SICUREZZA DEI DATI E DELLE INFORMAZIONI ABC SICUREZZA DEI DATI E DELLE INFORMAZIONI Studio Legale Savino
LA SICUREZZA Studio Legale Savino
LA SICUREZZA (Introduzione) Il termine “ sicurezza”, non si riferisce solo a quella fisica (security o safety). Tale concetto va integrato in una visione più moderna, attenta ai temi della sicurezza informatica, dei dati e delle informazioni. Studio Legale Savino
Il concetto di sicurezza SECURITY SAFETY SICUREZZA LOGICA ED INFORMATICA SICUREZZA DEI DATI E DELLE INFORMAZIONI Studio Legale Savino
LA SICUREZZA FISICA: “SECURITY” Con il termine “security”, deve intendersi, quel ramo della sicurezza che ha come base di partenza (soprattutto) la sicurezza fisica degli individui e che si estrinseca attraverso la protezione “fisica” di persone o beni” (è quella svolta da polizia, guardie giurate, etc.) Studio Legale Savino
LA SICUREZZA FISICA: “SAFETY” Con il termine inglese “safety”, si indica quel ramo della sicurezza attenta a porre in essere una serie di misure di protezione su individui (beni o servizi). Rappresenta l’applicazione di norme di leggi statali o aziendali che mirano attraverso, piani e procedure applicative, alla protezione dei lavoratori. Studio Legale Savino
LA SICUREZZA LOGICA ED INFORMATICA Negli ultimi 15 anni si è formato il diritto della sicurezza informatica e telematica. Più di 30, tra leggi, decreti, normative, riguardano, direttamente o indirettamente, la sicurezza informatica. Il diritto della sicurezza informatica, è quella parte del diritto che ha ad oggetto i reati commessi attraverso il computer o sul computer. Studio Legale Savino
Tutto ciò solleva nuove problematiche di sicurezza. L’impiego diffuso di Internet e delle nuove tecnologie, ha fatto scomparire i sistemi isolati e modesti situati all’interno di reti informatiche prevalentemente chiuse. Oggi l’interconnessione è sempre più accentuata e le connessioni travalicano i confini nazionali. A seguito della crescente interconnettività, i sistemi informativi e le reti sono esposti attualmente a minacce e rischi sempre più numerosi e di più varia tipologia. Tutto ciò solleva nuove problematiche di sicurezza. Studio Legale Savino
I VIRUS VIRUS, INTERNET WORM E CODICI PERICOLOSI IN RETE si diffondono ed entrano in azienda a causa dei mancati aggiornamenti degli antivirus e delle patch che risolvono le vulnerabilità individuate e rese note Studio Legale Savino
I RISCHI... Sistemi informativi e reti informatiche sono sempre accompagnati da nuovi e crescenti rischi. I dati e le informazioni conservati e trasmessi attraverso i sistemi informativi e le reti, sono continuamente esposti a rischi legati a varie modalità di accesso e utilizzazione indebiti, alla loro sottrazione o alterazione, alla trasmissione impropria di codici, ad attacchi o alla loro distruzione, e necessitano di opportune garanzie. Studio Legale Savino
Il caso "Botmaster" (10 novembre 2007 da La Repubblica) LOS ANGELES - Rischia di pagare una multa di quasi due milioni di dollari e di essere condannato fino a 60 anni di carcere: John Schiefer, un hacker di 26 anni, ha confessato di aver infettato 250 mila computer. E di aver carpito le identità di migliaia di persone intercettando le loro comunicazioni in internet e entrando nei loro conti bancari. Il giovane pirata informatico ha ammesso di aver commesso i reati ed ha anche detto di aver frodato la compagnia olandese di pubblicità online Simpel Internet per un ammontare pari a 19 mila dollari. L'azienda lo aveva arruolato come consulente. Schiefer aveva installato il suo software di intercettazione sui 150 mila computer della società , mentre altri 100 mila pc sarebbero stati raggiunti dal programma attraverso suo collaboratori che avevano installato codici spia. Con un software e con i codici spia installati sui computer, Schiefer è riuscito a superare gli sbarramenti di username e password ed a penetrare nelle comunicazioni bancarie di molte persone. Studio Legale Savino
Situazione attuale Spesso si crede che sia sufficiente installare un antivirus e generare una password per salvaguardare l’integrità dei dati e risolvere quindi tutti i problemi sulla sicurezza. E’ necessario invece che ci sia una consapevolezza maggiore dei problemi inerenti la Sicurezza Informatica, ovvero delle soluzioni di sicurezza idonee che rappresentino una garanzia adeguata di privacy secondo la normativa vigente. Studio Legale Savino
