Mod. Iv Aa 08 09
-
Upload
massimo-farina -
Category
Technology
-
view
870 -
download
5
description
Transcript of Mod. Iv Aa 08 09
1
Diritto dell’Informatica e delle Nuove TecnologieDocente: Massimo Farina
http://[email protected]
A.A. 2008/09Corso di Laurea Specialistica in
Ingegneria delle Telecomunicazioni
MODULO IV
2
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
MODULO IV
Privacy e Trattamento dei Dati Personali
3
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Linee Fondamentali del Codice Privacy
SOMMARIO
Principi
Principali Adempimenti D.lgs. 196/03
Definizioni
Responsabilità, Sanzioni e Tutela
4
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Linee Fondamentali
5
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
CODICE DELLA PRIVACY
Art. 1Chiunque ha diritto alla
protezione dei dati personali che lo riguardano
Art. 2
Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonchédella dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali
6
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Costituzione della Repubblica
Art. 2
la repubblica riconosce e garantisce i diritti inviolabili dell'uomo, sia come singolo sia nelle formazioni sociali, ove si svolge la sua personalità, e richiede l'adempimento dei doveri inderogabili di solidarietà politica,
economica e sociale
Art. 21 tutti hanno diritto di manifestare liberamente il proprio pensiero con la parola, lo scritto e ogni altro mezzo di diffusione.
si compone di 3 parti:
I I –– Disposizioni GeneraliDisposizioni Generali
II II –– Disposizioni Relative a Settori SpecificiDisposizioni Relative a Settori Specifici
III III –– Tutela dell'Interessato e SanzioniTutela dell'Interessato e Sanzioni
……. e . e didi 3 3 allegatiallegati
A – Codici Deontologici (storici, statistici, giornalisti)
B – Disciplinare Tecnico
C – Trattamenti in ambito giudiziario ......
Struttura del Codice
8
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Le definizioni
9
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione,
ivi compreso un numero di identificazione personale
DATI PERSONALI
i dati personali idonei a rivelare […] informazioni in materia di casellario giudiziale, di anagrafe delle sanzioni amministrativedipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale […]
DATI GIUDIZIARI
i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale
DATI SENSIBILI
10
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati
TRATTAMENTO DEI DATI
11
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
� ADEMPIMENTI VERSO L’AUTORITÀGARANTE
� ADEMPIMENTI VERSO GLI INTERESSATI
� ADEMPIMENTI INTERNI (O ORGANIZZATIVI)
Notificazione
Autorizzazione
Informativa
Richiestadi consenso
Misure minime di sicurezza
I PRINCIPALI ADEMPIMENTI
12
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Notificazione
Come si notifica?
Art. 38. Modalità di notificazione [II] La notificazione è validamente effettuata solo se ètrasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione. [Tramite il sito www.garanteprivacy.it]
13
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Notificazione
Quante volte si notifica?
Art. 38. Modalità di notificazione [IV] Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima.
14
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Autorizzazione
previsto per tutti i titolari che trattano dati sensibili e giudiziari
Art. 26. Garanzie per i dati sensibili.1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento ètenuto ad adottare.
15
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Tenuto conto dell’altissimo numero di soggetti interessati, il legislatore ha previsto le “Autorizzazioni Generali” concesse a
determinate categorie di titolari o di trattamenti
• Autorizzazione generale n. 1/2008 del 19 giugno 2008 “Trattamento dei dati sensibili nei rapporti di lavoro”
• Autorizzazione generale n. 2/2008 del 19 giugno 2008 “Trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale”
• Autorizzazione generale n. 3/2008 del 19 giugno 2008 “Trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni”
• Autorizzazione generale n. 4/2008 del 19 giugno 2008 “Trattamento dei dati sensibili da parte dei liberi professionisti”
• Autorizzazione generale n. 5/2008 del 19 giugno 2008 “Trattamento dei dati sensibili da parte di diverse categorie di titolari”
• Autorizzazione generale n. 6/2008 del 19 giugno 2008 “Trattamento dei dati sensibili da parte degli investigatori privati”
• Autorizzazione generale n. 7/2004 del 19 giugno 2008 “Trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti
pubblici”
16
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
INFORMATIVA
Art. 13. Informativa.
L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:
I soggetti che effettueranno il trattamento
La finalitàdel
trattamento
La modalitàdel
trattamento
I diritti dell’interessato
17
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
La Forma dell’Informativa
L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o
per iscritto […](art. 13 D.lgs. 196/03)
LA FORMA E’ LIBERA
E’ tuttavia consigliabile la forma scritta
quale prova dell’avvenuta comunicazione
18
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Consenso dell’interessato
Art. 23. Consenso.[I] Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.
