INTRODUZIONE · Web view(art. 615 ter Accesso abusivo ad un sistema informatico o telematico; art....

INTRODUZIONEPercorso formativo responsabili/incaricati

(a cura dello studio Reginelli)

Quando parliamo di “sistema privacy”, facciamo riferimento ad un quadro normativo complesso che non si riferisce al solo Regolamento UE 2016/676 GDPR, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, bensì un complesso normativo molto più complesso ed articolato.Le norme eurocomunitarie infatti, oltre a modificare ed integrare le disposizioni previste dal Codice della Privacy (D.lgs n. 163/2003), si intersecano anche con la disciplina del Codice Penale, in tema di criminalità informatica (art. 615 ter Accesso abusivo ad un sistema informatico o telematico; art. 615 quater detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici; art. 615 quinquies diffusione di programmi diretti a danneggiare o interrompere un sistema informatico), oltre che con le disposizioni di cui al D.lgs n. 51/2018, relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti in materia penale.L’applicazione corretta del sistema privacy, consente un’immediata risposta alle sollecitazioni esterne, ossia alla capacità del titolare del trattamento di rispondere entro i termini di legge alle richieste che vengono dall’interessato, in merito ai propri dati personali nell’esercizio dei diritti di cui agli artt. 12 e seguenti del GDPR.Concetti che analizzeremo in seguito. Perché è sorta l’esigenza di tutelare i dati personali dei soggetti? Quali sono i dati meritevoli di tale tutela? Chi sono i soggetti interessati ad ottenere tutela legale? Come tutelare i dati? Queste sono le domande a cui questo corso di formazione vuole dare risposta.Cosa è la privacy? La risposta più immediata, sintetica e intuitiva è che la privacy è il diritto alla riservatezza della propria sfera personale da altrui invasione, o per meglio dire, il diritto di essere lasciati in pace! Il diritto alla privacy deve però oggi confrontarsi con la moderna società della post-modernità, caratterizzata da una sempre più crescente informazione e quindi, con sempre più nuove ed estese raccolte e del trattamento delle informazioni personali, a cui vanno aggiunte le sempre più efficaci, pervasive e penetranti modalità di controllo della vita privata delle persone fisiche, a cui hanno accesso sia l'Autorità Pubblica che i soggetti privati.Questo grado di crescente pericolo per la riservatezza del singolo, ha provocato la moltiplicazione della richiesta di tutela e la consapevolezza dell’impossibilità di circoscrivere le relative problematiche nel quadro tradizionale, identificato originariamente da quel concetto.Ma nella società attuale, in cui il bene informazione ha assunto una rilevanza economica non indifferente, è nata l’esigenza di contemperare il diritto alla riservatezza con l’esigenza della circolazione del bene informazione. Possiamo quindi affermare che la privacy consiste nel diritto alla autodeterminazione informativa, in cui il soggetto decide con autonomia quando e con quali limiti far circolare informazioni che lo riguardano. Adesso, infatti, il centro di gravità è sempre più individuato, oltre che nel diritto ad essere lasciati soli, nella possibilità di ciascuno di noi di controllare l’uso delle informazioni che lo riguardano e nel considerare i problemi della privacy‚ nel quadro dell’attuale organizzazione del potere, di cui appunto l’infrastruttura informativa rappresenta ormai una della componenti fondamentali. E’ sempre più evidente, infatti, come gli stessi processi democratici sono profondamente influenzati dal modo in cui circolano le informazioni.Tra l’altro, il concetto di privacy, così sfuggente ad ogni definizione che possa dirsi completamente esaustiva, viene sempre più accostato al valore persona come mezzo per tutelare la sua dignità e il suo sviluppo all’interno della società.

Conferma di ciò si ha, per esempio, nell’esplicito richiamo al concetto di dignità presente nel Codice della Privacy ed ora fortemente ribaditi anche nel GDPR. Concetto che viene unanimamente considerato come il vero “nocciolo duro” della tutela offerta alla persona fisica interessata, a fronte dell’attività di trattamentoSi noti che volontariamente si parla di “PERSONA FISICA” e non di soggetto in generale, utilizzando quindi un concetto molto più preciso e specifico di una accezione più generale. L'art. 1 del GDPR stabilisce infatti che il Regolamento UE 2016/267 "stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati"; il regolamento infatti "protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali"; viene infine stabilito che "la libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali".Adottando quindi la nozione di persona fisica, il Legislatore ha inteso escludere le persone giuridiche (per es. società, associazioni, fondazioni, enti pubblici, etc.) dal novero dei soggetti tutelati dal GDPR Quale è dunque la finalità del GDPR? Quella di garantire che il trattamento dei dati personali avvenga nel rispetto dei diritti, delle libertà fondamentali e della dignità dei soggetti interessati, che ottengono protezione per i propri dati personali. Il GDPR, rappresenta dunque l'ultima tappa di un percorso normativo eurocomunitario e nazionale, che ha elevato il diritto alla riservatezza al rango di un diritto della personalità, tutelando quindi la libertà dell’individuo, ma anche la protezione dei dati personali che lo riguardano, e il diritto di accedere agli stessi, in ogni momento, potendone chiedere la rettifica, la cancellazione ecc. Il sistema normativo di protezione della privacy, rappresenta dunque una porta sempre aperta verso il futuro, poiché la protezione dei dati personali assume importanza crescente in relazione all’impetuoso emergere di nuovi settori, quali le innovazioni tecnologiche, che comportano l’intervento da parte delle istituzioni di garanzia, onde garantire uno sviluppo tecnologico sostenibile ed eticamente compatibile. E la validità delle istituzioni si misura anche attraverso la loro capacità di sincronizzarsi col futuro, nel senso però, appena accennato.

TitolareResponsabileIncaricato

Rilevazione patrimonio informativoClassificazione dati, hardware e softwareStato dell’arteFormalizzazione dei ruoliAnalisi dei rischi da data breachMisure AdeguateNotifica

Dipendenti ClientiFornitoriAltro

C: FormazioneB: Piano sicurezza informatico

A: Informative e consensi

PROGETTO PRIVACY

IL GDPR IN PILLOLEMANUALE INFORMATIVO PER I RESPONSABILI ED INCARICATI DEL

TRATTAMENTO DEI DATI PERSONALI

In questo manuale troverete le linee guida del trattamento dei dati personali da integrare nelle normali attività quotidiane lavorative.

Analizzeremo le nuove norme in materia di protezione dei dati personali alla luce della normativa europea, estrapolando le ragioni e i motivi alla base della tutale di questo importante bene e quali

siano gli obblighi in materia di trattamento dei dati.

IL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI PERSONALI DELLE PERSONE FISICHE N. 679/2016 (GDPR)

Il Regolamento Generale sulla Protezione dei Dati (in inglese General Data Protection Regulation, da cui la sigla “GDPR”), ufficialmente regolamento (UE) n. 2016/679, è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy.