Applicazioni L’ambito soggettivo della disciplina riguarda non solo coloro che effettuano trattamento dei dati nell’ambito di attività pubbliche e/o private di tipo istituzionale, commerciale e/o di altro genere, ma anche i privati cittadini nello svolgimento della loro normale vita sociale Studio Legale Savino
La Gaffe del fisco in Gran Bretagna: due CD inviati per corriere non sono mai arrivati. Spariti nella posta i dati di 25 milioni di cittadini inglesi (da La Stampa 21.11.2007) In Gran Bretagna sono spariti nella posta i dati di 25 milioni di cittadini inglesi. I dati erano contenuti su supporti informatici che sono stati spediti non attraverso i classici protocolli di sicurezza del caso, ma utilizzando il comune corriere Tnt. Il problema è che il plico non è mai arrivato a destinazione. Secondo la Bbc i dati spariti riguardano nomi, indirizzi, date di nascita codici del sistema dei sussidi all’infanzia, codici fiscali e anche estremi bancari di tutti i cittadini che ricevono sussidi per i bambini: 25 milioni di individui e più di 7 milioni di famiglie. Le dimissioni del capo dell'agenzia Sir Paul Gray, non hanno impedito una clamorosa crisi per il governo di Gordon Brown. L'Indipendent ha titolato: il disastro dei dati. Studio Legale Savino
Call center, arrivano le sanzioni per servizi non richiesti e telefonate indesiderate Sessanta sanzioni applicate e oltre 260 mila euro già versati sono solo i primi risultati dei recenti interventi del Garante sull'operato dei call center a tutela degli utenti telefonici. Le sanzioni comminate a gestori di telefonia fissa e mobile per illeciti trattamenti di dati personali riguardano prevalentemente attivazione di servizi non richiesti e, in misura minore, telefonate pubblicitarie indesiderate. 05/11/2007 FONTE: Garante della privacy Studio Legale Savino
Garante Privacy, nuovo stop allo spamming Due società e un sito Internet inviavano e-mail e fax pubblicitari senza consenso degli utenti. Il Garante della Privacy ribadisce il divieto di trattare i dati personali: "Sono i destinatari che devono dare l'ok". 30/08/2007FONTE: GARANTE PRIVACY Studio Legale Savino
Garante della Privacy: Vietate telecamere negli spogliatoi "È vietato utilizzare sistemi di videosorveglianza che riprendano persone negli spogliatoi". Lo ha ribadito il Garante della privacy, con un provvedimento adottato a seguito di una segnalazione da parte dei Carabinieri relativa ad alcune telecamere installate in una piscina che riprendevano indebitamente clienti e ospiti. 04/05/2007 FONTE: TUTTOCONSUMATORI Studio Legale Savino
Il Garante della Privacy richiama un istituto di credito È vietato l'accesso ai dati personali dei clienti conservati nella Centrale rischi della Banca d'Italia se non giustificato da legittime esigenze. Il principio è stato ribadito dal Garante della Privacy che ha dichiarato illecito il comportamento di un dirigente di banca che, per scopi personali, aveva fatto controllare la posizione debitoria del cognato. 03/05/2007 FONTE: GARANTE PRIVACY Studio Legale Savino
Sanità, no alla pubblicazione dei dati sanitari in Internet Il Garante ha vietato alla regione Puglia la diffusione dei dati sullo stato di salute di circa 4500 disabili, reperibili sul sito della regione. In attuazione del provvedimento la regione ha disposto la rimozione della pagina. 02/03/2007FONTE: GARANTE PRIVACY Studio Legale Savino
Nelle cure mediche pretendete la privacy (Garante della Privacy) Il Garante fissa le regole di riservatezza in ospedali e ambulatori. “La privacy non è solo un adempimento burocratico che si risolve con una firma apposta su un foglio. Le violazioni delle regole sulla privacy sono un comportamento illecito che può comportare responsabilità civili e penali”. Garantire al cittadino che va in una struttura sanitaria per curarsi "la più assoluta riservatezza" e il "più ampio rispetto dei diritti fondamentali e della dignità". Studio Legale Savino
