I rischi legati al trattamento dei dati e gli adempimenti...
Transcript of I rischi legati al trattamento dei dati e gli adempimenti...
I rischi legati al trattamento dei dati e gli adempimenti obbligatori per le aziende
STUDIO LEGALE SAVINO, Via Monte Santo 14 – Roma Email: [email protected] - Telefono: 06-3728446
Studio Legale Savino [email protected]
Legge 547/93 “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica”
Modifica, integra, sia il codice penale che quello di procedura penale, in materia di crimini informatici. Introduce valore giuridico ad una serie di condotte illecite realizzate, con e su elaboratori elettronici, che in precedenza non trovavano alcuna copertura normativa (es. frode informatica, concetto di domicilio informatico) Studio Legale Savino
D. LGS. 231/01 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”
Introduce nel ns ordinamento un nuovo regime di responsabilità degli enti, derivante dalla commissione (anche tentata) di determinati reati nell’interesse o a vantaggio degli enti stessi.
“Societas delinquere non potest” L’obiettivo è quello di colpire il patrimonio degli enti e quindi l’interesse economico dei soci che hanno tratto un vantaggio dalla commissione di determinati reati da parte delle persone fisiche che rappresentano l’ente o che operano per l’ente.
Studio Legale Savino [email protected]
Il D. Lgs. 196/03 è un codice e costituisce il c.d testo unico sulla privacy, che sostituisce la legge n. 675/96 ed il Dpr 318/98, etc. Esso obbliga a custodire e controllare i dati personali (sensibili e giudiziari) mediante l'adozione di misure di sicurezza idonee a prevenire il rischio di perdita dei dati, di accesso non autorizzato o di trattamento non consentito.
Studio Legale Savino [email protected]
D. LGS. 196/03 "Codice in materia di protezione dei dati personali"
Studio Legale Savino [email protected]
Legge sulla privacy (D.Lgs.
196/2003)
Tutela della riservatezza
Tutela dei dati personali
Tutela dei dati sensibili e/o
giudiziari
D. LGS. 82/05 e s.m.i. “Codice dell'amministrazione digitale”
Il Codice dell'Amministrazione Digitale ha raccolto ed organizzato in un unico contesto normativo le principali norme già esistenti in materia di informatizzazione amministrativa (per es. le norme sulla firma digitale e sui certificatori, già presenti sul D.P.R. n. 445/2000 “testo unico sulla documentazione amministrativa“) allo scopo di favorire l’implementazione e l’utilizzo dei sistemi informatici nei rapporti sussistenti tra la p.a. ed i cittadini.
Studio Legale Savino [email protected]
Gli standard di sicurezza
Sono metodologie elaborate con lo scopo di favorire e di migliorare il livello di sicurezza dei sistemi informatici.
In alcuni casi è possibile ottenere anche una certificazione da apposite istituzioni abilitate a rilasciarla (utile, per es. a negoziare condizioni di polizza vantaggiose sul rischio derivante dalla sicurezza informatica).
Studio Legale Savino [email protected]
IL DIRITTO DELLA SICUREZZA INFORMATIVA
FISICA O METAFISICA del “dato”?
Studio Legale Savino [email protected] 10
In informatica per dato s’intende: “Elemento costitutivo dell‘informazione, rappresentazione in forma convenzionale di un fatto, di un concetto, di un oggetto o di una situazione, suscettibile di trattamento per mezzo di macchine”.
Es.: il nome o il formato di un file, la data di edizione di un volume, una transazione di commercio elettronico, il titolo di un libro, una cella di Excel, un'immagine, il numero di abitanti di una città, il numero di accessi a un sito web.
Fonte: www.ilsapere.it
Studio Legale Savino [email protected]
LA DEFINIZIONE KANTIANA Il valore del “dato” come elemento originario.
Secondo Kant il “dato” è costituito da ciò che è presente nell'oggetto e che noi percepiamo attraverso l'intuizione sensibile. In senso più ampio è la sua rappresentazione a un'esperienza reale o possibile, in cui il legame con la sensibilità è essenziale
Binomio di materialità ed esperienza sensoriale FISICA E METAFISICA
Studio Legale Savino [email protected]
Studio Legale Savino [email protected] 13
“Di chi é il corpo? Della persona interessata, della sua cerchia familiare, di un Dio che l'ha donato, di una natura che lo vuole inviolabile, di un potere sociale che in mille modi se ne impadronisce, di un medico o di un magistrato che ne stabiliscono il destino?
E di quale corpo stiamo parlando?*”
* Prof. Stefano Rodotà
DALLA FISICA ALLA METAFISICA: IL CORPO ELETTRONICO
Qualunque informazione relativa a persona fisica, (persona giuridica, ente od associazione), identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Studio Legale Savino [email protected]
Studio Legale Savino [email protected] 15
Studio Legale Savino [email protected] 16
LA CONDIVISIONE DEL DATO
Studio Legale Savino [email protected]
Conoscenza vuol dire saper usare le informazioni.
Come si usano le informazioni? Attraverso una corretta selezione ed
un’attenta valutazione, operando i giusti collegamenti, elaborando in maniera sistemica ed aggregando i dati quando è necessario
Studio Legale Savino [email protected]
Studio Legale Savino [email protected]
Dati personali idonei a rivelare: l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Studio Legale Savino [email protected]
I dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313 in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.
Studio Legale Savino [email protected]
concernenti la raccolta, la
registrazione, l'organizzazione
, la conservazione, l'elaborazione,
il blocco, la comunicazion
e, la diffusione, la cancellazione
e la distruzione di
dati.
la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo,
l'interconnessione
Studio Legale Savino [email protected]
IL CONCETTO DEL DIRITTO DELLA SICUREZZA INFORMATICA Il diritto della sicurezza informatica è quella branca del diritto che ha ad oggetto situazioni di illegittimità (civile, penale ed amministrativa) compiute su di un sistema informatico (fine) o tramite le risorse informatiche (mezzo). Principale obbiettivo è la protezione dei dati (di sistema, personali, aziendali, di business, etc.)