Con il GDPR, la Commissione europea ha inteso rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell’Unione europea e dei residenti nell’Unione europea, sia all’interno che all’esterno dei confini dell’UE stessa.

Il testo, adottato il 27 aprile 2016, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, ha iniziato ad avere definitivamente

efficacia il 25 maggio 2018, sostituendo la direttiva UE sulla protezione dei dati 95/46/CE e, conseguentemente, la normativa italiana su di essa basata, il “Codice per la protezione dei dati personali” (cd. “Codice privacy” del d.lgs.n. 196/2003).

Il Regolamento garantisce nuovi diritti alle persone fisiche, estendendo la portata delle responsabilità del titolare e del responsabile del trattamento dei dati e potenziando il regime di applicazione, con l’introduzione del rischio di sanzioni pari a un massimo del 4% del fatturato globale annuo del soggetto che commette la violazione.

Le disposizioni del GDPR nascono da precise esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo. In poche parole, l’obiettivo è garantire maggiore sicurezza ai cittadini europei per quanto riguarda la tutela dei loro dati.

COSA CAMBIA DAL 25 MAGGIO 2018

Le precedenti norme sulla protezione dei dati personali sono state integrate dal nuovo Regolamento generale sulla protezione dei dati, così come annunciato dal Consiglio dei Ministri con proprio decreto dell'8 agosto 2018.La portata dei cambiamenti previsti è sostanziale, e ogni soggetto giuridico deve adottare un approccio sistematico e coordinato per garantire la conformità di tutte le operazioni europee. Le persone fisiche vedranno i propri diritti alla privacy considerevolmente rafforzati, con la possibilità di farli valere direttamente contro tutte le persone giuridiche.

Perché il consenso sia valido, l’interessato deve manifestare un’intenzione libera, specifica, informata e supportata da un’inequivocabile manifestazione di accordo. Non è, quindi, legittimo esprimere il proprio consenso in termini generici o collegare il consenso all’esecuzione di un contratto o a una posizione professionale. In ogni caso, inoltre, il soggetto deve poter revocare tempestivamente il consenso prestato.

L’OGGETTO DEL GDPR E LE SUE FINALITÀ

Secondo i primi articoli (artt. 1-3) del nuovo Regolamento, in esso vengono stabilite le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali , nonché le norme relative alla libera circolazione di tali dati, in modo da proteggere i diritti e le libertà fondamentali dei cittadini europei.

Tale trattamento può essere interamente o parzialmente automatizzato e/o non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi, e deve essere effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.

ALCUNE DEFINZIONI

Ma chi è il titolare? Chi è l’interessato? Il GDPR provvede a rispondere a tutte queste domande all’interno dell’art. 4, che contiene tutte le definizioni dei principali nuovi termini inseriti all’interno del testo del Regolamento. Riportiamo qui quelli necessari alla corretta applicazione della nuova normativa sui luoghi di lavoro: “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o

identificabile (“interessato”); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a

uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

“trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

“titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;

“responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

“consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

“violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

“destinatario”: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.

I PRINCIPI DEL GDPR

Una volta conosciuta la nuova terminologia del GDPR, possiamo analizzarne i principi alla base, che portano al nuovo concetto di responsabilizzazione del titolare del trattamento (noto anche nella versione inglese “accountability”), che deve essere in grado di provare che i principi siano stati rispettati durante il trattamento.

I dati personali, secondo gli artt. 5-8 GDPR, devono essere:a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato; b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati; d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati; e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal regolamento a tutela dei diritti e delle libertà dell’interessato;f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate (che possono comprendere la cifratura o la pseudonimizzazione), da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. In una dichiarazione scritta, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.Ove l’interessato sia un minore con un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Il trattamento dei dati personali è, quindi, lecito, ogni qualvolta l’interessato abbia espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità. Ciononostante, il Regolamento riconosce anche altre condizioni che permettono di poter definire “lecito” il trattamento:

il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo, il titolare del trattamento deve tenere in conto di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto, della natura e del contesto in cui i dati personali sono stati raccolti,delle possibili conseguenze dell'ulteriore trattamento e dell’esistenza di garanzie adeguate in tutto il periodo del trattamento.

LE CATEGORIE DEI DATI PERSONALI

All’interno del vasto insieme dei dati personali, il GDPR individua alcune categorie di dati alle quali sono gli artt. 9 e 10, nei quali sono specificate le particolarità del trattamento. In linea generale, infatti, il GDPR vieta il trattamento dei dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Il trattamento di questi dati viene però ammesso laddove l’interessato abbia prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche o qualora sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale.

Ancora, tali categorie possono essere trattate ove sia necessario tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso. Possono, inoltre, trattare queste categorie di dati, con le adeguate garanzie, fondazioni, associazioni o altri organismi senza scopo di lucro che perseguano finalità politiche, filosofiche, religiose o sindacali (a condizione che il trattamento riguardi unicamente i membri) e coloro che trattino dati personali resi manifestamente pubblici dall’interessato. Il GDPR prosegue indicando come siano ammessi i trattamenti di queste categorie di dati necessari per accertare, esercitare o difendere un diritto in sede giudiziaria, necessari per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, necessari per motivi di interesse pubblico nel settore della sanità pubblica, o quelli necessari a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. Nel caso di dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza, il trattamento deve avvenire soltanto sotto il controllo dell’autorità pubblica.

FIGURE SOGGETTIVE COINVOLTE NEL TRATTAMENTO DEI DATI

Titolare del Trattamento DatiResponsabile del trattamento DatiIncaricato del Trattamento Dati (Personale autorizzato)Interessato del trattamento DatiResponsabile della protezione dei dati (RDP/DPO)

TITOLARE DEL TRATTAMENTO

La persona fisica o giuridica che determina la finalità del trattamento dati e, nell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi che incombono sulla libertà e i diritti delle persone fisiche, ha la responsabilità di mettere in atto misure tecniche ed organizzative adeguate, per garantire ed essere in grado di dimostrare la conformità al Regolamento UE 2016/679. Tali misure vanno aggiornate e riesaminate se necessario. Dette misure devono essere preventive, devono tener conto dello stato dell’arte e dei costi di attuazione.

RESPONSABILE DEL TRATTAMENTO

È la persona fisica o giuridica, o ente, dotata di particolari caratteristiche di natura morale e di competenza tecnica, che tratta dati personali per conto del titolare del trattamento dati.La stessa deve presentare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate a garantire la correttezza e la conformità del trattamento dati; deve assistere il titolare nel garantire gli obblighi della predisposizione e messa in atto delle misure di cui sopra (art. da 32 a 36).Le attività del responsabile del trattamento dati sono disciplinate da un atto giuridico a norna dell’Unione o dello Stato membro che vincoli titolare e responsabile all’obbligo del trattamento dati conformemente a quanto stabilito dal Regolamento UE 2016/679.Ove necessario per esigenze organizzative, possono essere designati più responsabili.Su autorizzazione per iscritto del titolare può nominare ulteriori responsabili.