LA SICUREZZA DEI DATI E DELLE INFORMAZIONI Da diversi anni, anche a livello parlamentare e governativo, ci si è accorti della necessità di promuovere una legislazione attenta a tutelare non solo il bene vita, e quindi la sicurezza fisica, ma anche il dato personale, degno anch’esso, di idonea tutela giuridica. E’ nata così la legge sulla privacy e sulla tutela delle informazioni, i quali costituiscono entrambi beni di rilevanza giuridica. Studio Legale Savino
Pertanto, (in azienda) le norme che disciplinano l’accesso ai dati, dovrebbero considerare la moderna accezione del riconoscimento dei ruoli di responsabile e di incaricato al trattamento dei dati personali e delle relative autorizzazioni al trattamento stesso. Studio Legale Savino
Ambito di applicazione La normativa si applica a qualsiasi operazione di trattamento di dati personali riferibile direttamente o indirettamente ad un soggetto (persona fisica o giuridica). Studio Legale Savino
I princìpi dell’Unione Europea Direttiva 96/45/CE: tutela del diritto fondamentale alla privacy; Protezione dei consumatori e dei contraenti deboli; Trasparenza (soprattutto nei rapporti contrattuali); Sicurezza dei dati personali (studi a livello di Unione Europea e linee guida); Difesa dei diritti dell’interessato tramite un Garante (anche per evitare la tradizionale “strada” giudiziale). Studio Legale Savino
Le fonti della tutela giuridica dei dati personali Consiglio d’Europa - Convenzione di Strasburgo n. 108 del 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale; Legge n. 98 del 21 febbraio 1989 (ratifica italiana); Raccomandazioni del Consiglio d’Europa dal 1981 a oggi; Direttiva 46/95/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati; Carta dei diritti fondamentali dell'Unione Europea del 18 dicembre 2000; Studio Legale Savino
Altre direttive correlate Direttiva 97/66/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni; Direttiva 2000/31/CE sul commercio elettronico; Studio Legale Savino
La Carta dei diritti fondamentali dell’Unione Europea Articolo 8 - Protezione dei dati di carattere personale 1. “Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.” Studio Legale Savino
La Carta dei diritti fondamentali dell’Unione Europea 2. “Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.” 3. “Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente Studio Legale Savino
LA LEGGE SULLA PRIVACY (Origini) The right to be alone: il concetto di privacy nella cultura anglosassone. Il diritto alla protezione dei dati personali: Così come i tradizionali diritti della personalità (nome, immagine, riservatezza), anche il diritto alla protezione dei dati personali viene ad essere tutelato direttamente dalla legge. Studio Legale Savino
IL TESTO UNICO (CODICE) SULLA PRIVACY (D.Lgs. 196/2003) Studio Legale Savino
Riordino di una normativa cresciuta in maniera non coordinata Perché un Codice? Riordino di una normativa cresciuta in maniera non coordinata Primo bilancio, e nuovo inizio, dopo sette anni di esperienza Adeguamento costante alle nuove tecnologie Raggruppa norme esistenti, modifica e introduce norme nuove Studio Legale Savino
LA STRUTTURA DEL CODICE (T.U.) I principi fondamentali Studio Legale Savino
Struttura del codice Parte I “Disposizioni Generali”: si individuano le regole sostanziali che si applicano a tutti i trattamenti di dati personali, salvo quanto previsto dalle disposizioni della Parte II; Parte II: “Disposizioni relative a specifici Settori” si individuano le regole applicabili a specifici settori (sanitario, istruzione, lavoro, bancario, comunicazioni elettroniche, etc.); Parte III: “Tutela dell’interessato e sanzioni”. Studio Legale Savino
Il “diritto” alla protezione dei dati personali Il Codice definisce il diritto alla protezione dei dati personali come un vero e proprio diritto della persona: l’art. 1, infatti, prevede espressamente che: “Chiunque ha diritto alla protezione dei dati personali”. Così come i tradizionali diritti della personalità (nome, immagine, riservatezza), anche il diritto alla protezione dei dati personali viene ad essere tutelato direttamente dalla legge. Il principio riproduce quasi fedelmente l’art. 8 della Carta dei diritti fondamentali dell’Unione Europea stipulata a Nizza il 7 dicembre 2000 “Chiunque ha diritto alla protezione dei dati personali che lo riguardano.” Studio Legale Savino
