elettronica Certificata Un nuovo servizio per tutti ing. Claudio.
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
Agenda – Parte II La creazione del documento informatico e la firma digitale La classificazione del documento e il protocollo informatico La trasmissione.
CRUI 14 e 15 luglio 2014 Elisabetta Di Russo Dipartimento di Medicina Molecolare GLAD – Gruppo di Lavoro Ateneo Drupal Nuove linee guida in materia di.
D.Lgs 196/03: Tutela della privacy
La diffusione sul web di dati personali e la privacy negli enti locali Relatore Gianni Festi 1.
Associazione Industriale Bresciana 24 giugno 2004 TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI (ART. 35 DEL CODICE) Aggiornamento periodico dell’individuazion.
Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.
L’utilizzo della firma digitale e della posta elettronica certificata ai procedimenti demografici A. FRANCIONI e G. PIZZO Esperti Anusca.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
PEC La Posta Elettronica Certificata Ombretta Pinazza Gruppo Mailing Marzo 2008.
PEC Posta Elettronica Certificata Dott. Giuseppe Spartà
1 Le firme elettroniche (2006). 2 L’EVOLUZIONE NORMATIVA I Prima fase
Associazione Industriale Bresciana 23 giugno 2004 PRIVACY ORGANIZZAZIONE E PRINCIPALI ADEMPIMENTI Decreto legislativo 30 giugno 2003, n. 196 Associazione.
Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
Transcript della presentazione:

E. Bovo INFN1 Documento informatico e comunicazioni elettroniche. Tutela dei dati ed efficacia delle comunicazioni. Castiadas (CA) Eleonora Bovo Servizio Affari Legali e Contenzioso INFN

E. Bovo INFN2 Temi di indagine: Misure di sicurezza nel trattamento dei dati personali Spamming e posta elettronica Firme elettroniche

E. Bovo INFN3 Misure di sicurezza nel trattamento dei dati personali Decreto Legislativo 30 giugno 2003 n. 196 Codice in materia di protezione dei dati personali

E. Bovo INFN4 D.Lgs. n.196/03 - Codice privacy Tre canoni fondamentali: Confidenzialità / Riservatezza Integrità Disponibilità dei dati personali:

E. Bovo INFN5 D.Lgs. n.196/03 - Codice privacy Da un punto di vista sistematico: Confidenzialità Impernia l’intero Decreto Integrità Disponibilità Trovano disciplina danegli artt. da 33 a 36 e nell’Allegato B) del Codice

E. Bovo INFN6 Confidenzialità: Principio di necessità del trattamento (art.3): Obbligo di configurare i programmi informatici ed i sistemi informativi in modo da: Ridurre al minimo l’utilizzazione dei dati personali identificativi; Escludere il trattamento di dati personali quando le finalità perseguite possono essere raggiunte con modalità che permettano di identificare l’interessato solo in caso di necessità.

E. Bovo INFN7 Confidenzialità: ( Alcune norme da ribadire) Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento di funzioni istituzionali (art.18) La comunicazione di dati da soggetto pubblico a soggetto pubblico è ammessa solo quando prevista da norma di legge o di regolamento o a seguito di autorizzazione del Garante; La comunicazione di dati da soggetto pubblico a soggetto privato e la diffusione sono ammesse unicamente quando previste da norma di legge o di regolamento (art.19).

E. Bovo INFN8 Integrità e disponibilità: Sicurezza dei dati e dei sistemi Obblighi di sicurezza CUSTODIA CONTROLLO In relazione a:  PROGRESSO TECNICO  NATURA DEI DATI  CARATTERISTICHE DEL TRATTAMENTO

E. Bovo INFN9 Misure di sicurezza IDONEE PREVENTIVE Al fine di ridurre i rischi di: DISTRUZIONE PERDITA (anche accidentale) ACCESSO NON AUTORIZZATO (o non consentito, o non conforme alle finalità della raccolta)

E. Bovo INFN10 Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici Trattamento consentito solo se sono adottate le seguenti misure minime (art.34): A) autenticazione informatica; B) adozione di procedure di gestione delle credenziali di autenticazione; C) utilizzazione di un sistema di autorizzazione D) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito agli incaricati ed agli addetti alla gestione o alla manutenzione degli strumenti elettronici; E) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti ed a determinati programmi informatici; F) adozione di procedure per l’adozione di copie di sicurrezza, il ripristino della disponibilità dei dati e dei sistemi; G) Tenuta del Documento Programmatico sulla Sicurezza; H) Tecniche di cifratura per trattamenti di dati idonei effettuati da organismi sanitari.