REQUISITI DI VALIDITA’
FORMA
•Espresso•Libero•Documentato per iscritto
•Scritta soltanto in casi di trattamento di dati sensibili
19
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Casi nei quali può essere effettuato il trattamento senza
consenso (art. 24)
a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa
comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato […];
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque,
fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria
stabiliscono per la conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente
normativa in materia di segreto aziendale e industriale;
e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo.
f) […] è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre
2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria […]
g) […] è necessario, nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per
perseguire un legittimo interesse del titolare o di un terzo
h) […] è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in
riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di
scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo
[…]
20
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Disciplinare Tecnico
“Misure Minime di Sicurezza”.
MISURE MINIME DI SICUREZZA
MISURE IDONEE DI SICUREZZA
21
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
1. Modifica dopo il primo utilizzo, ogni 6 o 3 mesi a seconda dei dati trattati
2. Disattivazione in caso di non uso per almeno 6 mesi o di perdita della qualità che permette l’accesso ai dati
3. Garanzia della disponibilità dei dati o degli strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che goda delle credenziali di autenticazione
GESTIONE DELLE CREDENZIALI DI AUTENTICAZIONE
1. Lunghezza minima della password di 8 caratteri,
2. non riconducibile al soggetto
CARATTERISTICHE DELLE CREDENZIALI DI AUTENTICAZIONE
22
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Privacy e sicurezza 22
“Misure minime di sicurezza”VS
“Misure idonee di sicurezza”
art. 4 comma 3 del D.Lgs. 196/03: “Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31”.
È NECESSARIO PRESTARE ATTENZIONE ALLA DISTINZIONE TRA MISURE MINIME DI SICUREZZA E MISURE IDONEE DI SICUREZZA
NESSUNA DEFINIZIONE NORMATIVA: sono individuabili sulla base delle soluzioni tecniche concretamente disponibili sul mercato, mentre le misure minime sono puntualmente individuate dalla legge (in particolare dall'allegato B)”.
MISURE MINIME
MISURE IDONEE
23
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Privacy e sicurezza 23
Responsabilità di tipo amministrativo e penale
CONSEGUENZE DIVERSE PER IL MANCATO RISPETTO DELLE MISURE MINIME DI SICUREZZA E DELLE MISURE IDONEE DI SICUREZZA
Responsabilità Civile ex art. 2050 c.c.
MISURE MINIME
MISURE IDONEE
“Misure minime di sicurezza”VS
“Misure idonee di sicurezza”
24
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
•Almeno annuale per dati comuni•Almeno semestrale per dati sensibili e/o giudiziari
AGGIORNAMENTI PERIODICI DEI PROGRAMMI PER ELABORATORE
Attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
PROTEZIONE CONTRO IL RISCHIO DI INTRUSIONE
Verifica almeno annuale delle condizioni per l’autorizzazione
SISTEMA DI AUTORIZZAZIONE
25
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Ripristino entro il termine massimo di una settimanaDISASTER RECOVERY
salvataggio dei dati con frequenza almeno settimanaleBACK UP
26
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
� l’elenco dei trattamenti � i compiti e le responsabilità dei soggetti incaricati al trattamento
� l’analisi dei rischi con l’indicazione delle misure che sono adottate al fine di garantire l’integrità e la disponibilità dei dati
� la protezione delle aree e dei locali in relazione alla loro custodia ed accessibilità
DOCUMENTO PROGRAMMATICO PER LA SICUREZZA
27
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
� gli interventi formativi in tema di analisi dei rischi che incombono sui dati
� l’analisi dei rischi con l’individuazione delle modalitàche possono essere poste a favore del ripristino della disponibilità dei dati qualora si verifichino episodi di distruzione o danneggiamento
� i criteri per l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all’esterno della struttura (outsourcing)
� criteri adottati per la separazione dei dati sensibili da quelli comuni.
DOCUMENTO PROGRAMMATICO PER LA SICUREZZA
28
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
� Protezione contro l’accesso abusivo con strumenti hardware e software
� Attenta gestione dei supporti magnetici rimovibili
� Ripristino della disponibilità dei dati entro sette giorni
� Particolari misure fisiche e logiche di protezione per i dati genetici – cifratura –
DOCUMENTO PROGRAMMATICO PER LA SICUREZZA
29
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Quali sono i titolari obbligati a redigere il D.P.S. ?