Il principio di necessità Il D.Lgs 196/2003, ha introdotto il “Principio di necessità” in base al quale, i titolari, dovranno ricorrere a trattamenti di dati personali solo quando tale ricorso appare necessario al raggiungimento delle finalità. Ricorso a dati anonimi (identificazione dell’interessato solo in caso di necessità.) Il Principio di necessità rappresenta un potenziamento dei principi di pertinenza e non eccedenza dei dati rispetto alle finalità del trattamento individuati già con la legge 675/96. Studio Legale Savino
FINALITA’ DELL’INTERVENTO NORMATIVO (art.2 c.1) Principi generali FINALITA’ DELL’INTERVENTO NORMATIVO (art.2 c.1) - GARANTIRE che il trattamento si svolga nel rispetto di: diritti e libertà fondamentali dignità dell’interessato diritto alla riservatezza diritto alla protezione dei dati personali dell’interessato - SEMPLIFICARE l’esercizio dei diritti (dell’interessato) e l’adempimento degli obblighi (dei titolari del trattamento) Studio Legale Savino
Pausa caffé Studio Legale Savino
DEFINIZIONI Studio Legale Savino
Dato Personale Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Studio Legale Savino
Dati sensibili Vengono definiti sensibili quei dati personali idonei a rivelare: - L’origine razziale od etnica; - Le convinzioni religiose, filosofiche o di altro genere; - Le opinioni politiche; - L’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico,politico o sindacale; - Lo stato di salute; - La vita sessuale. Studio Legale Savino
Dati giudiziari I dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313 in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. Studio Legale Savino
Trattamento Qualunque operazione o complesso di operazioni, svolte con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati. Studio Legale Savino
Diffusione Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Studio Legale Savino
Comunicazione ll dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Studio Legale Savino
Titolare La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza Studio Legale Savino
Responsabile La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali. Studio Legale Savino
Incaricati Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile Studio Legale Savino
Interessato La persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali. Studio Legale Savino
La tutela dell’interessato Studio Legale Savino
Diritti dell’interessato: Il Diritto di accesso Diritto di sapere se esistono o meno dati che lo riguardano ed ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati Studio Legale Savino
Tutela dell’interessato: Il Diritto di intervento sui propri dati L'interessato ha diritto di ottenere: a)l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. Studio Legale Savino
Tutela dell’interessato: Il Diritto di opporsi L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale. Studio Legale Savino
Forme di tutela Tutela Amministrativa:Garante Tutela giurisdizionale: Giudice Ordinario Per il risarcimento dei danni l’unica forma di tutela ammessa è quella davanti al Giudice Ordinario Studio Legale Savino
Tutela amministrativa: Il Reclamo al Garante. Il reclamo deve contiene: indicazione dei fatti e delle circostanze; indicazione delle disposizioni che si presumono violate; indicazione delle misure richieste; estremi identificativi del titolare, del responsabile e dell'istante. Il reclamo è sottoscritto dagli interessati, o da associazioni ed è presentato al Garante senza particolari formalità. Il reclamo reca in allegato la documentazione utile ai fini della sua valutazione e l'eventuale procura, e indica un recapito per l'invio di comunicazioni anche tramite posta elettronica, telefax o telefono. Studio Legale Savino
Tutela amministrativa: Segnalazioni se non è possibile presentare un reclamo circostanziato, al fine di sollecitare un controllo da parte del Garante sul rispetto della disciplina dei dati personali, si può anche segnalare determinate irregolarità. Studio Legale Savino
Tutela alternativa a quella giurisdizionale: Il Ricorso il ricorso deve essere preceduto da un interpello al titolare del trattamento, che può aderire alle richieste dell’interessato. - Avverso la decisione del Garante è ammessa opposizione davanti al Tribunale competente. Studio Legale Savino