PERSONA AUTORIZZATA/INCARICATO DEL TRATTAMENTO

Persona fisica che materialmente provvede nel quotidiano al trattamento dei dati, secondo le istruzioni del titolare e/o del responsabile

INTERESSATO TRATTAMENTO DEI DATI

Persona fisica cui si riferiscono i dati personali. E’ l’attore principale per il quale nasce il Regolamento UE 2016/679 in questione che detta le condizioni per la tutela e la protezione della persona fisica riguardo al trattamento dei dati personali

RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO/RPD)

Il titolare e/o il responsabile del trattamento dati designano un responsabile del trattamento dati: quando il trattamento è effettuato da un’autorità pubblica o organismo pubblico, ad eccezione

delle autorità giudiziarie; quando le attività di trattamento riguardano trattamenti che per loro natura, ambito di

applicazione e loro finalità richiedono il monitoraggi sistematico su larga scala degli interessati; quando le attività di trattamento riguardano trattamenti su larga scala di dati di tipo particolare,

di tipo giudiziario o dati relativi a condanne penali o reati connessi a misure di sicurezza pubblica.

Il titolare e il responsabile del trattamento dati assicurano che il RPD/DPO sia tempestivamente coinvolto in tutte le questioni riguardanti il trattamento dei dati e sostengono il RPD/DPO nello svolgimento del suo ruolo fornendogli le risorse necessarie.Gli interessati possono contattare il RPD/DPO per tutte le questioni riguardante i trattamenti dei loro dati personali. Il RPD è tenuto alla segreto e alla riservatezza in merito all’adempimento dei propri compiti in conformità del regolamento.Il responsabile della protezione dei dati è incaricato almeno di eseguire i seguenti compiti: informare e fornire consulenza al titolare o al responsabile del trattamento dati nonché agli

incaricati che effettuano i trattamenti circa gli obblighi e le disposizioni previsti dal regolamento UE;

sorvegliare in merito all’applicazione del regolamento UE, sensibilizzare le figure interessate al trattamento dati all’assunzione delle responsabilità e alla necessità della formazione per garantire il rispetto del suddetto regolamento;

fornire un parere in merito alla valutazione d’impatto e sorvegliarne lo svolgimento; fungere da punto di contatto nei confronti dell’autorità di controllo per le questioni riguardanti

la protezione dei dati e, se richiesto, nei riguardi dell’interessato per questioni riguardanti eventuali violazioni.

Nel caso una violazione dei dati personali possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche interessate, il titolare del trattamento deve comunicare la violazione all’interessato fornendo, in un linguaggio semplice e chiaro, una descrizione della stessa, una descrizione delle probabili conseguenze, le misure adottate e quelle da adottare e i dati del DPO. La comunicazione non è richiesta:

o quando il titolare ha messo in atto, per la protezione dei dati in questione, misure tecniche ed organizzative idonee quali pseudonimizzazione o cifratura;

o il titolare ha già provveduto a mettere in atto misure per scongiurare un rischio elevato per i diritti e la libertà delle persone interessate.

o quando la comunicazione richiederebbe sforzi economici ed organizzativi esagerati; in tal caso si procede con una comunicazione pubblica o una misura simile attraverso la quale gli interessati possono essere informati con la stessa efficacia.

In caso di mancata comunicazione in presenza di violazioni con elevato rischio per i diritti e la libertà delle persone fisiche ed in assenza dei presupposti di non obbligatorietà, l’autorità di controllo può chiedere al titolare del trattamento dati di provvedervi quanto prima.

I DIRITTI DELL’INTERESSATO

Come abbiamo letto poco prima, l'interessato è la persona fisica al quale fanno riferimento i dati personali.La normativa di cui al GDPR attribuisce specifici diritti all'interessato, il quale, per l'esercizio di tali diritti, può rivolgersi direttamente al titolare del trattamento. L'interessato può esercitare i suoi diritti anche in un momento successivo a quello in cui ha prestato il consenso, potendo così revocare un consenso già prestato. In particolare, gli artt. 12 e seguenti del GDPR prevedono i seguenti diritti in favore dell'interessato:

diritto di ricevere informazioni su quali dati sono trattati dal titolare; diritto di accesso ai dati; diritto di rettifica; diritto alla cancellazione (c.d. diritto all’oblio); diritto di limitazione di trattamento; diritto di portabilità dei dati; diritto di opposizione; diritto di comunicazione delle violazioni dei dati personali.

DIRITTO DI RICEVERE INFORMAZIONI SU QUALI DATI SONO TRATTATI DAL TITOLARE

Il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato.Ciò avviene tramite l’informativa.L'informativa è una comunicazione rivolta all'interessato che ha lo scopo di informare il cittadino, anche prima che diventi interessato, sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento.Essa è condizione, non tanto del rispetto del diritto individuale ad essere informato, quanto del dovere del titolare del trattamento di assicurare la trasparenza e correttezza dei trattamenti fin dalla fase di progettazione dei trattamenti stessi, e di essere in grado di comprovarlo in qualunque momento (principio di accountability). L'informativa ha anche lo scopo di permettere che l'interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. In questo caso l'informativa non è solo dovuta in base al principio di trasparenza e correttezza, ma è anche una condizione di legittimità del consenso. L'informativa è dovuta ogni qual volta vi sia un trattamento di dati. L'obbligo di informare gli interessati va adempiuto prima o al massimo al momento di dare avvio alla raccolta dei dati. Non sussiste obbligo di fornire l'informativa se il trattamento riguarda dati anonimi (es. aggregati) o dati di enti o persone giuridiche (i cui dati non sono soggetti alla tutela prevista dal regolamento europeo). La persona fisica che effettua il trattamento dei dati per attività a carattere esclusivamente personale e domestico, non è tenuta a fornire l'informativa. Nel caso in cui i dati non siano raccolti direttamente presso l’interessato (art. 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole, e comunque non oltre un mese dalla raccolta dei dati. Oppure va fatta al momento della comunicazione dei dati a terzi. Non occorre informare l'interessato quando:

l’interessato dispone già delle informazioni; comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione o dello

Stato membro cui è soggetto il titolare; i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal

diritto dell'Unione o degli Stati membri. Il Garante privacy italiano, ha ricordato che in alcuni casi non è necessaria l'informativa. Tali ipotesi si verificano quando: i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla

normativa; il trattamento è connesso allo svolgimento delle "investigazioni difensive" in materia penale

(art. 38 norme di attuazione del c.p.p.) o alla difesa di un diritto in sede giudiziaria (a meno che il trattamento si protragga per un periodo superiore a quello strettamente necessario al perseguimento di tali finalità o sia svolto per ulteriori scopi).