E. Bovo INFN11 Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici A) autenticazione informatica; B) adozione di procedure di gestione delle credenziali di autenticazione; Necessità di credenziali di autenticazione (codice identificativo +password, oppure caratteristica biometrica + codice identif. o password) Password di almeno 8 caratteri da modificare ogni 6 mesi (ogni 3 per il trattamento dei dati sensibili) Codice identificativo se utilizzato, non può essere assegnato ad altri neppure in tempi diversi. Credenziali di autenticazione disattivate se non utilizzate da almeno 6 mesi, salvo quelle autorizzate per scopi di gestione tecnica.

E. Bovo INFN12 Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici C) utilizzazione di un sistema di autorizzazione; D) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito agli incaricati ed agli addetti alla gestione o alla manutenzione degli strumenti elettronici. Necessità di utilizzare sistemi di autorizzazione ove vi siano diversi profili di autorizzazione al trattamento dati; I profili di autorizzazione devono limitare l’accesso ai soli dati necessari per effettuare il trattamento; Necessità di verifica periodica della sussistenza delle condizioni per l’autorizzazione.

E. Bovo INFN13 Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici E) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti ed a determinati programmi informatici Necessità di protezione dei dati contro il rischio di intrusione o dall’azione di programmi diretti al danneggiamento dei sistemi (virus), mediante attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale Gli aggiornamenti dei programmi diretti a prevenire la vulnerabilità degli strumenti ed a correggerne i difetti devono essere effettuati almeno annualmente. Per il trattamento di dati sensibili e giudiziari almeno semestralmente.

E. Bovo INFN14 Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici F) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi Salvataggio dei dati con frequenza almeno settimanale; Istruzioni per la custodia e l’uso dei supporti rimovibili in modo da evitare accessi non autorizzati (in particolare per i dati sensibili e giudiziari); Distruzione dei supporti non utilizzati che contengano dati sensibili; Ripristino dei dati in caso di danneggiamento in tempi non superiori a sette giorni (per i dati sensibili e giudiziari).

E. Bovo INFN15 Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici G) Tenuta del Documento Programmatico sulla Sicurezza Data prevista dal Codice per la predisposizione del DPS: 31 marzo Provvedimento del Garante ha consentito per quest’anno (data la recente entrata in vigore del D.Lgs n.196/03), la predisposizione del DPS entro il 30 giugno Circolari INFN per la predisposizione del DPS In data , prot (con allegato template del DPS); In data , prot :

E. Bovo INFN16 Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici Nel caso in cui per l’adozione delle misure di sicurezza ci si avvalga di soggetti esterni è necessario chiedere ed ottenere dall’installatore la descrizione dell’intervento effettuato con attestazione della conformità alle disposizioni di cui all’Allegato B) del D. Lgs. n. 196/03.

E. Bovo INFN17 Oltre all’individuazione di misure di sicurezza il Codice Privacy... … si occupa anche di comunicazioni elettroniche (artt ) ed in particolare di comunicazioni indesiderate (Art. 130)

E. Bovo INFN18 Art. 130 del Codice Privacy Le comunicazioni elettroniche effettuate per l’invio di materiale pubblicitario, vendita diretta, compimento di ricerche di mercato o comunicazione commerciale sono consentite con il consenso dell’interessato (metodo dell’OPT IN). (Comma 1)

E. Bovo INFN19 Art. 130 del Codice Privacy E’ ammesso invece da parte di venditori di prodotti o servizi, l’uso di coordinate di posta elettronica fornite dall’interessato nell’acquisto di un bene o servizio, se diretto ad offrire prodotti o servizi analoghi a quelli della precedente vendita e purché l’interessato, adeguatamente informato non rifiuti tale uso (metodo dell’OPT OUT). (Comma 2)

E. Bovo INFN20 Art. 130 del Codice Privacy E’ vietato in ogni caso l’invio di comunicazioni per finalità pubblicitarie effettuato camuffando o celando l’identità del mittente o senza fornire recapito presso il quale sia possibile esercitare i propri diritti (comma 5). In caso di violazione reiterata è dato reclamo al Garante che può adottare misure per rendere il trattamento conforme a legge.

