La protezione dei dati personali nella gestione dei

flussi documentali, il vantaggio della sicurezza.

informatica e diritto

1895

2012

Diritto dell'informatica

Informatica Forense

...digital forensics & ... antiforensics

... identificazione, conservazione, dell’analisi e della documentazione dei reperti informatici al fine di presentare prove digitali valide in procedure civili e penali ...

...we will consider anti-forensics to be any attempts to compromise the availability or usefulness of evidence to the forensics process. ...

world digital

(a). - Informatizzazione della prestazione lavorativa e della protezione delle informazioni (CLASSIFIED - NDA);

(b). - Difficoltà di inquadramento normativo dei c. d. contratti dell'informatica (Cloud computing; SaaS; Pen Test; Security Management).

(c). - Rilevanza giuridica delle operazioni di configurazione, gestione e manutenzione dei sistemi (obbligazione di mezzi vs obbligazione di risultato?).

(d). - Normativa su data protection, segreto (militare, industriale, di stato, d'ufficio);

(e). - Impatto della tecnologia e della configurazione dei sistemi sui diritti dei lavoratori (art. 4 comma 2° legge 300 1970, Statuto dei lavoratori);

(f). Rilevanza sostanziale e processuale dei "documenti e degli eventi informatici";

... documenti ...

Art. 2214. Libri obbligatori e altre scritture contabili. L'imprenditore che esercita un'attività commerciale deve tenere il libro giornale e il libro degli inventari. Deve altresì tenere le altre scritture che siano richieste dalla natura e dalle dimensioni dell'impresa e conservare ordinatamente per ciascun affare gli originali delle lettere, dei telegrammi e delle fatture ricevute, nonché le copie delle lettere, dei telegrammi e delle fatture spedite.

… scritture …

Art. 2220 c.c. - Conservazione delle scritture contabili. Le scritture devono essere conservate per dieci anni dalla data dell'ultima registrazione. Per lo stesso periodo devono conservarsi le fatture, le lettere e i telegrammi ricevuti e le copie delle fatture, delle lettere e dei telegrammi spediti. Le scritture e documenti di cui al presente articolo possono essere conservati sotto forma di registrazioni su supporti di immagini, sempre che le registrazioni corrispondano ai documenti e possano in ogni momento essere rese leggibili con mezzi messi a disposizione dal soggetto che utilizza detti supporti.

... archiving properties ... Fax - Mail

C.A.D. - Art. 1 lett p)Documento informatico:

La rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti.

Fattura elettronica: Direttiva 2012/45/UEa partire da 1° gennaio 2013

... Fattura elettronica: Direttiva 2012/45/UE

Più precisamente, l'emittente deve assicurare l'attestazione della data, l'autenticità dell'origine, l'integrità del contenuto.

Secondo quanto previsto, in particolare, dall'art. 21, comma 3, quinto periodo, D.P.R. 26 ottobre 1972, n. 633 tali requisiti sono garantiti con l'apposizione “del riferimento temporale e della firma elettronica qualificata dell'emittente o mediante sistemi EDI di trasmissione elettronica (...)".

... Firma elettronica qualificata

Firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il firmatario può conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma". [Direttiva Europea 1999/93/CE].

Il Giudice

Art. 20 CAD - Documento informatico - 1-bis. L'idoneita' del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualita', sicurezza, integrita' ed immodificabilita', fermo restando quanto disposto dall'articolo 21.

... in giudizio

digital evidence: or electronic evidence is any probative information stored or transmitted in digital form that a party to a court case may use at trial.

… accertamenti …

Art. 244. c.p.p. - Ispezioni - L'autorità giudiziaria può disporre rilievi segnaletici, descrittivi e fotografici e ogni altra operazione tecnica, anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione.

Art. 247. c.p.p. - Perquisizioni. - 1-bis. Quando vi è fondato motivo di ritenere che dati, informazioni, programmi informatici o tracce comunque pertinenti al reato si trovino in un sistema informatico o telematico, ancorchè protetto da misure di sicurezza, ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione.

... digital - vision ....

spam

log file

identity theft

web 2.0

botnet

Url

https

SAM e-discovery

DEFT

e-mail

AES

sys - admin

hash

SSL

dump

key loggerheader

brute force

social engineering

event manager

virushidden volume

plausible deniability

vulnerability enumerate

ISOPEC

digital signature

... legal - vision ....

privacy

data protection

digital forensics

dir_lav

dir_proc_ (pen_civ)

copyright

computer crimes

segreto ind.

inform. riservate

e-commerce

concorrenza sleale

trade mark

SLA

ADS

e-discovery

Inf. classificate

Risk analysis

PCI DSS

HIPAA

... scultura informatica ...

