Gestione dei dati: obblighi e responsabilità1 Misure di sicurezza nel trattamento dei dati...

Gestione dei dati: obblighi e responsabilità

1

Misure di sicurezza nel Misure di sicurezza nel trattamento dei dati personalitrattamento dei dati personali


2

Diritto alla riservatezza: significato e fondamenti normativi

Un diritto in evoluzione Dal diritto ad essere lasciati soli al controllo

sui propri dati. Le fonti della riservatezza

I fondamenti costituzionali; La direttiva 95/46 CE; art. 7 della Convenzione di Strasburgo n. 108 del 28

gennaio 1981; art. 17 della direttiva 95/46/CE; art. 4 della direttiva 97/66/CE.


3

Una normativa in fieri

Le deleghe della legge n. 676 del 1996

Settori considerati L’elaborazione in sede internazionale

Le pronunce del Garante


4

Ambito di applicazione: alcune definizioni

Dato personale Qualunque informazione relativa a persona

fisica, persona giuridica, ente o associazione identificata o identificabile… (art.1, comma 2, lett.c)

Trattamento Qualunque operazione o complesso di

operazioni, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati…. (art.1, comma2, lett.b)


5

I pilastri della legge Informativa Consenso Autorizzazione del Garante (dati

sensibili) Notificazione Misure di sicurezza


6

Tutela penale dei sistemi informatici e telematici

Fattispecie introdotte dalla legge 547/93 Art. 613 ter c.p. “accesso abusivo ad un sistema

informatico o telematico” Art. 640 ter “frode informatica” Art. 392 co. 4 c.p. “esercizio arbitrario delle

proprie ragioni con impedimento o turbamento di un sistema informatico o telematico”

Art. 615 quater c.p. “detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici”


7

Il T.U. in materia di documentazione amministrativa

D.P.R. 28/12/2000, n. 445 Articolo 52, comma 1:

Il sistema di gestione informatica dei documenti deve garantire la sicurezza e l’integrità del sistema, deve consentire, in condizioni di sicurezza, l’accesso alle informazioni del sistema da parte dei soggetti interessati, nel rispetto delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali


8

Sicurezza dei dati (art.15)

Comma 1 Onere di custodire i dati in modo da ridurre al minimo i rischi di perdita anche accidentale dei dati, accesso non autorizzato o non consentito o comunque non conforme alla raccolta Aggiornamento in relazione al progresso

tecnico Risarcimento (art. 18)

Comma 2 Misure minime di sicurezza individuate con il regolamento emanato con il d.P.R. n. 318/1999 Sanzioni penali (art. 36)


9

Responsabilità civile

- La mancata predisposizione delle misure di cui all’art. 15, comma 1 comporta la responsabilità per i danni eventualmente cagionati ai sensi dell’art.2050 c.c.

- Ne discende che il trattamento di dati personali è considerata “attività pericolosa” con conseguente presunzione di colpa del gestore e relativa inversione dell’onere della prova.


10

Omessa adozione delle misure minime

All’inosservanza delle norme contenute nel regolamento sono collegate sanzioni di carattere penale (art. 36)


11

Nuove figure Il preposto: soggetto “preposto” alla

custodia della parola chiave o che ha accesso alle informazioni che riguardano le medesime.

L’amministratore di sistema: soggetto cui è conferito il compito di sovraintendere alle risorse del sistema operativo di un elaboratore o di un sistema di basi dati e di consentirne la utilizzazione.


12

Come definire le “idonee misure di sicurezza”

Custodia e controllo dei dati basato su: la cultura della sicurezza in quel momento

(misure gestionali, fisiche e logiche); esperienze acquisite.

Natura dei dati; Specifiche caratteristiche del

trattamento. Rischi


13

Riduzione al minimo dei rischi Distruzione o perdita dei dati; Accessi non autorizzati; Trattamenti illeciti; Trattamenti non consentiti o non

conformi alle finalità della raccolta.


14

Misure minime. Il regolamento distingue diversi tipi di trattamento trattamento con elaboratori singoli non

accessibili da altri elaboratori o terminali; trattamento con reti locali non disponibili al

pubblico; trattamento con reti locali accessibili

mediante una rete pubblica trattamento con strumenti diversi da quelli

elettronici o automatizzati trattamenti effettuati per fini esclusivamente

personali


15

A. Trattamento con elaboratori singoli non accessibili da altri elaboratori o terminali (art. 2 d.P.R. n. 318/99).

1. individuazione degli incaricati2. parola d’accesso3. preposto alla custodia


16

4. Se i dati sono sensibili o di carattere giudiziario: autorizzazioni agli incaricati del trattamento o della manutenzione

1. Quanto già previsto all’art. 2 (individuazione degli incaricati, parola d’accesso, preposto alla custodia);

2. Codice identificativo personale;

3. Elaboratori protetti contro il rischio di intrusione;

b. trattamento con reti locali non disponibili al pubblico


17

c. Trattamento effettuato mediante elaboratori accessibili in rete pubblica

Oltre quanto previsto nella situazione precedente, nel caso in cui si trattino dati particolari:

sono oggetto di autorizzazione anche gli strumenti utilizzati per l’interconnessione;

documento programmatico sulla sicurezza


18

Documento programmatico sulla sicurezza Criteri tecnici e organizzativi per proteggere

le aree e controllare l’accesso delle persone autorizzate;

Criteri e procedure per assicurare l’integrità dei dati e per la sicurezza delle trasmissioni;

Elaborazione di un piano di formazione;

Sottoporre a controlli periodici, con cadenza almeno annuale, l’efficacia delle misure di sicurezza.


19

Trattamento con strumenti diversi da quelli elettronici o automatizzati

Designazione incaricati e accesso selezionato ai locali;

Se il trattamento riguarda dati particolari:

Conservazione in contenitori muniti di serratura;

Identificazione e registrazione dei soggetti che accedono agli archivi dopo l’orario di chiusura


20

Trattamenti effettuati per fini esclusivamente personali Il regolamento si applica solo se coesistono tre

condizioni. I dati trattati sono :

“particolari”; organizzati in banche dati; gli elaboratori con cui si effettua il

trattamento sono stabilmente accessibili da altri elaboratori.

Obbligo: proteggere l’accesso con una parola chiave


21

L’IMPORTANZA NEI SISTEMI DI SICUREZZA È LA PREVENTIVA ORGANIZZAZIONE

L’erroneo atteggiamento degli operatori è più pericoloso degli stessi hacker.

L’adeguatezza delle misure di difesa non è solo potenziare i sistemi hardware e software ma la capacità di servirsene nella maniera più efficace.

Indagine di Sicurforum sulla criminalità: virus, manomissione e sottrazione (i più temuti).

Spesso i provvedimenti vengono presi solo a seguito di un attacco.

Due obiettivi: proteggere i dati e limitare i danni di una incursione.

Non basta l’investimento iniziale ma occorre continua attenzione e costante aggiornamento.


22

Sito del Garante

www.garanteprivacy.it


23

Un auspicio, una sfida

Sfruttare spazi aperti da una normativa in fieri

Il valore aggiunto della soft law Diffondere la cultura della Privacy

come valore, non solo come onere Un modo nuovo per relazionarsi con

i soggetti con cui si entra a contatto e soprattutto con i cittadini.

Gestione dei dati: obblighi e responsabilità1 Misure di sicurezza nel trattamento dei dati...

Documents

Transcript of Gestione dei dati: obblighi e responsabilità1 Misure di sicurezza nel trattamento dei dati...