1

Sistemi di sicurezza e protezione dei dati personali

Franco Cardin – Bergamo 4 giugno 2013

2

Digitalizzazione & protezione dei dati personali

da un’attenta lettura del CAD, si desume chiaramente che la conoscenza della disciplina in materia di protezione dei dati personali è una premessa fondamentale e imprescindibile per la corretta applicazione delle disposizioni legislative in esso contenute; 

nel CAD, infatti, ci sono 22 richiami alla normativa vigente in materia di protezione dei dati personali ed è previsto, per l’emanazione di 11 provvedimenti attuativi, il ricorso obbligatorio al parere del Garante per la privacy;

3

Art. 2, comma 5, del CAD “Finalità e ambito di applicazione

“Le disposizioni del presente codice si applicano nel rispetto della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, delle disposizioni del codice in materia di protezione dei dati personali approvato con decreto legislativo 30 giugno 2003, n. 196. I cittadini e le (imprese?) hanno, comunque, diritto di ottenere che il trattamento dei dati effettuato mediante l’uso di tecnologie telematiche sia conformato al rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato”

4

Requisiti per la conservazione dei documenti informatici (art. 44, comma 1, del CAD)

Il sistema di conservazione dei documenti informatici assicura: L’identificazione certa del soggetto che ha formato il documento e dell’amministrazione o dell’AOO di riferimento;L’integrità del documento;La leggibilità e l’agevole reperibilità dei documenti e delle informazioni identificative, inclusi i dati di registrazione e di classificazione originari;Il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del D.Lgs 196/03 e dall’allegato B) allo stesso;

5

Requisiti per la conservazione dei documenti informatici (art. 44, comma 1-bis, del CAD)

Il sistema di conservazione dei documenti informatici è gestito da un responsabile che opera d’intesa con:il responsabile del trattamento dei dati personali di cui all’art. 29 del D.Lgs. 196/03; il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all’art. 61 del DPR 445/2000;

Per la conservazione digitale dei dati e dei documenti informatici bisogna definire procedure coordinate e condivise

6

Responsabile protocollo

informatico e archivi

Responsabile dei sistemi inform

ativi

7

Il responsabile della conservazione, tra gli altri compiti, deve:

Predisporre il piano della sicurezza del sistema di conservazione nel rispetto delle misure di sicurezza previste dagli artt. da 31 a 36 del D.Lgs. 196/03 e dall’allegato B);

Predisporre il manuale di conservazione e curarne l’aggiornamento periodico;

8

Il responsabile del protocollo informatico, tra gli altri compiti, deve:

Art. 4 DPCM 31.10.2000 “Regole tecniche per il protocollo informatico”

predisporre lo schema del manuale di gestione;predisporre il piano per la sicurezza informatica relativo alla formazione e gestione dei documenti informatici d’intesa con il responsabile dei sistemi informativi automatizzati e con il responsabile del trattamento dei dati personali, nel rispetto delle misure minime di sicurezza previste dal DPR 318/1999 (ora artt. da 31 a 36 del D.Lgs. 196/03 e allegato B)

Questi compiti sono confermati anche nella bozza delle nuove regole tecniche per il protocollo informatico in corso di emanazione (reperibili nel sito dell’Agenzia per l’Italia digitale)

Necessità di integrare le policy aziendali sulla qualità e sicurezza dei sistemi di gestione informatica dei documenti e dei dati

9

Manuale di gestione del

protocollo informatico

10

Articolo 51 del CAD – Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni

comma 1 – Con le regole tecniche, adottate ai sensi dell’articolo 71, sono individuate le modalità che garantiscono l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture;

comma 2 – I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta (cfr. art. 31 D.Lgs. 196/03)

11

Il D.Lgs. 196/2003 “Codice in materia di protezione dei dati personali”

ARTICOLO 1

Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

questo articolo rappresenta un’ importante innovazione rispetto alla precedente disciplina (L. 675/96 e successive integrazioni) in quanto ha introdotto nel nostro ordinamento un nuovo diritto - più forte e autonomo rispetto al più generale diritto alla riservatezza - appartenente alla sfera dei diritti fondamentali della persona

12

Contestualizzazione del nuovo diritto e qualificazione dell’attività di trattamento dei dati personali

Il nuovo diritto nasce in un contesto storico dove il patrimonio informativo di ciascuna persona è tendenzialmente un patrimonio circolante, destinato ad essere trattato da diversi soggetti per le finalità più varie

L’attività di trattamento dei dati personali viene qualificata dall’art. 15 del D.Lgs. 196/03 come attività pericolosa

“Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione dell’art. 11”

13

Responsabilità civile

Art. 2050 del codice civile“Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”

La responsabilità per l’esercizio di attività pericolose mantiene , rispetto alla disciplina generale, il presupposto della colpa, ma sposta l’onere probatorio dal danneggiato al danneggiante (inversione dell’onere della prova)

14

La diversa natura dei dati personali

dati identificativi: i dati personali che permettono l’identificazione diretta dell’interessato;

dati sensibili: i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere e le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;

dati giudiziari: i dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato;

15

La definizione di trattamento

qualunque operazione o complesso di operazioni, effettuate anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati

16

Requisiti e modalità di designazione del responsabile del trattamento

designazione facoltativa; se designato, il responsabile deve essere individuato tra

soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza;

affidamento per iscritto di compiti analiticamente specificati; effettuazione dei trattamenti attenendosi alle istruzioni

impartite dal titolare; vigilanza del titolare, anche tramite visite periodiche, sulla

puntuale osservanza dei compiti e delle istruzioni.