CONTRASTO TRA ART. 34 LETT. G) D.LGS. 196/03
E
DISCIPLINARE TECNICO “ALLEGATO B”
tenuta di un aggiornato
documento programmatico sulla
sicurezza per chiunque tratta
dati personali su supporti
elettronici (art. 34 lett. g)
il documento programmatico
sulla sicurezza va redatto dai
Titolari di un trattamento di dati
sensibili o giudiziari (punto 19.1
all. b)
30
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
L’art. 34 ha valore di legge (fonte primaria) e prevale
sull’allegato b che ha
valore regolamentare (fonte secondaria)
1
“In base al nuovo Codice, la misura minima del DPS
deve essere ora adottata dal titolare di un trattamento di
dati sensibili o giudiziari effettuato con strumenti
elettronici”
Punto 2.2 Parere garante 22 marzo 2004
2
SOLUZIONE
Il DPS deve essere redatto dal titolare del trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici
31
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
PERCHE’
Il codice della Privacy impone una nuova metodologia di lavoro che
comporta impiego di risorse umane ed economiche
E’ consigliabile redigere sempre un documento riepilogativo
Sullo stato di adeguamento privacy della propria azienda
E’ FONDAMENTALE
Tenere traccia di quanto è stato fatto nella propria struttura aziendale per
il corretto trattamento dei dati personali
32
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
NON SI TRATTA DEL D.P.S.
Il titolare che alla data di entrata in vigore del presente codice dispone di
strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto
o in parte l'immediata applicazione delle misure minime di cui all'articolo 34 e
delle corrispondenti modalità tecniche di cui all'allegato B), descrive le
medesime ragioni in un documento a data certa da conservare presso la
propria struttura
Art. 181 comma 2, d.lgs. 196/03
Documento recante “data certa”
33
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
IL D.P.S. NON VA ALLEGATO AL BILANCIO
Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta
redazione o aggiornamento del documento programmatico sulla sicurezza
Punto 26 all. b)
Relazione accompagnatoria di bilancio
34
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Altri adempimenti interni(nomine ed incarichi)
35
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
ATTO DI NOMINA DEL RESPONSABILE DEL TRATTAMENTO DATI [VEDI ESEMPIO]
�ATTO DI NOMINA DELL’INCARICATO DEL TRATTAMENTO DATI [VEDI ESEMPIO]
ATTO DI NOMINA DELL’AMMINISTRATORE DEL SISTEMA INFORMATIVO [VEDI ESEMPIO]
ATTO DI NOMINA CUSTODE PAROLE CHIAVE [VEDI ESEMPIO]
36
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Responsabilità, Sanzioni e Tutela
37
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
�AMMINISTRATIVA Artt. 161- 166
�CIVILE Art. 15
�PENALEArtt. 167- 172
IL CODICE PREVEDE TRE TIPI DI RESPONSABILITÀ:
38
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
TITOLO III Sanzioni.
Capo I - Violazioni amministrativeArtt. 161-166
L'organo competente ad irrogare le sanzioni amministrative è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni.
39
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
DA €. 3.000 a 18.000
SE RIGUARDA DATI COMUNI
art. 161 – OMESSA O INIDONEA INFORMATIVA ALL’INTERESSATO
DA €. 5.000 a 30.000
SE RIGUARDA DATI SENSIBILI
MOLTIPLICABILE PER TRE IN RELAZIONE ALLE CONDIZIONI ECONOMICHE DEL CONTRAVVENTORE
40
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
art. 163 – Omessa o incompleta notificazione al garante
Art. 164 – Omesso invio di informazioni o documenti richiesti dal garante
da €. 10.000 a 60.000
da €. 4.000 a 24.000
41
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
RESPONSABILITA’ CIVILE
Art. 15. Danni cagionati per effetto del trattamento.Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.
Art. 2050 c.c.:Responsabilità per l'esercizio di attività pericolose.
Chiunque cagiona danno ad altri nello svolgimento di un’attività
pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto
al risarcimento, se non prova di avere adottato tutte le misure idonee
a evitare il danno
42
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
RESPONSABILITA’ PENALE
Art. 15. Danni cagionati per effetto del trattamento.Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.
Art. 2050 c.c.:Responsabilità per l'esercizio di attività pericolose.
Chiunque cagiona danno ad altri nello svolgimento di un’attività
pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto
al risarcimento, se non prova di avere adottato tutte le misure idonee
a evitare il danno
43
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Art. 168 – FALSITÀ NELLE DICHIARAZIONI E NOTIFICAZIONI AL GARANTE
Art. 167 – TRATTAMENTO ILLECITO DI DATI PERSONALI
1. se dal fatto deriva nocumento, reclusione da sei a diciotto mesi
2. se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
TITOLO III Sanzioni.
