I rischi legati al trattamento dei dati e gli adempimenti...

I rischi legati al trattamento dei dati e gli adempimenti obbligatori per le aziende

STUDIO LEGALE SAVINO, Via Monte Santo 14 – Roma Email: [email protected] - Telefono: 06-3728446

Studio Legale Savino [email protected]

Legge 547/93 “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”

Modifica, integra, sia il codice penale che quello di procedura penale, in materia di crimini informatici. Introduce valore giuridico ad una serie di condotte illecite realizzate, con e su elaboratori elettronici, che in precedenza non trovavano alcuna copertura normativa (es. frode informatica, concetto di domicilio informatico) Studio Legale Savino

[email protected]

D. LGS. 231/01 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”

Introduce nel ns ordinamento un nuovo regime di responsabilità degli enti, derivante dalla commissione (anche tentata) di determinati reati nell’interesse o a vantaggio degli enti stessi.

“Societas delinquere non potest” L’obiettivo è quello di colpire il patrimonio degli enti e quindi l’interesse economico dei soci che hanno tratto un vantaggio dalla commissione di determinati reati da parte delle persone fisiche che rappresentano l’ente o che operano per l’ente.


Il D. Lgs. 196/03 è un codice e costituisce il c.d testo unico sulla privacy, che sostituisce la legge n. 675/96 ed il Dpr 318/98, etc. Esso obbliga a custodire e controllare i dati personali (sensibili e giudiziari) mediante l'adozione di misure di sicurezza idonee a prevenire il rischio di perdita dei dati, di accesso non autorizzato o di trattamento non consentito.


D. LGS. 196/03 "Codice in materia di protezione dei dati personali"


Legge sulla privacy (D.Lgs.

196/2003)

Tutela della riservatezza

Tutela dei dati personali

Tutela dei dati sensibili e/o

giudiziari

D. LGS. 82/05 e s.m.i. “Codice dell'amministrazione digitale”

Il Codice dell'Amministrazione Digitale ha raccolto ed organizzato in un unico contesto normativo le principali norme già esistenti in materia di informatizzazione amministrativa (per es. le norme sulla firma digitale e sui certificatori, già presenti sul D.P.R. n. 445/2000 “testo unico sulla documentazione amministrativa“) allo scopo di favorire l’implementazione e l’utilizzo dei sistemi informatici nei rapporti sussistenti tra la p.a. ed i cittadini.


Gli standard di sicurezza

Sono metodologie elaborate con lo scopo di favorire e di migliorare il livello di sicurezza dei sistemi informatici.

In alcuni casi è possibile ottenere anche una certificazione da apposite istituzioni abilitate a rilasciarla (utile, per es. a negoziare condizioni di polizza vantaggiose sul rischio derivante dalla sicurezza informatica).


IL DIRITTO DELLA SICUREZZA INFORMATIVA

FISICA O METAFISICA del “dato”?

Studio Legale Savino [email protected] 10

  In informatica per dato s’intende: “Elemento costitutivo dell‘informazione, rappresentazione in forma convenzionale di un fatto, di un concetto, di un oggetto o di una situazione, suscettibile di trattamento per mezzo di macchine”.

  Es.: il nome o il formato di un file, la data di edizione di un volume, una transazione di commercio elettronico, il titolo di un libro, una cella di Excel, un'immagine, il numero di abitanti di una città, il numero di accessi a un sito web.

Fonte: www.ilsapere.it


  LA DEFINIZIONE KANTIANA   Il valore del “dato” come elemento originario.

  Secondo Kant il “dato” è costituito da ciò che è presente nell'oggetto e che noi percepiamo attraverso l'intuizione sensibile. In senso più ampio è la sua rappresentazione a un'esperienza reale o possibile, in cui il legame con la sensibilità è essenziale

  Binomio di materialità ed esperienza sensoriale   FISICA E METAFISICA



“Di chi é il corpo? Della persona interessata, della sua cerchia familiare, di un Dio che l'ha donato, di una natura che lo vuole inviolabile, di un potere sociale che in mille modi se ne impadronisce, di un medico o di un magistrato che ne stabiliscono il destino?

E di quale corpo stiamo parlando?*”

* Prof. Stefano Rodotà

DALLA FISICA ALLA METAFISICA: IL CORPO ELETTRONICO

Qualunque informazione relativa a persona fisica, (persona giuridica, ente od associazione), identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.


LA CONDIVISIONE DEL DATO


  Conoscenza vuol dire saper usare le informazioni.

  Come si usano le informazioni?   Attraverso una corretta selezione ed

un’attenta valutazione, operando i giusti collegamenti, elaborando in maniera sistemica ed aggregando i dati quando è necessario


DATI PERSONALI

Comuni

Sensibili

Giudiziari


Dati personali idonei a rivelare: l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.


I dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313 in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.


concernenti la raccolta, la

registrazione, l'organizzazione

, la conservazione, l'elaborazione,

il blocco, la comunicazion

e, la diffusione, la cancellazione

e la distruzione di

dati.

la modificazione, la selezione,

l'estrazione, il raffronto, l'utilizzo,

l'interconnessione


Dati Personali Trattamento Attori

responsabili


ATTORI

DATI

TRATTAMENTO


IL CONCETTO DEL DIRITTO DELLA SICUREZZA INFORMATICA Il diritto della sicurezza informatica è quella branca del diritto che ha ad oggetto situazioni di illegittimità (civile, penale ed amministrativa) compiute su di un sistema informatico (fine) o tramite le risorse informatiche (mezzo). Principale obbiettivo è la protezione dei dati (di sistema, personali, aziendali, di business, etc.)