L’informativa deve avere il seguente contenuto minimo (articoli 13 e 14 del Regolamento europeo): categorie di dati trattati e finalità del trattamento (non le modalità del trattamento, ma quali dati

vengono trattati divisi per categorie, a quale fine, per quanto tempo sono trattati, se i dati verranno trasferiti all'estero e, in questo caso, attraverso quali strumenti);

la base giuridica del trattamento, quindi se si tratta di trattamento basato su consenso o giustificato da leggi, legittimi interessi (in questo caso specificando quale è il legittimo interesse);

natura obbligatoria o facoltativa del conferimento dei dati e le conseguenze di tale rifiuto (specificando che è possibile rifiutare il consenso a singoli trattamenti, quali per es. quello a ricevere informazioni commerciali);

se il titolare ha intenzione di utilizzare i dati per una finalità diversa da quella per la quale sono stati raccolti;

soggetti destinatari (anche per categorie) ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi (l'indicazione di soggetti terzi non può essere generica);

se il titolare ha intenzione di trasferire i dati in paesi extra UE, nel qual caso se esiste o meno una decisione di adeguatezza della Commissione UE (ovvero se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all'interno del paese terzo, o l'organizzazione internazionale in questione garantiscono un livello di protezione adeguato, per il cui trasferimento non necessita di autorizzazioni specifiche);

il periodo di conservazione dei dati oppure l'indicazione dei criteri per determinarlo; i diritti dell’interessato (diritto di accesso ai dati personali, di ottenere la rettifica o la

cancellazione degli stessi o la limitazione del trattamento che lo riguardino, di opporsi al trattamento, di revocare il consenso, il diritto di presentare reclamo all'autorità di controllo, l'eventuale diritto alla portabilità);

dati identificativi (nome, denominazione o ragione sociale, domicilio o sede) del titolare del trattamento e, se designato, del responsabile per la protezione dei dati (DPO), quindi un recapito al quale gli interessati potranno rivolgersi per esercitare i propri diritti;

se il trattamento comporta processi decisionali automatizzati (come la profilazione) deve essere specificato indicando anche la logica di tali processi decisionali e le conseguenze previste per l'interessato.

All'interno dell’informativa privacy devono essere indicati anche i cookie che veicola il sito, le modalità di disabilitazione dei cookie (es. tramite opzioni del browser), e nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti. Si rimanda ad altro articolo per ulteriori dettagli sulla regolamentazione dei cookie. Si fa presente che l'informativa cookie è una

sezione dell'informativa privacy, non un documento separato, per cui generalmente si ammette che possa essere una pagina diversa da quella che contiene l'informativa privacy, ma quest'ultima deve assolutamente richiamarla (tramite link). Nel caso di dati raccolti presso terze parti, l’informativa deve presentare dei contenuti ulteriori, e cioè l’indicazione delle categorie dei dati personali oggetto del trattamento; l'indicazione della fonte da cui hanno origine i dati personali (che può essere anche fonte

accessibile al pubblico); si omette, invece, l'informazione circa la natura obbligatoria o meno della comunicazione di dati

personali, perché nella fattispecie i dati non sono raccolti presso l’interessato.

DIRITTO DI ACCESSO

L'art. 15 del regolamento generale europeo prevede il diritto di accesso, cioè il diritto di conoscere quali dati personali relativi all'interessato il titolare sta trattando, con quali finalità (non le modalità invece), e di ricevere una copia (gratuita) dei dati. I titolari possono eventualmente anche consentire un accesso diretto ai dati da remoto.

L’interessato ha il diritto di conoscere le finalità del trattamento; le categorie di dati personali trattate; i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in

particolare se destinatari di paesi terzi o organizzazioni internazionali, e le garanzie applicate in caso di trasferimento di dati verso Paesi Terzi;

quando possibile, il periodo di conservazione dei dati personali previsto, oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione di dati personali che lo riguardano o di opporsi al loro trattamento;

l'esistenza del diritto di proporre reclamo ad un'autorità di controllo; qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro

origine; l'esistenza di un processo decisionale automatizzato, compresa la profilazione e le informazioni

significative sulla logica utilizzata, nonchè l'importanza e le conseguenze previste di tale trattamento per l'interessato.

Qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate rispetto alla tutela fornita nel paese terzo.

DIRITTO DI AGGIORNAMENTO E RETTIFICA

L’interessato (art. 16 GDPR) può rivolgersi al titolare del trattamento per ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, ha anche il diritto di ottenere l'integrazione dei dati incompleti, anche fornendo una dichiarazione integrativa. E' uno dei diritti che consente all'interessato di mantenere un controllo attivo sui propri dati, potendone ottenere la correzione, la modifica, l'aggiornamento e l'integrazione, così evitando che il loro uso, compreso il trasferimento, possa generare dei pregiudizi.

DIRITTO ALLA CANCELLAZIONE (OBLIO)

Il diritto alla cancellazione, anche detto diritto "all'oblio", (art. 17 GDPR), che consente all'interessato il diritto di ottenere la cancellazione dei propri dati personali, senza ingiustificato ritardo, da parte del titolare del trattamento in casi particolari. Può essere esercitato anche dopo la revoca del consenso.

DIRITTO DI LIMITAZIONE DEL TRATTAMENTO

Il diritto di limitazione (art. 18 GDPR) consente all'interessato di ottenere il blocco del trattamento in caso di violazione dei presupposti di liceità (quale alternativa alla cancellazione dei dati stessi), ma anche se l'interessato chiede la rettifica dei dati (in attesa della rettifica) o si oppone al loro trattamento (in attesa della decisione del titolare). In caso di esercizio di tale diritto ogni trattamento, tranne la conservazione, è vietato. Il dato deve essere contrassegnato in attesa delle ulteriori valutazioni da parte del titolare.

DIRITTO ALLA PORTABILITÀ

Il diritto alla portabilità dei dati, (art. 20 GDPR) è un nuovo diritto previsto dal regolamento europeo anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico).Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dellínteressato o sulla base di un contratto stipulato con línteressato (quindi non si applica ai dati il cui trattamento si fonda sullínteresse pubblico o sullínteresse legittimo del titolare, per esempio), e solo i dati che siano stati "forniti" dallínteressato al titolare.Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dallínteressato, se tecnicamente possibile.

DIRITTO DI OPPOSIZIONE

In base all'art. 21 GDPR, l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano connessi a ragioni di interesse pubblico o all'esercizio di pubblici poteri (vd art. 6, paragrafo 1, lettera e). L'interessato può opporsi anche al trattamento posto in essere per il perseguimento di legittimi interessi del titolare o di terzi (art. 6, par. 1, lett. f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento, a seguito dell'esercizio del diritto di opposizione deve astenersi dal trattare ulteriormente i dati personali, salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. L'interessato può opporsi anche al trattamento dei dati per fini commerciali, come marketing diretto e la profilazione.