LE AUTORITY Autorità Amministrative Indipendenti Le c.d. Autorità indipendenti sono amministrazioni dell'Ordinamento giuridico che agiscono in modo indipendente rispetto al Parlamento e al Governo in settori in cui è di particolare rilevanza la figura di un soggetto imparziale rispetto agli interessi pubblici in gioco. I poteri essenzialmente attribuiti a queste autorità sono di regolazione, sorveglianza, controllo e sanzionatori nei confronti dei soggetti che agiscono in questi ambiti. Studio Legale Savino
Le Autorità indipendenti attualmente previste nel nostro ordinamento sono: la Banca d'Italia; l' Autorità Garante della Concorrenza e del Mercato; la Commissione Nazionale per le Società e la Borsa (CONSOB); l' Autorità per le Garanzie nelle Telecomunicazioni; l' Istituto per la Vigilanza sulle Assicurazioni Private (ISVAP); il Garante per la Protezione dei Dati Personali; l' Autorità per l'Energia Elettrica ed il Gas. Studio Legale Savino
Il Garante per la Protezione dei Dati Personali Il Garante è un organo collegiale che rientra tra le autorità amministrative indipendenti ed ha poteri in primo luogo, di vigilanza, controllo e monitoraggio connessi al ruolo di vigilanza dell’attuazione delle leggi sulla privacy. Studio Legale Savino
IL GARANTE Il Garante per la protezione dei dati personali è un’autorità indipendente istituita dalla legge sulla privacy (legge 31 dicembre 1996 n. 675) per assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali. É un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di quattro anni rinnovabile. L’attuale collegio si è insediato il 18 aprile 2005. L’Ufficio del Garante, al quale sovrintende il Segretario generale, è articolato, oltre che in alcune unità temporanee, in dipartimenti e servizi Studio Legale Savino
REGOLE GENERALI Studio Legale Savino
OBBLIGO DI INFORMATIVA Gli interessati, hanno diritto ad essere preventivamente informati, per iscritto o anche oralmente (purché sia poi possibile darne prova), circa Studio Legale Savino
Le finalità e le modalità del trattamento. La natura obbligatoria o facoltativa del conferimento dei dati. Le conseguenze di un eventuale rifiuto a rispondere. I soggetti o le categorie di soggetti ai quali i dati possono essere comunicati. I diritti dell’interessato indicati all’art. 7 del D.Lgs.196/2003. Il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare e, se designato, del responsabile. Studio Legale Savino
De ve essere espresso liberamente. Il CONSENSO Il consenso deve essere fornito in riferimento ad un trattamento chiaramente individuato De ve essere espresso liberamente. Casi di esclusione del consenso: obblighi di legge, obblighi derivanti da un contratto, dati di dominio pubblico. Studio Legale Savino
Le misure di protezione Misure minime di protezione Misure idonee di protezione Studio Legale Savino
Sono 3 le componenti indispensabili a garantire la protezione dei dati INTEGRITA’ la salvaguardia della esattezza dei dati, la difesa da manomissioni e da modifiche non autorizzate, il monitoraggi automatici degli accessi, ecc.. RISERVATEZZA (CONFIDENZIALITA’) la protezione delle informazioni tramite l’accesso solo agli autorizzati, la protezione delle trasmissioni, il controllo accessi, ecc.. DISPONIBILITA’ la garanzia per gli utenti della fruibilità dei dati delle informazioni e dei servizi, evitando la perdita o riduzione dei dati o dei servizi Studio Legale Savino
Le Misure Minime di Sicurezza Tutti i titolari sono tenuti ad adottare le misure minime, individuate preventivamente dal Codice e secondo le modalità previste nel Disciplinare Tecnico, per assicurare un Livello minimo di protezione dei dati. Studio Legale Savino
Gli obblighi generali di sicurezza Custodia e controllo in modo da ridurre al minimo i rischi (art. 31 D. Lgs.196/2003) di: distruzione e perdita dei dati anche accidentale accesso non autorizzato trattamento non consentito trattamento non conforme alle finalità della raccolta Misure di sicurezza idonee Studio Legale Savino
Misure idonee di sicurezza Parametri di scelta delle misure idonee: progresso tecnologico natura dei dati trattati specifiche caratteristiche del trattamento Le misure di sicurezza idonee vengono identificate a seguito dell’attività di Analisi dei rischi Studio Legale Savino