Tutela Amministrativa:Garante

Tutela giurisdizionale: Giudice Ordinario


Per il risarcimento dei danni l’unica forma di

tutela ammessa è quella davanti al Giudice Ordinario



Misure di sicurezza (art. 169)

Detenzione Multa

Responsabilità Penale

CONCETTO DI IDONEITÀ E VALUTAZIONE DEL RISCHIO

  Parametri di scelta delle misure idonee: ◦ progresso tecnologico ◦ natura dei dati trattati ◦  specifiche caratteristiche del trattamento

Le misure di sicurezza idonee

vengono identificate a

seguito dell’attività di

Analisi dei rischi



Danni per effetto di trattamento (art. 15)

Art. 2050 c.c. onere della prova a carico del

Titolare del trattamento

Danno patrimoniale Danno non patrimoniale

Il Furto d’identità si consuma mediante compimento di 2 fasi realizzative:

1) La ricerca e l’impossessamento indebito di informazioni personali riguardanti un dato soggetto

2) L’utilizzo di tali informazioni per creare una sorta di “clone” e compiere azioni, spesso illecite, attribuendone la paternità al reale titolare delle informazioni (sostituzione di persona)


  DATI ANAGRAFICI (nome, cognome, luogo e data di nascita, indirizzo, n. di telefono)

  CODICE FISCALE   NUMERO CARTA DI CREDITO   ESTREMI C/C BANCARIO   ULTERIORI INFO: (luogo di lavoro, targa automobilistica

nomi dei genitori e nome dei figli, nomi di eventuali animali domestici, etc.)


CLOUD COMPUTING

  Il cloud computing consiste nella condivisione e/o conservazione di dati e/o applicazioni su server di proprietà o gestiti da terzi ai quali si accede tramite rete internet (nuvole private, pubbliche e ibride)

  VANTAGGI: costi, efficienza, politiche di sicurezza e responsabilità (a cura del cloud provider) business continuity, etc.

  RISCHI: riservatezza dei dati e sicurezza delle informazioni.


I rischi legati alle nuove forme di trattamento dei dati sulle “nuvole”

I Principali Rischi:

1) Riservatezza/accesso abusivo (criminali

informatici, competitors, dipendenti infedeli, etc. )

2) Integrità/conservazione (esattezza,

conservazione e recuperabilità)

3) Disponibilità/cancellazione (rispetto del

principio di pertinenza e non eccedenza del

trattamento) Studio Legale Savino [email protected]

CRITICITA’

Le maggiori criticità legate al claud compunting sono:  Ubicazione dei dati - in violazione del codice privacy e dalle direttive europee - in data center residenti in paesi lontani extracomunitari (alcuni provider stanno cercando superare il problema collocandoli in acque internazionali)  Il contratto di servizi cloud. Non esiste una tipologia standard (causa mista) e, pertanto, chi ha maggiore forza contrattuale “detta legge” (di solito abbondano clausole vessatorie e dislaimer di responsabilità per i provider)


CONSIDERAZIONI CONCLUSIVE

Un approccio corretto per le aziende: la “due diligence legale sulla sicurezza”

La due diligence (dovuta diligenza) legale

sulla sicurezza è una metodologia volta alla

valutazione di un’impresa in termini di

corrispondenza e di adeguamento alle

normative vigenti ed agli adempimenti

obbligatori da esse previste.


  La contrattualistica aziendale (dipendenti, clienti, fornitori, collaboratori, p.a. etc.)

 Salute e sicurezza dei lavoratori sui luoghi di lavoro e rischio di incidenti rilevanti

 Rapporti con la pubblica amministrazione (concessioni ed autorizzazioni)

 Adozione di un modello di organizzazione, gestione e controllo (D. Lgs.231/01)


  Accertamento circa gli adempimenti previsti dal D. Lgs. 196/03,

al fine di evitare le pesanti sanzioni, anche di natura penale.

  Con particolare riguardo alla individuazione delle figure preposte

al trattamento dei dati (responsabile, incaricati, amministratore di

sistema), alla relativa nomina di essi in forma scritta,

all’informativa da rendere a tutti gli interessati (clienti,

dipendenti, fornitori, etc.), alla realizzazione di un documento

illustrativo sulla sicurezza che preveda idonei procedure nel

rispetto delle misure di sicurezza minime ed idonee.


  Proprietà intellettuale e industriale (analisi dei brevetti e delle licenze, dei marchi e della loro registrazione, etc.)

 Analisi delle risorse umane utilizzate per l’esercizio delle proprie attività (lavoratori subordinati, collaboratori a progetto, etc.

  etc. … etc …. etc … etc … Studio Legale Savino [email protected]

STUDIO LEGALE SAVINO ROMA VIA MONTE SANTO 14

[email protected] Tel. 06-3728446


I rischi legati al trattamento dei dati e gli adempimenti...

Documents

Transcript of I rischi legati al trattamento dei dati e gli adempimenti...