E. Bovo INFN1 Documento informatico e comunicazioni elettroniche. Tutela dei dati ed efficacia delle comunicazioni. Castiadas (CA) Eleonora Bovo Servizio Affari Legali e Contenzioso INFN
E. Bovo INFN2 Temi di indagine: Misure di sicurezza nel trattamento dei dati personali Spamming e posta elettronica Firme elettroniche
E. Bovo INFN3 Misure di sicurezza nel trattamento dei dati personali Decreto Legislativo 30 giugno 2003 n. 196 Codice in materia di protezione dei dati personali
E. Bovo INFN4 D.Lgs. n.196/03 - Codice privacy Tre canoni fondamentali: Confidenzialità / Riservatezza Integrità Disponibilità dei dati personali:
E. Bovo INFN5 D.Lgs. n.196/03 - Codice privacy Da un punto di vista sistematico: Confidenzialità Impernia l’intero Decreto Integrità Disponibilità Trovano disciplina danegli artt. da 33 a 36 e nell’Allegato B) del Codice
E. Bovo INFN6 Confidenzialità: Principio di necessità del trattamento (art.3): Obbligo di configurare i programmi informatici ed i sistemi informativi in modo da: Ridurre al minimo l’utilizzazione dei dati personali identificativi; Escludere il trattamento di dati personali quando le finalità perseguite possono essere raggiunte con modalità che permettano di identificare l’interessato solo in caso di necessità.
E. Bovo INFN7 Confidenzialità: ( Alcune norme da ribadire) Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento di funzioni istituzionali (art.18) La comunicazione di dati da soggetto pubblico a soggetto pubblico è ammessa solo quando prevista da norma di legge o di regolamento o a seguito di autorizzazione del Garante; La comunicazione di dati da soggetto pubblico a soggetto privato e la diffusione sono ammesse unicamente quando previste da norma di legge o di regolamento (art.19).
E. Bovo INFN8 Integrità e disponibilità: Sicurezza dei dati e dei sistemi Obblighi di sicurezza CUSTODIA CONTROLLO In relazione a: PROGRESSO TECNICO NATURA DEI DATI CARATTERISTICHE DEL TRATTAMENTO
E. Bovo INFN9 Misure di sicurezza IDONEE PREVENTIVE Al fine di ridurre i rischi di: DISTRUZIONE PERDITA (anche accidentale) ACCESSO NON AUTORIZZATO (o non consentito, o non conforme alle finalità della raccolta)
E. Bovo INFN10 Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici Trattamento consentito solo se sono adottate le seguenti misure minime (art.34): A) autenticazione informatica; B) adozione di procedure di gestione delle credenziali di autenticazione; C) utilizzazione di un sistema di autorizzazione D) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito agli incaricati ed agli addetti alla gestione o alla manutenzione degli strumenti elettronici; E) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti ed a determinati programmi informatici; F) adozione di procedure per l’adozione di copie di sicurrezza, il ripristino della disponibilità dei dati e dei sistemi; G) Tenuta del Documento Programmatico sulla Sicurezza; H) Tecniche di cifratura per trattamenti di dati idonei effettuati da organismi sanitari.
E. Bovo INFN11 Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici A) autenticazione informatica; B) adozione di procedure di gestione delle credenziali di autenticazione; Necessità di credenziali di autenticazione (codice identificativo +password, oppure caratteristica biometrica + codice identif. o password) Password di almeno 8 caratteri da modificare ogni 6 mesi (ogni 3 per il trattamento dei dati sensibili) Codice identificativo se utilizzato, non può essere assegnato ad altri neppure in tempi diversi. Credenziali di autenticazione disattivate se non utilizzate da almeno 6 mesi, salvo quelle autorizzate per scopi di gestione tecnica.
E. Bovo INFN12 Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici C) utilizzazione di un sistema di autorizzazione; D) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito agli incaricati ed agli addetti alla gestione o alla manutenzione degli strumenti elettronici. Necessità di utilizzare sistemi di autorizzazione ove vi siano diversi profili di autorizzazione al trattamento dati; I profili di autorizzazione devono limitare l’accesso ai soli dati necessari per effettuare il trattamento; Necessità di verifica periodica della sussistenza delle condizioni per l’autorizzazione.
E. Bovo INFN13 Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici E) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti ed a determinati programmi informatici Necessità di protezione dei dati contro il rischio di intrusione o dall’azione di programmi diretti al danneggiamento dei sistemi (virus), mediante attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale Gli aggiornamenti dei programmi diretti a prevenire la vulnerabilità degli strumenti ed a correggerne i difetti devono essere effettuati almeno annualmente. Per il trattamento di dati sensibili e giudiziari almeno semestralmente.
E. Bovo INFN14 Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici F) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi Salvataggio dei dati con frequenza almeno settimanale; Istruzioni per la custodia e l’uso dei supporti rimovibili in modo da evitare accessi non autorizzati (in particolare per i dati sensibili e giudiziari); Distruzione dei supporti non utilizzati che contengano dati sensibili; Ripristino dei dati in caso di danneggiamento in tempi non superiori a sette giorni (per i dati sensibili e giudiziari).