… digit …

Art. 392. III° c.p. - Esercizio arbitrario delle proprie ragioni mediante violenza sulle cose - Si ha altresì, violenza sulle cose allorchè un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico.

ad esempio...

L'impresa alfa e il trasferimento di know how al consorzio Eurofighter

informazioni segrete

Art. 98 Cod. Propr. Ind.

le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali informazioni: (a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore; (b) abbiano valore economico in quanto segrete; (c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.

..... un pignoramento presso terzi

....... per effettuare questa procedura occorre conoscere presso quale banca il

debitore ha accesso un conto corrente..

… dati sensibili …

Art. 22 comma 6. - I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.

Ma è vero che hanno abolito la privacy ?

Il fatto che il legislatore abbia abolito l'obbligo formale, rilevante ai fini della “norma incriminatrice”, di cui all'art. 169, codice privacy, di redazione ed aggiornamento del DPS, espone il Titolare del trattamento, al rischio, in caso di “omissione delle relative valutazioni sostanziali”, di abbassare, oggettivamente, l' idoneità delle misure adottate, con riferimento all'art. 31 del codice, con effetti, irrimediabili, in punto esclusione da responsabilità civile e amministrativa, anche in considerazione delle valutazioni di segno contrario operate, dal legislatore comunitario nell'art. 30 della proposta di reg. di seguito indicata, e degli standard di sicurezza dei sistemi informativi, che costituiscono il c.d. stato dell'arte

… data protection policy …

Brussels, 25.1.2012COM(2012) 11 final

2012/0011 (COD)

Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati(regolamento generale sulla protezione dei dati)

dura lex… sed lex …

I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Previa valutazione dei rischi, il responsabile del trattamento e l’incaricato del trattamento prendono le misure di cui al paragrafo 1 per proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita accidentale e per impedire qualsiasi forma illegittima di trattamento, in particolare la comunicazione, la divulgazione o l’accesso non autorizzati o la modifica dei dati personali..

... access denied ...

Art. 615-ter. Accesso abusivo ad un sistema informatico o telematico - Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

... misure minime ...

il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31;

Cass. Sez. Un. Sent. 4694/12

Integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615-ter cod. pen., la condotta di accesso o di mantenimento nel sistema posta in essere dal soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultati dal complesso delle prescrizioni impartite dal titolare del sistema per delimitare oggettivamente l’accesso. Non hanno rilievo, invece, per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema.

… almeno il minimo …

il trattamento con strumenti elettronici è consentito solo se sono adottate, nei modi previsti le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

… user name ..

Art. 4. – Codice Privacy: autenticazione: l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità;

…. responsabilità civile..

Danni cagionati per effetto del trattamento

Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile..

Art. 15

…. responsabilità penale & C..

Art. 169

Misure di sicurezza

Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.

… attenzione ai dettagli …

- Linee guida del Garante per posta elettronica e internet - 10 marzo 2007.

- Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008.

.. e internet e la posta elettronica??

a) l'individuazione di categorie di siti considerati correlati o non correlati con la prestazione lavorativa;

b) la configurazione di sistemi o l'utilizzo di filtri che prevengano determinate operazioni;

c) il trattamento di dati in forma anonima o tale da precludere l'immediata identificazione degli utenti mediante opportune aggregazioni;

d) l'eventuale conservazione di dati per il tempo strettamente limitato al perseguimento di finalità organizzative, produttive e di sicurezza;

f) la graduazione dei controlli;

.. e poi ..

vieta ai datori, di effettuare trattamenti di dati personali mediante sistemi hardware e software che mirano al controllo a distanza di lavoratori, svolti in particolare mediante:

(a) la lettura e la registrazione sistematica dei messaggi di posta elettronica ovvero dei relativi dati esteriori, al di là di quanto tecnicamente necessario per svolgere il servizio e-mail;

(b) la riproduzione e l'eventuale memorizzazione sistematica delle pagine web visualizzate dal lavoratore;

(c) la lettura e la registrazione dei caratteri inseriti tramite la tastiera o analogo dispositivo;

(d) l'analisi occulta di computer portatili affidati in uso;

… principio di necessità...

i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità (art. 3).

si ma ... tanto c'è il sys-admin...

(a). - Valutazione delle caratteristiche soggettive;

(b). - Designazioni individuali;

(c). - Elenco degli amministratori di sistema;

(d). - Servizi in outsourcing;

(e). - Verifica delle attività;

(f). - Registrazione degli accessi.