ESERCIZIO DEI DIRITTI

L'interessato può rivolgersi direttamente al titolare del trattamento per l'esercizio dei suoi diritti (interpello). Anche se è solo il titolare obbligato a dare riscontro, il responsabile del trattamento è tenuto a collaborare col titolare ai fini dell'esercizio dei diritti.

In caso di mancata risposta, o di risposta inadeguata, può rivolgersi all'autorità amministrativa (Garante) o giudiziaria per la tutela dei suoi diritti. Il termine per la risposta è di 1 mese per tutti i diritti. Tale termine può essere esteso a 3 mesi in casi di particolare complessità. In questo caso il titolare del trattamento deve comunque avvertire l'interessato entro il mese. L'esercizio dei diritti è in linea di massima gratuito. Spetta comunque al titolare valutare se la risposta è complessa al punto da dover chiedere un contributo all'interessato, e stabilirne l'ammontare, ma solo se si tratta di richieste manifestamente infondate o eccessive o ripetitive (sul punto il Garante italiano dovrebbe pubblicare delle linee guida, per il momento si può fare riferimento alla delibera del 2004 Contributo spese in caso di esercizio dei diritti dell'interessato). La risposta si deve fornire di regola in forma scritta, anche attraverso strumenti elettronici. Può essere orale solo se espressamente richiesta in tal senso dal'interessato. La risposta deve essere chiara, coincisa, e facilmente accessibile e comprensibile. Il titolare può chiedere informazioni all'interessato al fine di identificarlo, e l'interessato è obbligato a fornire tali informazioni.

DEROGHE ALL'ESERCIZIO DEI DIRITTI

Il regolamento europeo ammette delle deroghe ai diritti riconosciuti all'interessato, da stabilire in base a disposizioni nazionali. In tale prospettiva si ritiene possano essere ancora applicate (in attesa della valutazione del Garante sulla conformità al GDPR) le deroghe stabilire dall'articolo 8 del Codice per la protezione dei dati personali italiano, e cioè nei casi in cui il trattamento dati è effettuato: a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni, in materia di riciclaggio; b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive modificazioni, in materia di sostegno alle vittime di richieste estorsive; c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione; d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità; e) ai sensi dell'articolo 24, comma 1, lettera f), limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l'esercizio del diritto in sede giudiziaria; f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata, salvo che possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397; g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della magistratura o altri organi di autogoverno o il Ministero della giustizia; h) ai sensi dell'articolo 53 (trattamenti da parte di forze di polizia), fermo restando quanto previsto dalla legge 1 aprile 1981, n. 121.

PROFILI DI RESPONSABILITÀ E SANZIONI PENALI ED AMMINISTRATIVE

Prima di affrontare la parte pratica di questo corso, è opportuno soffermarci sui profili di responsabilità civile, amministrativa e penale, derivanti dal mancato rispetta del sistema privacy e dei precetti di sicurezza in esso contenuti.Ad una prima occhiata ci si rende subito conto che il Legislatore ha costruito un articolato sistema normativo teso a colpire, sotto molteplici profili, le possibili condotte di violazione della normativa privacy.Sul piano civile, la violazione delle norme in materia di privacy, a cui segua la causazione di un danno patrimoniale o non patrimoniale, determina il diritto dell'interessato ad ottenerne il risarcimento da parte del titolare del trattamento o dal responsabile del trattamento.In ordine al profilo della responsabilità civile del titolare del trattamento o del responsabile del trattamento, l'art.15 del Codice della Privacy (D.lgs n. 163/2003), ha sancito che il tipo di responsabilità in cui incorre chi provoca un danno ad altri per effetto del trattamento dei dati personali è quello risultante dal combinato disposto di detto articolo con l’art. 2050 c.c., rubricato “Responsabilità per l’esercizio di attività pericolose”, ed impone il risarcimento del danno se sono si prova di aver fatto tutto il possibile per evitare il danno stesso (con l’adozione di misure idonee). Inoltre, vi è obbligo di risarcimento anche dei danni non patrimoniali. La norma punisce “chiunque” cagiona ad altri un danno, quindi titolare, responsabili, incaricati, chi tratta dati senza autorizzazione (quest'ultima fattispecie comporta inoltre dei profili di responsabilità sul piano penale). Il titolare del trattamento dovrà provare onde difendersi di aver fatto tutto il possibile per evitare il danno (inversione dell’onere della prova), ossia di aver adottato tutte le misure idonee, non solo, ma tutte le misure idonee offerte dalla tecnica allo stato attuale del momento in cui si verifica il danno, come per es. la conservazione dei dati personali, su supporto cartaceo in appositi armadi blindati, oppure, in caso di conservazione dei dati su banche dati telematiche, la predisposizione di appositi sistemi come gli antivirus o i firewall, per la protezione.

Oltre alla possibilità di risarcimento dei danni patrimoniali e non patrimoniali, l'attuale Legislazione, anche a seguito dell'intervento comunitario, prevede delle sanzioni di carattere penale ed amministrativo, comminate a carico degli autori degli illeciti in materia di trattamento dei dati personali. Osserviamole brevemente.

Le sanzioni amministrative, attualmente previste dagli artt. 83 ed 84 GDPR, sono parametrate sui seguenti elementi: la natura, la gravità e la durata della violazione;

il carattere doloso o colposo della stessa; le misure adottate dal titolare.Le sanzioni amministrative previste prevedono importi fino a 10 milioni di euro a carico delle persone fisiche, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale, mentre invece, nei casi più gravi sono previste sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente

Illeciti penali

I nuovi illeciti penali in materia di privacy sono stati introdotti dal D.lgs n. 51/2018 che ha parzialmente sostituito quelli previsti dal D.lgs n. 196/2003.

Trattamento illecito di dati, art. 43 D.lgs n. 51/2018: la norma in questione stabilisce che salvo che il fatto non costituisca più grave reato, chiunque al fine di trarre un profitto per sé o per altri, procede al trattamento illecito di dati è punito con la reclusione da 6 mesi a 1 di reclusione, o se si tratta di comunicazione o diffusione da 6 mesi a 2 anni; le violazioni più gravi, sono punite con la reclusione da 1 a 3 anni se dall’illecito trattamento deriva nocumento per l’interessatoFalsità nelle dichiarazioni e notificazioni al Garante, art. 44 D.lgs n. 51/2018: il reo è punito con la reclusione da 6 mesi a tre anni, salvo che il fatto costituisca un più grave reato.Misure di sicurezza: chiunque essendovi tenuto, omette di adottare le misure minime di sicurezza, è punito l’arresto sino a due anni o con l’ammenda da 10000 a 24000 €.L’autore di tale reato, all’atto dell’accertamento o successivamente con provvedimento del Garante, può essere posto nella condizione entro 6 mesi di adeguarsi alle misure minime, se l’adeguamento ha luogo esso in una al pagamento della sanzione di un quarto del massimo dell’ammenda stabilita per la contravvenzione, estingue il reato. Inosservanza dei provvedimenti del Garante, art. 45 D.lgs n. 51/2018: reclusione da tre mesi a due anni.Altre fattispecie: il legislatore si è richiamato alle violazioni comprese nello Statuto dei Lavoratori, al quale per comodità rinvio.C’è sempre la pena accessoria della pubblicazione della sentenza per i reati previsti dal codice privacy.