Sono individuate rispettivamente per: Gli obblighi specifici di sicurezzaMisure minime di sicurezza (art. 33, 34, 35 e Allegato B al Codice) La loro adozione consente lo svolgimento delle attività di trattamento. Assicurano un livello minimo di protezione dei dati personali, sensibili e/o giudiziari. Sono obbligatorie, pena l’applicazione di sanzioni penali e amministrative. Si applicano a tutte le tipologie di trattamento siano esse svolte nel settore privato che in quello pubblico. Sono individuate rispettivamente per: Trattamenti svolti con strumenti elettronici (art. 34) Trattamento svolti senza l’ausilio di strumenti elettronici (art. 35) Studio Legale Savino
Trattamenti con strumenti elettronici utilizzo di un sistema di autenticazione informatica adozione di procedure di gestione delle credenziali di autenticazione ed utilizzo di un sistema di autorizzazione aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, ad accessi non autorizzati ed a determinati programmi informatici Studio Legale Savino
…Trattamenti con strumenti elettronici adozione di procedure per la custodia di copie di sicurezza, e per il ripristino della disponibilità dei dati e dei sistemi tenuta di un aggiornato Documento Programmatico sulla Sicurezza adozione di tecniche di cifratura o di codici identificativi per dati idonei a rivelare lo stato di salute o la vita sessuale trattati da organismi sanitari Studio Legale Savino
Inosservanza Sanzioni penali Le Misure di Sicurezza MINIME Un apposito Disciplinare Tecnico ad aggiornamento annuale stabilisce le misure minime che la società deve adottare in relazione al proprio trattamento. Tutti i titolari sono tenuti ad adottare le misure minime, individuate dal Codice e secondo le modalità previste nel Disciplinare Tecnico, per assicurare un Livello minimo di protezione dei dati. Inosservanza Sanzioni penali Studio Legale Savino
Mancata adozione delle misure minime Responsabilità Penale Misure di sicurezza (art. 169) Detenzione Multa Arresto sino a 3 anni Fino a € 60.000 Studio Legale Savino
RESPONSABILITA’ PENALI Sono previste pene detentive sino ad un massimo di tre anni di reclusione e la pena accessoria della pubblicazione della sentenza per falsa notifica o false informazioni al Garante; per trattamento illecito di dati personali (illecita comunicazione o diffusione dei dati; trattamento non consentito) omessa adozione di misure necessarie alla sicurezza dei dati. Studio Legale Savino
RESPONSABILITA’ CIVILE Chiunque cagiona ad altri un danno per effetto del trattamento di dati personali è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee ad evitare il danno ATTENZIONE! La legge ha parificato il trattamento di dati all’esercizio di attività pericolose ex art. 2050 c.c. Sostanzialmente, di fronte a danni riconducibili al trattamento dei dati, la società dovrà provare di avere fatto tutto quanto era possibile fare per evitare i danni. Studio Legale Savino
IDONEE: Le Misure di Sicurezza i dati personali devono essere custoditi e controllati in modo da ridurre al minimo, mediante l’adozione di idonee misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Inosservanza Sanzioni civili Studio Legale Savino
Mancata adozione delle misure idonee Responsabilità Civile Danni per effetto di trattamento (art. 15) Art. 2050 c.c. onere della prova a carico del Titolare del trattamento Danno patrimoniale Danno morale Danno non patrimoniale Studio Legale Savino
Ulteriori misure per il trattamento di dati : Istruzioni per l’utilizzo degli archivi cartacei Modalità di accesso agli archivi Modalità di gestione degli archivi Ubicazione degli archivi es. gli archivi contenenti dati personali devono essere ubicati in modo da non essere accessibili a persone non incaricate del trattamento es. gli archivi contenenti dati sensibili e/o giudiziari devono essere ubicati in locali ad accesso controllato Lavorazione della documentazione es. è opportuno evitare di lasciare le pratiche contenenti dati personali, sensibili e/o giudiziari sulla scrivania, tavoli di lavoro o comunque a portata di mano, se non per il tempo necessario all'effettivo utilizzo. Riutilizzo e smaltimento della carta es. tutti i documenti contenenti dati personali, sensibili e/o giudiziari non possono essere oggetto di procedure di riutilizzo della carta. Studio Legale Savino