Culpa in eligendo e culpa in vigilando

17

Sicurezza dei dati e dei sistemi: principi e garanzie

Riservatezza – garanzia che l’accesso ai dati sia consentito solo ai soggetti legittimati;

Integrità – garanzia che la modifica dei dati venga effettuata solo da parte dei soggetti autorizzati

Disponibilità – garanzia che il sistema e i dati siano accessibili e utilizzabili con continuità

Autenticità – garanzia che la fonte dei dati sia attendibile.

18

Sicurezza dei dati e dei sistemi: potenziali criticità

Comportamenti errati Organizzazione carente Logistica inadatta Errori del software Vulnerabilità

19

Sicurezza dei dati e dei sistemi: le diverse tipologie delle misure di sicurezza

Misure di tipo organizzativo (es. designazione dei responsabili e incaricati, formazione, linee guida);

Misure di tipo fisico (es. ingressi controllati dei locali di custodia degli archivi e dei server);

Misure di tipo logico (es. autenticazione incaricati, antivirus, firewall, cifratura dei dati)

20

Sicurezza dei dati e dei sistemi: misure idonee e preventive (art. 31 D.Lgs. 196/03)

alle conoscenze acquisite in base alprogresso tecnico

alla natura dei dati personali trattati

alle caratteristichedel trattamento

I dati personali oggetto di trattamento sono custoditi e controllati anche in relazione:

in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di:

distruzionee perdita anche

accidentale

accessonon autorizzato

trattamentonon consentito

dalla legge

trattamento nonconforme alle finalità

21

Sicurezza dei dati e dei sistemi:misure minime (art. 33 D.Lgs. 196/03)

Nel quadro dei più generali obblighi di sicurezza di cui all’art. 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo, volte ad assicurare un livello minimo di protezione dei dati personali

22

Misure minime per i trattamenti effettuati con strumenti elettronici (art.34 D.Lgs. 196/03)

autenticazione informatica e adozione di procedure di gestione delle credenziali di autenticazione; utilizzazione di un sistema di autorizzazione; aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemiadozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

23

Responsabilità in caso di mancata adozione delle misure di sicurezza

Misure di sicurezza

responsabilità civile(art. 15 del codice)

Responsabilità amministrativa e penale (artt. 162 e 169 del codice)

idoneeminime

art. 2050 c.c. ravvedimento operoso

24

Deliberazione del Garante 11/10/2012, n. 280 “Protocollo informatico e protezione dei dati personali” 1/2

Una dipendente dell’ENAC segnala al Garante che i dipendenti della direzione aeroportuale di Milano, sono venuti a conoscenza di una contestazione disciplinare rivoltale, attraverso alcune registrazioni di protocollo riportanti nell’oggetto il nome e cognome e i motivi dell’addebito;

Nel record delle registrazioni era inoltre presente in formato testuale le stesse lettere di contestazione;

A seguito delle verifiche effettuate è emerso che il modello di profilatura degli utenti del sistema di protocollo informatico adottato da ENAC, consentiva a tutti i dipendenti della direzione di consultare in maniera indistinta il registro di protocollo indipendentemente dalle mansioni svolte;

25

Deliberazione del Garante 11/10/2012, n. 280 “Protocollo informatico e protezione dei dati personali” 2/2

Il Garante ordina a ENAC:di riconfigurare l’accesso al registro del protocollo informatico in modo da differenziare la visualizzazione dei documenti e dei fascicoli inerenti al personale ai soli dipendenti incaricati alle attività di gestione delle risorse umane; di svolgere un’attività di formazione rivolta al personale abilitato al protocollo informatico illustrandone compiutamente le funzionalità e le implicazioni in materia di protezione dei dati personali; Il Garante, inoltre, ha trasmesso il provvedimento alla magistratura per le valutazioni di competenza;

Provvedimento del Garante n. 73 del 23 febbraio 2012 1/2

Il Comune di Veronella pubblica all’albo pretorio on line per più di 15 giorni, una delibera contenente alcuni dati personali di una residente (nome e cognome , indirizzo di residenza, numero e dispositivo della sentenza della Commissione tributaria provinciale);