UNITA’ DIDATTICA 2Ora che siamo abbastanza edotti su cosa ci può accadere se non rispettiamo le prescrizioni del Codice in esame, possiamo passare all’analisi delle misure di sicurezza.

Misure di sicurezzaIl Codice Privacy impone le misure di sicurezza la cui violazione abbiamo visto essere sanzionata addirittura come reato, quindi dalla legislazione penale. L’art. 31 disciplina le misure che sono comunemente indicate come idonee, esse sono da adottare in via preventiva onde ridurre al minimo i rischi di distruzione o perdita anche accidentali di dati, accesso non autorizzato ai dati, trattamento non consentito o non conforme alle finalità della raccolta. La sicurezza dei dati non deve essere intesa solo come riduzione del rischio di cui sopra, ma anche come limitazione degli effetti negativi causati dal verificarsi di eventi “traumatici” che abbiano ad oggetto i dati. Come è ovvio esse vanno aggiornate costantemente onde tenerle al passo con l’evoluzione tecnologica. Il legislatore non si ferma qui, difatti all’art. 33 codifica le misure minime di sicurezza, al di sotto delle quali non è assolutamente possibile scendere….L’allegato B al Codice Privacy, anche definito disciplinare tecnico, delinea meglio specificandole e soprattutto concretizzandole, le misure minime da adottare. Esse sono definite come il complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dal’articolo 31. Con l’aiuto dei soliti slides, addentriamoci nel dedalo delle misure di sicurezza.

Le risorse dell’azienda sono: i dati, le informazioni, la manualistica, gli utenti, le apparecchiature elettroniche, i programmi.

Gli obiettivi fondamentali della sicurezza delle risorse, quindi sono la loro disponibilità, la loro riservatezza, la loro integrità. i servizi devono essere preservati nel loro stato, nella loro capacità di soddisfare le esigenze dell’utente, in termini di durata, di tempo di risposta, di priorità di tolleranza alla degradazione. Chiunque non sia autorizzato ad usufruire degli stessi, assolutamente non avrà diritto di accesso. Le risorse devono essere protette dalla distruzione, dall’alterazione e dall’uso non autorizzato.

Anche questi slides si commentano da soli. Mi preme solo chiarire che maggiore è il danno prodotto da una minaccia alla risorsa da tutelare maggiore è il valore della risorsa stessa. Per dirla al positivo il valore di una risorsa è facilmente intuibile e calcolabile in base al danno che un’eventuale minaccia, sia essa volontaria o involontaria, può provocare.Ed ecco quindi un elenco che non ha la presunzione di essere esaustivo, delle minacce volontarie o involontarie che occorrono alle nostre risorse.

In base dunque al valore della risorsa e al danno che si verificherebbe se essa venisse “attaccata”, calcoliamo il cosiddetto Fattore di Rischio, la cui conoscenza è fondamentale per poter implementare le giuste misure di sicurezza, o per meglio dire, l’analisi dei rischi ci aiuta a definire il controllo degli stessi e a porre le necessarie barriere di protezione alle nostre preziose risorse.Il decreto 196/03 la fa breve: i rischi possono consistere nella distruzione o perdita anche accidentale dei dati, nell’accesso non autorizzato o nel trattamento non consentito o non conforme dei dati. Di certo nel panorama vastissimo dei rischi cui è sottoposto un sistema complesso di risorse, questi sono i più frequenti.

È pertanto necessario, adottare contromisure tecniche e non tecniche di protezione. Le prime sono proprie del sistema informatico, le seconde sono propriamente fisiche e procedurali, riguardano inoltre il personale. Altra distinzione possibile tra le misure di sicurezza è mostrata da questo slide: esse sono misure di prevenzione atte cioè a prevenire il danno, misure di contenimento e/o riduzione dello stesso, misure di trasferimento del danno, proprie dei contratti assicurativi, esse aiutano l’azienda a non sopportare tutto il peso di un risarcimento ma non aiutano a prevenire il danno stesso, né pongono rimedio alcuno.

Analizziamo le misure di sicurezza dei centri di elaborazione. Rifacendoci alla distinzione di cui sopra, possiamo dividerle in misure di sicurezza fisiche, elettroniche e procedurali.Nel primo gruppo introduciamo tutte le misure di tipo fisico, ossia quelle che impediscono o rallentano fisicamente il verificarsi di un sinistro: porte blindate, vetri stratificati, inferriate, armadi ignifughi (o al contrario antiallagamento) con serratura, sistemi di spegnimento di incendi ecc.Le difese elettroniche che non possono impedire ma solo rilevare e segnalare il verificarsi di un sinistro sono ad esempio impianti antifurto, impianti di rilevazione degli incendi, impianti di videoregistrazione a circuito chiuso…Le difese di tipo procedurale, infine, hanno il compito di garantire la corretta funzionalità delle difese esaminate or ora, e consistono nelle procedure per l’attivazione delle difese, per il controllo delle stesse, per il loro ripristino in caso di anomalia, procedure per l’intervento in caso di sinistro.È essenziale per una perfetta protezione del centro elaborazione, che le misure di sicurezza siano molto impattanti: ciò vuol dire che il tempo di reazione della misura di sicurezza deve essere molto minore rispetto al tempo di penetrazione (da parte del “sinistro”) delle nostre difese. Un esempio pratico: un buon impianto antincendio segnalerà lo stesso alla primo filo di fumo che colpisca i sensori, anche qualora dovesse essere un falso allarme! Ciò valga per tutte le misure analizzate finora.

Quanto sinora detto vale naturalmente per la protezione esterna dell’ambiente in cui si trova il centro di elaborazione, ma è naturale che lo stesso debba essere protetto anche da tutta una serie di misure di sicurezza informatica, di hardware e software che ne garantiscano l’incolumità.Osserviamo l’elencazione esemplificativa delle stesse ed analizziamole una per volta. Ricordiamo sempre che per legge le misure minime devono essere predisposte, pena sanzioni penali ed amministrative molto pesanti. IDENTIFICAZIONE.Essa consente al sistema di individuare l’utente che sta richiedendo l’accesso allo stesso. Normalmente, nei casi più semplici, consiste in un nome utente o username, che viene richiesto all’ingresso del sistema stesso, o all’ingresso di quella parte di sistema nel quale è possibile l’accesso. Il codice utente, consente non solo di attribuire la responsabilità delle azioni all’utente stesso, ma anche di stabilire i cosiddetti privilegi di accesso. La legge prescrive che esso possa essere utilizzato dallo stesso utente nel tempo, ma non possa essere trasmesso da un utente all’altro (ad esempio se il dipendente X viene trasferito da un reparto all’altro, non potrà cedere il suo codice utente a colui il quale andrà a sostituirlo. AUTENTICAZIONEUna volta identificato l’utente che chiede l’accesso al file interessato dalla misura di sicurezza, è necessario provvedere alla sua identificazione. Essa, normalmente, avviene attraverso l’uso di password segrete con specifiche caratteristiche che le rendono sicure, e che vengono introdotte all’atto dell’accesso. Le password devono essere abbastanza lunghe, almeno otto caratteri, o comunque il massimo dei caratteri che il programma in questione può supportare. Ovviamente non devono essere relative a dati facilmente intuibili come il nome del marito o della moglie, le date di nascita o nomi di personaggi famosi, reali o inventati (Paperino, Pippo Baudo ecc.). ancora un quarto o la metà dei caratteri devono essere numerici, introducendo ad esempio la @ al posto di una