E. Bovo INFN15 Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici G) Tenuta del Documento Programmatico sulla Sicurezza Data prevista dal Codice per la predisposizione del DPS: 31 marzo Provvedimento del Garante ha consentito per quest’anno (data la recente entrata in vigore del D.Lgs n.196/03), la predisposizione del DPS entro il 30 giugno Circolari INFN per la predisposizione del DPS In data , prot (con allegato template del DPS); In data , prot :
E. Bovo INFN16 Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici Nel caso in cui per l’adozione delle misure di sicurezza ci si avvalga di soggetti esterni è necessario chiedere ed ottenere dall’installatore la descrizione dell’intervento effettuato con attestazione della conformità alle disposizioni di cui all’Allegato B) del D. Lgs. n. 196/03.
E. Bovo INFN17 Oltre all’individuazione di misure di sicurezza il Codice Privacy... … si occupa anche di comunicazioni elettroniche (artt ) ed in particolare di comunicazioni indesiderate (Art. 130)
E. Bovo INFN18 Art. 130 del Codice Privacy Le comunicazioni elettroniche effettuate per l’invio di materiale pubblicitario, vendita diretta, compimento di ricerche di mercato o comunicazione commerciale sono consentite con il consenso dell’interessato (metodo dell’OPT IN). (Comma 1)
E. Bovo INFN19 Art. 130 del Codice Privacy E’ ammesso invece da parte di venditori di prodotti o servizi, l’uso di coordinate di posta elettronica fornite dall’interessato nell’acquisto di un bene o servizio, se diretto ad offrire prodotti o servizi analoghi a quelli della precedente vendita e purché l’interessato, adeguatamente informato non rifiuti tale uso (metodo dell’OPT OUT). (Comma 2)
E. Bovo INFN20 Art. 130 del Codice Privacy E’ vietato in ogni caso l’invio di comunicazioni per finalità pubblicitarie effettuato camuffando o celando l’identità del mittente o senza fornire recapito presso il quale sia possibile esercitare i propri diritti (comma 5). In caso di violazione reiterata è dato reclamo al Garante che può adottare misure per rendere il trattamento conforme a legge.
E. Bovo INFN21 Limite della norma: La vigenza nel solo ambito territoriale italiano. Limite riconosciuto dallo stesso Garante per la Protezione dei dati personali in un provvedimento del : “Spamming - Regole per un corretto invio delle pubblicitarie”
E. Bovo INFN22 Afferma il Garante: Ai messaggi provenienti dall’estero non è applicabile la legge italiana; “In alcuni casi cioè quelli degli stati federali, l’invio di messaggi pubblicitari di posta elettronica può essere illecito in base alla legge di alcuni stati, per cui è parimenti possibile, per gli utenti, chiedere alle competenti autorità pubbliche degli stati di valutare la perseguibilità degli illeciti” (Art.8 del Provvedimento).
E. Bovo INFN23 … ma afferma anche Che alcune indesiderate possono essere strumento per commettere reati comuni (per esempio truffa) che devono considerarsi commessi nel territorio italiano quando, sebbene l’azione sia avvenuta all’estero, l’evento reato che ne deriva si è verificato in Italia. (Art. 8) (Principio affermato anche dalla giurisprudenza).
E. Bovo INFN24 … e ribadisce che “… la circostanza che gli indirizzi di posta elettronica possano essere reperiti con una certa facilità in internet non comporta il diritto di utilizzarli liberamente per inviare messaggi pubblicitari” (art. 2) (ciò è affermato, tra l’altro, anche con riferimento agli indirizzi di posta elettronica pubblicati su siti web di soggetti pubblici per fini istituzionali).
E. Bovo INFN25 Con riferimento alla posta elettronica… … sotto il profilo normativo, lavori in corso
E. Bovo INFN26 Al momento disponiamo di: Un provvedimento avente forza di legge (D.P.R. n. 445/2000) Una direttiva Presidenza Consiglio dei Ministri (Dip. Innov. e Tecnol. Del ) Una bozza di Regolamento (non ancora emanato e che non ha quindi, efficacia normativa) in tema di posta elettronica certificata.
E. Bovo INFN27 Il D.P.R. n. 445/2000 Documento informatico: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti. (art.1, lett.b) Il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del presente testo unico. (art.8)
E. Bovo INFN28 Il D.P.R. n. 445/ art Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta. Sul piano probatorio è liberamente valutabile, in relazione alle sue caratteristiche oggettive di qualità e sicurezza. Quando è sottoscritto con firma digitale, o con altra firma elettronica avanzata e la firma è basata su di un certificato qualificato e generata con un dispositivo per la firma sicura, fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto.
E. Bovo INFN29 Il D.P.R. n. 445/ art Il documento informatico trasmesso per via telematica si intende inviato e pervenuto al destinatario, se trasmesso all’indirizzo elettronico da questi dichiarato. La data e l’ora di formazione, trasmissione o ricezione di un documento, redatto in conformità a specifiche regole tecniche sono opponibili ai terzi. La trasmissione del documento informatico per via telematica, con modalità che assicurino l’avvenuta consegna, equivale alla notificazione per mezzo della posta nei casi consentiti dalla legge.