E. Bovo INFN21 Limite della norma: La vigenza nel solo ambito territoriale italiano. Limite riconosciuto dallo stesso Garante per la Protezione dei dati personali in un provvedimento del : “Spamming - Regole per un corretto invio delle pubblicitarie”

E. Bovo INFN22 Afferma il Garante: Ai messaggi provenienti dall’estero non è applicabile la legge italiana; “In alcuni casi cioè quelli degli stati federali, l’invio di messaggi pubblicitari di posta elettronica può essere illecito in base alla legge di alcuni stati, per cui è parimenti possibile, per gli utenti, chiedere alle competenti autorità pubbliche degli stati di valutare la perseguibilità degli illeciti” (Art.8 del Provvedimento).

E. Bovo INFN23 … ma afferma anche Che alcune indesiderate possono essere strumento per commettere reati comuni (per esempio truffa) che devono considerarsi commessi nel territorio italiano quando, sebbene l’azione sia avvenuta all’estero, l’evento reato che ne deriva si è verificato in Italia. (Art. 8) (Principio affermato anche dalla giurisprudenza).

E. Bovo INFN24 … e ribadisce che “… la circostanza che gli indirizzi di posta elettronica possano essere reperiti con una certa facilità in internet non comporta il diritto di utilizzarli liberamente per inviare messaggi pubblicitari” (art. 2) (ciò è affermato, tra l’altro, anche con riferimento agli indirizzi di posta elettronica pubblicati su siti web di soggetti pubblici per fini istituzionali).

E. Bovo INFN25 Con riferimento alla posta elettronica… … sotto il profilo normativo, lavori in corso

E. Bovo INFN26 Al momento disponiamo di: Un provvedimento avente forza di legge (D.P.R. n. 445/2000) Una direttiva Presidenza Consiglio dei Ministri (Dip. Innov. e Tecnol. Del ) Una bozza di Regolamento (non ancora emanato e che non ha quindi, efficacia normativa) in tema di posta elettronica certificata.

E. Bovo INFN27 Il D.P.R. n. 445/2000 Documento informatico: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti. (art.1, lett.b) Il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del presente testo unico. (art.8)

E. Bovo INFN28 Il D.P.R. n. 445/ art Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta. Sul piano probatorio è liberamente valutabile, in relazione alle sue caratteristiche oggettive di qualità e sicurezza. Quando è sottoscritto con firma digitale, o con altra firma elettronica avanzata e la firma è basata su di un certificato qualificato e generata con un dispositivo per la firma sicura, fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto.

E. Bovo INFN29 Il D.P.R. n. 445/ art Il documento informatico trasmesso per via telematica si intende inviato e pervenuto al destinatario, se trasmesso all’indirizzo elettronico da questi dichiarato. La data e l’ora di formazione, trasmissione o ricezione di un documento, redatto in conformità a specifiche regole tecniche sono opponibili ai terzi. La trasmissione del documento informatico per via telematica, con modalità che assicurino l’avvenuta consegna, equivale alla notificazione per mezzo della posta nei casi consentiti dalla legge.

E. Bovo INFN30 Per avere efficacia un documento trasmesso per via telematica Deve essere predisposto secondo specifiche regole tecniche (recentemente individuate con DPCM 13 gennaio 2004, pubblicato nella Gazzetta Ufficiale n.98 del ) e Deve essere trasmesso con modalità che assicurino l’avvenuta consegna (modalità non ancora ufficialmente individuate con un provvedimento normativo, ma per le quali è stata predisposta una bozza di Regolamento)