Accesso alle risorse del sistema informatico Utilizzo della Password Ulteriori misure per il trattamento di dati : Istruzioni per l’utilizzo degli strumenti informatici Accesso alle risorse del sistema informatico Utilizzo della Password Utilizzo del Personal Computer Utilizzo dei servizi di Rete Posta elettronica Internet Intranet Studio Legale Savino
I REATI INFORMATICI Studio Legale Savino
Legge sui reati informatici L’intercettazione di e-mail (art.617 quater c.p.). La rivelazione del contenuto di documenti segreti (art.621 c.p.). Il danneggiamento di sistemi informatici e telematici (art.635 bis c.p.). La frode informatica (art.640 ter c.p.) ovvero l’alterazione dell’integrità dei dati allo scopo di procurarsi un ingiusto profitto. Studio Legale Savino
DIVIETO DI ANALOGIA IN MATERIA PENALE Art. 14 Disposizioni sulla legge in generale: “Le leggi penali e quelle che fanno eccezione a regole generali o ad altre leggi non si applicano oltre i casi e i tempi in esse considerati”. Art. 1 codice penale: “Nessuno può essere punito per un fatto che non sia espressamente preveduto come reato dalla legge, né con pene che non siano da essa stabilite”. Art. 25 co. 2° Costituzione: “Nessuno può essere punito se non in forza di una legge che sia entrata in vigore prima del fatto commesso” Studio Legale Savino
Il primo articolo della l.547/93 ha novellato l’art. 392 c.p. Art.392 c.p.:Esercizio arbitrario delle proprie ragioni con violenza sulle cose (art. 1 lg.n°.547/93) Il primo articolo della l.547/93 ha novellato l’art. 392 c.p. Il nuovo art. 392 c.p. recita così: “Chiunque, al fine di esercitare un preteso diritto, potendo ricorrere al giudice, si fa arbitrariamente ragione da sé medesimo, mediante violenza sulle cose, è punito a querela della persona, con la multa fino a euro 516. Agli effetti della legge penale, si ha violenza sulle cose allorché la cosa viene danneggiata o trasformata, o ne è mutata la destinazione. Si ha altresì violenza sulle cose allorché un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico”. Studio Legale Savino
art. 420 c. p. : Attentato ad impianti di pubblica utilità (art. 2 lg art. 420 c.p.: Attentato ad impianti di pubblica utilità (art. 2 lg. n°. 547/93) L’art.2 della l. 547/93 ha sostituito l’art. 420 c.p., nei seguenti termini: “Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilità, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da uno a quattro anni. La pena di cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti. Se dal fatto deriva la distruzione o il danneggiamento dell’impianto o del sistema, dei dati, delle informazioni o dei programmi ovvero l’interruzione anche parziale del funzionamento dell’impianto o del sistema la pena è della reclusione da tre a otto anni”. Studio Legale Savino
art. 491bis c.p.: Documenti informatici (art. 3 lg. n°. 547/93) Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli. Studio Legale Savino
IL “DOMICILIO INFORMATICO” art. 615ter c.p.: Accesso abusivo ad un sistema informatico o telematico (art. 4 lg. n°. 547/93) IL “DOMICILIO INFORMATICO” Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni (…) Studio Legale Savino
Punisce la produzione e la diffusione dei virus informatici. Art. 615quinquies: Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico (art. 4 lg. n°. 547/93) La norma punisce chi “diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in lui contenuti o ad esso pertinenti, ovvero l’interruzione totale o parziale, l’alterazione del suo funzionamento”; Punisce la produzione e la diffusione dei virus informatici. Studio Legale Savino
art. 640 ter c.p. (art. 10 lg. n°. 547/93): Frode informatica. “chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 516 a euro 1032. (…). Il legislatore, con questo intervento normativo, ha ridisegnato la figura tradizionale del reato di truffa, e in particolare il concetto di “induzione in errore di una persona mediante artifizi o raggiri”, elaborando una nuova fattispecie in cui il raggirato è il computer soggetto alla alterazione ad opera del reo. Studio Legale Savino
Studio Legale Savino
STUDIO LEGALE SAVINO VIA PIETRO BEMBO 86 00168 ROMA g.savino@email.it FINE PRESENTAZIONE STUDIO LEGALE SAVINO VIA PIETRO BEMBO 86 00168 ROMA g.savino@email.it Studio Legale Savino