a ecc. insomma seguire accorgimenti atti a rendere particolarmente difficile se non impossibile intuire e decifrare la nostra chiave di accesso personale. Le linee guida presentano una tabella relativa alle caratteristiche delle password, in base al grado di rischio presentato dalle risorse. Ancora le password devono essere modificate all’atto della ricezione ed ogni sei mesi, mentre per quelle aree di accesso che contengono dati sensibili o giudiziari il termine è di tre mesi. Di certo è intuibile che la password personale non deve essere lasciata in giro, magari su un post-it accanto allo schermo del pc! Se inutilizzate per sei mesi, o alla perdita di qualità dell’incaricato le credenziali di autenticazione sono disattivate.Qualora l’accesso ai dati e strumenti elettronici sia consentito solo attraverso l’utilizzo delle credenziali di autenticazione, in caso di assenza prolungata o impedimento dell’incaricato, se l’intervento è indifferibile ed è in gioco la sicurezza del sistema, se ricorrono tutte queste caratteristiche contestualmente il titolare deve aver preso le opportune misure affinché si possa intervenire. Ossia deve aver impartito istruzioni scritte agli incaricati affinché essi: predispongano una copia della parola chiave, provvedendo quindi a trascriverla, facendo però in modo che l’informazione resti segreta (ad esempio, inserendola in una busta chiusa e, possibilmente, sigillata);consegnino tale copia ad un soggetto incaricato della sua custodia preventivamente (l’incaricato della custodia delle parole chiave); in caso di necessità come sopra chiarito, si interviene e dell’intervento è data immediata notizia all’incaricato.

VIRUS INFORMATICII virus sono programmi scritti per danneggiare un computer o una rete, i dati in esso contenuti, o i programmi che lo compongono, l’interruzione totale o parziale o il loro rallentamento. Il nostro sistema penale, ha codificato i reati informatici, e tra essi ci sono anche gli attacchi con virus (art. 615quinquies e segg. c.p.). Essi non sono tutti seri o distruttivi, ma la percentuale di attacchi informatici con virus è molto alta. Si rende dunque necessario proteggere il computer dal “codice maligno”, e renderlo poi in grado di riparare i danni eventuali portati da un attacco del genere.Come è possibile “prendere un virus”? Quali sono i fattori di rischio per un sistema?Diamo un’occhiata agli slides. Riutilizzo di dischetti, uso di programmi prelevati da internet o da riviste, uso di floppy preformattati, collegamenti a siti della rete nei quali il client è sottoposto al rischio di contaminazione poiché ad esempio il browser esegue il virus sulla sua pagina web, prelievo di file, ricezione di applicazioni dall’esterno, utilizzo del pc da più persone, collegamento in internet ed applicazione degli applets java, esecuzione di file attached della posta elettronica. L’enumerazione è solo esemplificativa e non esaustiva. Quali sono dunque i comportamenti da tenere per tentare di evitare l’attacco del virus?NORME DI COMPORTAMENTOBisogna possedere un programma antivirus che sottoponga a scansione i vari supporti utilizzati; prima di aprire un file o eseguire un’applicazione contenuti in un supporto esterno, bisognerebbe controllarlo; non utilizzare il proprio disco sistema su un pc diverso se non è protetto in scrittura; proteggere in scrittura tutti i propri floppy; non avviare da floppy un sistema basato su hard disk, se il disco non è sicuramente pulito; limitare la trasmissione di file eseguibili e di sistema; non utilizzare il server come pc di lavoro; non modificare mai i floppy di programmi originali.Di conseguenza le regole operative sono facilmente spiegate: osserviamo gli slides….

SINTOMI DI INFEZIONEMa come si fa a riconoscere un virus? Dai sintomi del pc! Come un medico ci diagnostica la malattia in base ai sintomi, così osservando il comportamento anomalo del nostro pc possiamo renderci conto se siamo stati attaccati da un virus, e prima lo facciamo maggiori sono le probabilità di limitare i danni.

Quali sono i sintomi: ad esempio una riduzione dello spazio su disco rigido, la tastiera che produce suoni strani, i programmi che impiegano più tempo a caricarsi, i file che appaiono e scompaiono, o cambiano nome, le unità disco sono spesso in attività o inaccessibili, appaiono oggetti o testi inusuali sullo schermo: e tutto quello che la fantasia malata di questi programmatori riesce a concepire.

DIFESA INFORMATICA PREVENTIVALe misure minime di sicurezza, in materia di antivirus e firewall, sono probabilmente troppo ottimiste. La legge prescrive che l’aggiornamento di tali programmi sia annuale, ma qualora si tratti di dati sensibili o giudiziari, avvenga con cadenza semestrale. Chiunque conosca la mola dei virus che circola e abbia un minimo di dimestichezza con internet, tanto per fare un esempi, sa che l’aggiornamento dell’antivirus è almeno quindicinale!Così come per ciò che riguarda il back up dei dati, la legge prescrive che sia settimanale, ma sappiamo che se fosse giornaliero sarebbe decisamente più sicuro.Analizziamo il firewall: letteralmente il muro di fuoco, ossia una barriera insormontabile che blocca l’accesso ad un qualcosa. L’obiettivo del firewall è quello di proteggere una rete da un’altra con la quale comunica che sia esterna o una parte della stessa rete interna privata, consentendo comunque lo scambio di traffico tra le due. Esso determina se un pacchetto di dati o una richiesta di connessione di un utente alla nostra rete abbiano o meno il diritto di passare. Sono di due tipi, quelli software, che sono economici ma penalizzano le caratteristiche della rete, o hardware, che al contrario impongono una notevole spesa, ma non penalizzano le prestazioni della rete, possono essere anche concepiti come una combinazione di uno o più computer, software e networking. L’ente che certifica la validità di un prodotto firewall è l’ICSA che ha tra l’altro individuato tre tipi di firewall.