Il Garante evidenzia che: - nelle ipotesi in cui specifiche disposizioni di settore individuino determinati periodi di tempo per la pubblicazione di atti e provvedimenti amministrativi (es., art. 124, d.lgs. n. 267/2000) i soggetti pubblici sono tenuti ad assicurare il rispetto dei limiti temporali previsti, rendendoli accessibili sul proprio sito web durante il circoscritto ambito temporale individuato dalle disposizioni normative di riferimento, anche per garantire il diritto all'oblio degli

interessati; - trascorsi i predetti periodi di tempo specificatamente individuati, determinate notizie, documenti o sezioni del sito devono essere rimossi dal web o privati degli elementi identificativi degli interessati

26

Provvedimento del Garante n. 73 del 23 febbraio 2012 2/2

Il Garante - riservandosi di valutare, con separato provvedimento, gli estremi per contestare al Comune di Veronella la violazione amministrativa prevista dall’art. 162, comma 2-bis del Codice e considerata l’impregiudicata facoltà dell’interessata di far valere i propri diritti in sede civile ai sensi dell’art. 15 dello stesso - ritenuto illecito il trattamento dei dati effettuato dal Comune di Veronella: vieta al Comune di Veronella di diffondere ulteriormente in internet – sia attraverso la pubblicazione nell'albo pretorio online che in qualsiasi altra area del sito web istituzionale – i dati personali della residente; prescrive al Comune di Veronella, di apportare gli opportuni accorgimenti affinché le modalità di pubblicazione delle deliberazioni contenenti dati personali sul sito web istituzionale e, in particolare, sull'albo pretorio online rispettino le indicazioni contenute nel provvedimento del 2 marzo 2011 recante le "Linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web”;

27

Cassazione civile , sez. I, sentenza 13.02.2012, n. 2034 1/2

La vicenda trae origine dalla pubblicazione sull’Albo pretorio di un Comune di un provvedimento amministrativo di diniego di riconoscimento di causa di servizio, già espresso dalla Commissione di verifica, contenente oltre che i dati identificativi del dipendente anche la diagnosi;

La pubblicazione della determinazione amministrativa era avvenuta in modo tale che chiunque avrebbe potuto leggerne la motivazione ed apprendere quindi le informazioni sulla salute del dipendente;

La Suprema Corte rileva che le motivazioni del provvedimento si sarebbero potute egualmente esprimere adottando una modalità tale da non renderne possibile la lettura da parte di chiunque, ipotesi, quest’ultima, che aveva creato preoccupazione all’uomo per il “non sapere quali e quante persone avevano in realtà conosciuto la sua situazione di salute”;

28

Cassazione civile , sez. I, sentenza 13.02.2012, n. 2034 2/2

La Suprema Corte nel far riferimento al principio di cui all’articolo 11 del D.lgs. 196/03, chiarisce come la pubblica amministrazione commette illecito se effettua il trattamento di un dato personale che risulti eccedente le finalità pubbliche da soddisfare e, quindi, per chiedere il risarcimento del danno non patrimoniale è sufficiente lamentare un patema d'animo, essendo “le modalita' della divulgazione idonee, gia' per se stesse, a dimostrare l'esistenza di un pregiudizio”;

Con queste motivazioni la Suprema Corte ha convalidato la sentenza di primo grado con la quale il Comune e la dirigente che aveva adottato la determinazione amministrativa, sono stati condannati al risarcimento di 16.000 euro nei confronti di un suo dipendente;

29

No ai dati sulla salute dei cittadini sui siti web dei Comuni (12/03/2013)

Il Garante ha fatto oscurare dai siti web di circa 10 Comuni di piccole e medie dimensioni (e altri sono in arrivo) i dati personali contenuti in alcune ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini;

Le ordinanze, tra l’altro, erano facilmente reperibili anche sui più usati motori di ricerca, come Google: bastava digitare il nome e cognome delle persone;

Il Garante procederà ad avviare nei confronti dei Comuni interessati le previste procedure sanzionatorie per trattamento illecito di dati personali;

30

31

Una recente iniziativa di ANORC

www.abirt.it

32

Perché ABIRT?

perché nell’ambito dell’inarrestabile processo di digitalizzazione, i “responsabili del trattamento” rivestono un ruolo sempre più delicato e strategico;

perché la digitalizzazione, considerata la sua complessità e delicatezza, deve essere affrontata e gestita in maniera multidisciplinare;

perché una corretta conservazione digitale dei dati e dei documenti è possibile solo se si garantiscono idonee e preventive misure di sicurezza;

33

La mission di ABIRT

rappresentare, sostenere e tutelare i responsabili del trattamento a livello nazionale;

favorire la collaborazione e il confronto tra i responsabili del trattamento dei dati personali anche attraverso l’organizzazione di convegni, seminari, incontri di approfondimento e corsi di formazione;

contribuire all’avvio dell’importante sinergia prevista dall’art. 44, comma 1-bis, del CAD tra le due figure cruciali nella corretta gestione informatica dei dati: il responsabile della conservazione digitale e il responsabile del trattamento dei dati personali;

34

Grazie per l’attenzione

Per eventuali approfondimenti potete contattarmi al seguente indirizzo di posta elettronica:

franco.cardin@alice.it