Studio Legale Savino [email protected]
Studio Legale Savino [email protected]
Studio Legale Savino [email protected]
Tutela Amministrativa:Garante
Tutela giurisdizionale: Giudice Ordinario
Studio Legale Savino [email protected]
Per il risarcimento dei danni l’unica forma di
tutela ammessa è quella davanti al Giudice Ordinario
Studio Legale Savino [email protected]
Studio Legale Savino [email protected]
Misure di sicurezza (art. 169)
Detenzione Multa
Responsabilità Penale
CONCETTO DI IDONEITÀ E VALUTAZIONE DEL RISCHIO
Parametri di scelta delle misure idonee: ◦ progresso tecnologico ◦ natura dei dati trattati ◦ specifiche caratteristiche del trattamento
Le misure di sicurezza idonee
vengono identificate a
seguito dell’attività di
Analisi dei rischi
Studio Legale Savino [email protected]
Studio Legale Savino [email protected]
Danni per effetto di trattamento (art. 15)
Art. 2050 c.c. onere della prova a carico del
Titolare del trattamento
Danno patrimoniale Danno non patrimoniale
Il Furto d’identità si consuma mediante compimento di 2 fasi realizzative:
1) La ricerca e l’impossessamento indebito di informazioni personali riguardanti un dato soggetto
2) L’utilizzo di tali informazioni per creare una sorta di “clone” e compiere azioni, spesso illecite, attribuendone la paternità al reale titolare delle informazioni (sostituzione di persona)
Studio Legale Savino [email protected]
DATI ANAGRAFICI (nome, cognome, luogo e data di nascita, indirizzo, n. di telefono)
CODICE FISCALE NUMERO CARTA DI CREDITO ESTREMI C/C BANCARIO ULTERIORI INFO: (luogo di lavoro, targa automobilistica
nomi dei genitori e nome dei figli, nomi di eventuali animali domestici, etc.)
Studio Legale Savino [email protected]
CLOUD COMPUTING
Il cloud computing consiste nella condivisione e/o conservazione di dati e/o applicazioni su server di proprietà o gestiti da terzi ai quali si accede tramite rete internet (nuvole private, pubbliche e ibride)
VANTAGGI: costi, efficienza, politiche di sicurezza e responsabilità (a cura del cloud provider) business continuity, etc.
RISCHI: riservatezza dei dati e sicurezza delle informazioni.
Studio Legale Savino [email protected]
I rischi legati alle nuove forme di trattamento dei dati sulle “nuvole”
I Principali Rischi:
1) Riservatezza/accesso abusivo (criminali
informatici, competitors, dipendenti infedeli, etc. )
2) Integrità/conservazione (esattezza,
conservazione e recuperabilità)
3) Disponibilità/cancellazione (rispetto del
principio di pertinenza e non eccedenza del
trattamento) Studio Legale Savino [email protected]
CRITICITA’
Le maggiori criticità legate al claud compunting sono: Ubicazione dei dati - in violazione del codice privacy e dalle direttive europee - in data center residenti in paesi lontani extracomunitari (alcuni provider stanno cercando superare il problema collocandoli in acque internazionali) Il contratto di servizi cloud. Non esiste una tipologia standard (causa mista) e, pertanto, chi ha maggiore forza contrattuale “detta legge” (di solito abbondano clausole vessatorie e dislaimer di responsabilità per i provider)
Studio Legale Savino [email protected]
CONSIDERAZIONI CONCLUSIVE
Un approccio corretto per le aziende: la “due diligence legale sulla sicurezza”
La due diligence (dovuta diligenza) legale
sulla sicurezza è una metodologia volta alla
valutazione di un’impresa in termini di
corrispondenza e di adeguamento alle
normative vigenti ed agli adempimenti
obbligatori da esse previste.
Studio Legale Savino [email protected]
La contrattualistica aziendale (dipendenti, clienti, fornitori, collaboratori, p.a. etc.)
Salute e sicurezza dei lavoratori sui luoghi di lavoro e rischio di incidenti rilevanti
Rapporti con la pubblica amministrazione (concessioni ed autorizzazioni)
Adozione di un modello di organizzazione, gestione e controllo (D. Lgs.231/01)
Studio Legale Savino [email protected]
Accertamento circa gli adempimenti previsti dal D. Lgs. 196/03,
al fine di evitare le pesanti sanzioni, anche di natura penale.
Con particolare riguardo alla individuazione delle figure preposte
al trattamento dei dati (responsabile, incaricati, amministratore di
sistema), alla relativa nomina di essi in forma scritta,
all’informativa da rendere a tutti gli interessati (clienti,
dipendenti, fornitori, etc.), alla realizzazione di un documento
illustrativo sulla sicurezza che preveda idonei procedure nel
rispetto delle misure di sicurezza minime ed idonee.
Studio Legale Savino [email protected]
Proprietà intellettuale e industriale (analisi dei brevetti e delle licenze, dei marchi e della loro registrazione, etc.)
Analisi delle risorse umane utilizzate per l’esercizio delle proprie attività (lavoratori subordinati, collaboratori a progetto, etc.
etc. … etc …. etc … etc … Studio Legale Savino [email protected]
Studio Legale Savino [email protected]
STUDIO LEGALE SAVINO ROMA VIA MONTE SANTO 14
[email protected] Tel. 06-3728446
Studio Legale Savino [email protected]