1) Packetfiltering che consiste nel porre tra le reti i router che filtrano i pacchetti di dati e consentono il passaggio solo a quelli con indirizzi IP o dati contenuti nella testata del messaggio che sono stati autorizzati diciamo legalizzati da chi ha impostato il firewall ossia l’amministratore di rete, ma la garanzia di tale firewall è labile poiché un host è in grado di cambiare un indirizzo IP, trasformarlo in uno consentito ed accedere alla rete indisturbato.

2) Application gateway, esso intercetta il traffico ed autentica gli utenti. Un utente privato accede a questo proxy, viene autenticato, e così avrà accesso al server remoto che si trova sulla rete esterna. Sarà necessario predisporre un proxy per ogni applicazione. Tutti gli host della rete interna presenteranno l’indirizzo del proxy, nascondendo così i loro indirizzi sulla rete esterna.

3) PacketInspection, a differenza degli altri, questo firewall presenta maggiori garanzie, poiché esso analizza non solo l’indirizzo IP ma il contenuto del pacchetto stesso che sta tentando di entrare e scambiare traffico con la nostra rete.

I firewall in commercio comunque sono vari e disparati, essi combinano più tecniche e visto che nulla possono contro i virus, oggi i produttori inseriscono in essi anche programmi antivirali, che combinano le due cose e rendono maggiormente sicura la nostra rete. È opportuno sapere che esistono i cosiddetti IDS ossia IntrusionDetectionSistem, strumenti evoluti che consentono riconoscere gli attacchi attraverso il monitoraggio, rilevamento e prevenzione della violazione in tempo reale.

Dei back up abbiamo parlato in precedenza, aiutiamoci con lo slide e notiamo che non è solo necessario effettuare il back up, ma anche poi conservare questi supporti, verificarne la validità ecc. un buon sistema di back up consente di recuperare tutti i dati persi al momento del disastro e riportare il sistema allo stesso stato in cui si trovava.

GRUPPI DI CONTINUITA’Guardiamo lo slide.

AUDITINGConsente di controllare gli accessi al sistema e alle risorse permettendo altresì di attribuire la responsabilità delle operazioni effettuate agli operatori. Un audit trail è un metodo automatico per registrare tutte le transazioni che si verificano su una rete, e gli eventi che si verificano in un sistema. Consente, pertanto, di individuare attacchi dall’esterno, nonché l’attività degli utenti autorizzati. Le misure di verifica a posteriori degli attacchi, non sono dalla legge contemplate, ma sono necessarie onde stabilire, a livello interno le responsabilità.

CIFRATURA E CRITTOGRAFIALe misure minime di sicurezza impongono per il trattamento di dati idonei a rivelare lo stato di salute o la vita sessuale contenuti in elenchi o registri o in banche dati con l’ausilio di strumenti elettronici, devono essere cifrati. Essi cioè devono essere resi non intelligibili se non si possiede la chiave di decodifica. Più in generale che cosa è la crittografia?Essa consiste in una tecnica che consente di trasmettere i dati in sicurezza poiché solo il destinatario che possieda la chiave di decodifica potrà leggerli.Può essere a chiave semplice o simmetrica e a chiave pubblica o asimmetrica. Nella prima entrambi i soggetti utilizzano la stessa chiave di codifica e decodifica: esempio banale ad ogni lettera corrisponde il numero che essa occupa nell’alfabeto, per convenzione tra i soggetti. È chiaro che tale accordo deve essere scambiato prima della trasmissione e su canale sicuro, non impone l’uso di attrezzature troppo potenti ma devono essere utilizzate chiavi diverse per ogni persona o gruppo di persone che comunicano scambiandosi i dati.Al contrario la seconda prevede che i soggetti abbiano due chiavi una segreta che va custodita e conservata ed un pubblica che può essere distribuita con tranquillità perfino a concorrenti. Il mittente codifica il messaggio da spedire con la chiave pubblica del destinatario e per la caratteristica dei logaritmi di questa chiave non può più leggere il messaggio a meno che non ne abbia una copia (del messaggio). Il destinatario legge con la sua chiave privata il messaggio, che è arrivato in tutta sicurezza e protezione. Sugli stessi algoritmi si basa la firma digitale che consente tra l’altro non solo di attribuire con certezza un documento ad un soggetto, ma anche di evitare, quindi, che lo stesso soggetto che lo ha firmato possa ripudiarlo (si pensi a quanto è importante nella stipula di contratto nello scambio di informazioni ecc.) oggi, poiché la legge ha attribuito validità alla firma digitale, esistono delle autorità che certificano la autenticità della firma, un po’ come il Comune che rilascia la autentica delle firme.Attraverso poi la funzione di hash monodirezionale, si garantisce l’autenticità del testo con un sistema semplice nella sua complessità: immaginiamo di passare al tritacarne il corpo del messaggio, ottenendo come risultato un numerosi “n” cifre, all’arrivo al destinatario del messaggio stesso, questi con la stessa funzione di hash, passerà anch’egli il messaggio al tritacarne: il risultato dovrebbe coincidere, e se così non fosse significherebbe che il messaggio è stato alterato nel corso del suo viaggio dal mittente al destinatario.

DISASTER RECOVERYIl piano di disaster recovery, contenuto nel dps, riassume nel dettaglio tutte le operazioni da effettuare per porre rimedio alla catastrofe eventualmente occorsa alle nostre risorse. Non è più nella sfera preventiva quindi che ci si strova, ma in quella successiva al verificarsi dell’evento dannoso. Qui entra in gioco tutto il lavoro svolto, vengono messe alla prova le sinergie dell’azienda, siamo dunque alla svolta decisiva: se il dps è stato ben redatto se la formazione ha dato i suoi frutti, se le regole di base sono state rispettate il danno sarà minimo, a volte inesistente.

Ricordiamo che la legge prescrive che entro 15 giorni dalla richiesta di informazioni avanzata dall’interessata, il titolare deve provvedere ad una risposta: di conseguenza bisogna essere pronti a ristabilire il normale andamento del trattamento dei dati, entro 15 giorni. Dunque: il piano di disaster recovery deve elencare quali sono i rischi a cui va incontro il nostro sistema e quali tipi di improduttività potrebbe causare il verificarsi di un evento classificato come rischio; ancora deve stabilire quali sono le funzioni prime che devono essere ripristinate in base alla loro essenzialità.Bisogna inoltre scrivere le istruzioni di ripristino, che riguardano ad esempio le persone da contattare di ciascun reparto, i luoghi in cui sono conservati i supporti con i dati di back up, i fornitori di nuovi pc, ecc. E’ ovvio, che il piano di disaaster recovery, va revisionato, reso comprensibile anche ai non addetti ai lavori, tenuto aggiornato in base all’avanzare dello sviluppo tecnologico dell’azienda. Non è una unità cristallizzata che viene posta in essere una volta per tutte.

INTRODUZIONE · Web view(art. 615 ter Accesso abusivo ad un sistema informatico o telematico; art....

Documents

Transcript of INTRODUZIONE · Web view(art. 615 ter Accesso abusivo ad un sistema informatico o telematico; art....