E. Bovo INFN31 Piccolo inciso … “Gli addetti alle operazioni di trasmissione per via telematica di atti dati e documenti formati con strumenti informatici, non possono prendere cognizione della corrispondenza telematica, duplicare con qualsiasi mezzo o cedere a terzi aqualsiasi titolo informazioni anche in forma sintetica o per estratto sull’esistenza o sul contenuto di corrispondenza, comunicazioni, trasmessi per via telematica, salvo che si tratti di informazioni per loro natura o per espressa indicazione del mittente destinate ad essere rese pubbliche” (art. 17 D.P.R. n: 445/2000)

E. Bovo INFN32 D. P.C. M Regole tecniche per la formazione, trasmissione, conservazione, duplicazione, riproduzione e validazione, anche temporale, dei documenti informatici E’ diretto a certificatori qualificati e certificatori accreditati; Individua: Le norme per la generazione, apposizione e verifica della firma digitale; le caratteristiche delle chiavi per la creazione e verifica della firma; Le modalità di generazione e conservazione delle chiavi e di verifica delle firme; Gli obblighi cui sono tenuti i certificatori sia con riferimento alla loro organizzazione, sia in relazione alla sospensione e/o revoca dei certificati; Le regole di validazione temporale e per la protezione dei documenti informatici.

E. Bovo INFN33 D. P.C. M Regole tecniche per la formazione, trasmissione, conservazione, duplicazione, riproduzione e validazione, anche temporale, dei documenti informatici Con riferimento alle Pubbliche amministrazioni afferma che queste possono utilizzare come sistemi di validazione temporale: Il riferimento contenuto nella segnatura di protocollo; Il riferimento ottenuto attraverso la conservazione dei documenti in conformità alle norme vigenti; Il riferimento ottenuto attraverso l’utilizzo della posta certificata.

E. Bovo INFN34 In tema di posta certificata … La Bozza di Regolamento prevede Mittente Destinatario Gestore Del servizio Provvede alla trasmissione del messaggio Offre i dati di certificazione della posta (compreso il rif. Temporale) Offre ricevuta: - di accettazione - di avvenuta consegna - di presa in carico - di errore di consegna Conserva traccia delle operazioni di trasmissione

E. Bovo INFN35 Sempre in tema di posta Direttiva Presidenza del Consiglio dei Ministri 27 novembre 2003 (in G.U ) “Impiego della posta elettronica nelle pubbliche amministrazioni” “Le singole amministrazioni, nell’ambito delle rispettive competenze, ferma restando l’osservanza delle norme in materia di riservatezza e delle norme tecniche di sicurezza informatica, si adopereranno per estendere l’utilizzo la posta elettronica …”

E. Bovo INFN36 Sempre in tema di posta Direttiva Presidenza del Consiglio dei Ministri 27 novembre 2003 (in G.U ) “Impiego della posta elettronica nelle pubbliche amministrazioni” Posta elettronica utilizzabile per la trasmissione di alcune tipologie di comunicazioni interne; Per trasmettere in allegato documenti amministrativi ove sia sufficiente conoscere il mittente e la data di invio; Per la trasmissione di documenti informatici, sottoscritti con firme elettroniche; Per inviare copie immagine; Quanto alla certezza della ricezione, il mittente può richiedere al destinatario un messaggio di risposta che confermi l’avvenuta ricezione.

E. Bovo INFN37 In tema di sottoscrizione con firma elettronica 1/1 D.P.R. n. 445/2000 prevede “Norme particolari per le pubbliche amministrazioni e per altri soggetti qualificati” (art. 29-quinquies) Ai fini della sottoscrizione di documenti informatici distingue tra: Documenti informatici di rilevanza esterna e Documenti informatici di rilevanza interna

E. Bovo INFN38 In tema di sottoscrizione con firma elettronica 1/2 Per i Documenti informatici aventi rilevanza esterna le pubbliche amministrazioni: Possono svolgere direttamente attività di rilascio dei certificati qualificati o Possono rivolgersi a certificatori accreditati

E. Bovo INFN39 In tema di sottoscrizione con firma elettronica 1/3 Per i Documenti informatici aventi rilevanza esclusivamente interna Ciascuna amministrazione può adottare nella propria autonomia organizzativa, regole diverse da quelle contenute nelle regole tecniche di cui all’art. 8 comma 2. (cioè DPCM )