E. Bovo INFN30 Per avere efficacia un documento trasmesso per via telematica Deve essere predisposto secondo specifiche regole tecniche (recentemente individuate con DPCM 13 gennaio 2004, pubblicato nella Gazzetta Ufficiale n.98 del ) e Deve essere trasmesso con modalità che assicurino l’avvenuta consegna (modalità non ancora ufficialmente individuate con un provvedimento normativo, ma per le quali è stata predisposta una bozza di Regolamento)
E. Bovo INFN31 Piccolo inciso … “Gli addetti alle operazioni di trasmissione per via telematica di atti dati e documenti formati con strumenti informatici, non possono prendere cognizione della corrispondenza telematica, duplicare con qualsiasi mezzo o cedere a terzi aqualsiasi titolo informazioni anche in forma sintetica o per estratto sull’esistenza o sul contenuto di corrispondenza, comunicazioni, trasmessi per via telematica, salvo che si tratti di informazioni per loro natura o per espressa indicazione del mittente destinate ad essere rese pubbliche” (art. 17 D.P.R. n: 445/2000)
E. Bovo INFN32 D. P.C. M Regole tecniche per la formazione, trasmissione, conservazione, duplicazione, riproduzione e validazione, anche temporale, dei documenti informatici E’ diretto a certificatori qualificati e certificatori accreditati; Individua: Le norme per la generazione, apposizione e verifica della firma digitale; le caratteristiche delle chiavi per la creazione e verifica della firma; Le modalità di generazione e conservazione delle chiavi e di verifica delle firme; Gli obblighi cui sono tenuti i certificatori sia con riferimento alla loro organizzazione, sia in relazione alla sospensione e/o revoca dei certificati; Le regole di validazione temporale e per la protezione dei documenti informatici.
E. Bovo INFN33 D. P.C. M Regole tecniche per la formazione, trasmissione, conservazione, duplicazione, riproduzione e validazione, anche temporale, dei documenti informatici Con riferimento alle Pubbliche amministrazioni afferma che queste possono utilizzare come sistemi di validazione temporale: Il riferimento contenuto nella segnatura di protocollo; Il riferimento ottenuto attraverso la conservazione dei documenti in conformità alle norme vigenti; Il riferimento ottenuto attraverso l’utilizzo della posta certificata.
E. Bovo INFN34 In tema di posta certificata … La Bozza di Regolamento prevede Mittente Destinatario Gestore Del servizio Provvede alla trasmissione del messaggio Offre i dati di certificazione della posta (compreso il rif. Temporale) Offre ricevuta: - di accettazione - di avvenuta consegna - di presa in carico - di errore di consegna Conserva traccia delle operazioni di trasmissione
E. Bovo INFN35 Sempre in tema di posta Direttiva Presidenza del Consiglio dei Ministri 27 novembre 2003 (in G.U ) “Impiego della posta elettronica nelle pubbliche amministrazioni” “Le singole amministrazioni, nell’ambito delle rispettive competenze, ferma restando l’osservanza delle norme in materia di riservatezza e delle norme tecniche di sicurezza informatica, si adopereranno per estendere l’utilizzo la posta elettronica …”
E. Bovo INFN36 Sempre in tema di posta Direttiva Presidenza del Consiglio dei Ministri 27 novembre 2003 (in G.U ) “Impiego della posta elettronica nelle pubbliche amministrazioni” Posta elettronica utilizzabile per la trasmissione di alcune tipologie di comunicazioni interne; Per trasmettere in allegato documenti amministrativi ove sia sufficiente conoscere il mittente e la data di invio; Per la trasmissione di documenti informatici, sottoscritti con firme elettroniche; Per inviare copie immagine; Quanto alla certezza della ricezione, il mittente può richiedere al destinatario un messaggio di risposta che confermi l’avvenuta ricezione.
E. Bovo INFN37 In tema di sottoscrizione con firma elettronica 1/1 D.P.R. n. 445/2000 prevede “Norme particolari per le pubbliche amministrazioni e per altri soggetti qualificati” (art. 29-quinquies) Ai fini della sottoscrizione di documenti informatici distingue tra: Documenti informatici di rilevanza esterna e Documenti informatici di rilevanza interna
E. Bovo INFN38 In tema di sottoscrizione con firma elettronica 1/2 Per i Documenti informatici aventi rilevanza esterna le pubbliche amministrazioni: Possono svolgere direttamente attività di rilascio dei certificati qualificati o Possono rivolgersi a certificatori accreditati
E. Bovo INFN39 In tema di sottoscrizione con firma elettronica 1/3 Per i Documenti informatici aventi rilevanza esclusivamente interna Ciascuna amministrazione può adottare nella propria autonomia organizzativa, regole diverse da quelle contenute nelle regole tecniche di cui all’art. 8 comma 2. (cioè DPCM )