Capo II – Illeciti PenaliArtt. 167-172
salvo che il fatto costituisca piùgrave reato, con la reclusione da sei mesi a tre anni
44
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Art. 170 – INOSSERVANZA DEI PROVVEDIMENTI DEL GARANTE
Art. 169 – OMISSIONE DI ADOZIONE DELLE MISURE MINIME DI SICUREZZA
arresto sino a due anni o ammenda da €. 10.000 a 50.000.
reclusione da tre mesi a due anni
RAVVEDIMENTO OPEROSOAll'autore è impartita una prescrizione fissando un termine per la regolarizzazione. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato èammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione.
45
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Art. 168 – FALSITÀ NELLE DICHIARAZIONI E NOTIFICAZIONI AL GARANTE
Art. 167 – TRATTAMENTO ILLECITO DI DATI PERSONALI
1. se dal fatto deriva nocumento, reclusione da sei a diciotto mesi
2. se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
Forme di tutela
salvo che il fatto costituisca piùgrave reato, con la reclusione da sei mesi a tre anni
46
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
TUTELA GIURISDIZIONALE TUTELA AMMINISTRATIVAGIUDICE ORDINARIO GARANTE
Per il risarcimento dei danni l’unica forma di tutela
ammessa è quella davanti al Giudice Ordinario
Forme di tutela
47
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
I PIU’ RECENTI INTERVENTI DEL GARANTE PRIVACY
LE REGOLE PER GLI AMMINISTRATORI DI SISTEMA
LE REGOLE PER LA ROTTAMAZIONE DIAPPARECCHIATURE
ELETTRICHE ED ELETTRONICHE
Provvedimenti a carattere generale - 13 ottobre 2008
G.U. n. 287 del 9 dicembre 2008
Provvedimenti a carattere generale - 27 novembre 2008G.U. n. 300 del 24 dicembre 2008)
48
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
AMMINISTRATORI DI SISTEMA
Comunicato stampa - 14 gennaio 2009
AMMINISTRATORI DISISTEMA
Soggetti che vigilano sul corretto utilizzo dei sistemi informatici
di un'azienda o di
una pubblica amministrazione.
L’amministratore di sistema non è semplicemente il manutentore della struttura informatica ma è il “garante informatico”
della protezione delle informazioni personali unitamente al titolare.
49
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
AMMINISTRATORI DI SISTEMA
Comunicato stampa - 14 gennaio 2009
Non è una figura nuova nell’ordinamento italiano. Esisteva già nel Regolamento attuativo (DPR 318/1999) della legge
675/1996.
Esistevano due figure:
1. il preposto alla custodia della parola chiave 2. l’amministratore di sistema. (abrogato dall'art. 183, D.Lgs. n. 196/03)
50
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
AMMINISTRATORI DI SISTEMA
Comunicato stampa - 14 gennaio 2009
1. Deve trattarsi di un soggetto affidabile.
“….a. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di amministratore di sistema
deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto
designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di
trattamento, ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di
sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai
sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione
equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29".
2. Si deve procedere alla designazione individuale ovvero occorre predisporre apposita nomina
scritta con il profilo di operatività corrispondente al profilo di autorizzazione assegnato.
51
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
AMMINISTRATORI DI SISTEMA
3. Devono essere resi noti al pubblico e ai lavoratori gli estremi identificativi dell’amministratore di sistema tramite
menzione nel DPS.
“….c. Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco
delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il
titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di
accertamenti da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi
che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono
tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le
caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi
dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure
tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in
alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o
bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento
che disciplinino uno specifico settore”.
52
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
AMMINISTRATORI DI SISTEMA
4 Si deve procedere alla verifica delle relative attività mediante controllo almeno annuale.
5 Devono essere adottati sistemi idonei alla registrazione degliaccessi.
“….f. Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integritàadeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi”.
53
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
LA ROTTAMAZIONE DI APPARECCHIATURE ELETTRICHE ED ELETTRONICHE
Comunicato stampa - 05 dicembre 2008
Misure tecniche preventive
È bene proteggere i file usando una password di cifratura, oppure memorizzare i dati su hard disk o su altri supporti magnetici
usando sistemi di cifratura automatica al momento della scrittura.
Misure tecniche di cancellazione sicura
La cancellazione sicura delle informazioni su disco fisso o su altri supporti magnetici è ottenibile con programmi informatici di
"riscrittura" che provvedono - una volta che l'utente abbia eliminato dei file dall'unità disco con i normali strumenti previsti dai
sistemi operativi (ad es., con l'uso del "cestino" o con comandi di cancellazione) - a scrivere ripetutamente nelle aree vuote del
disco. Si possono anche utilizzare sistemi di formattazione a basso livello degli hard disk o di "demagnetizzazione", in grado di
garantire la cancellazione rapida delle informazioni.
Smaltimento di rifiuti elettrici ed elettronici
Per la distruzione degli hard disk e di supporti magnetici non riscrivibili, come cd rom e dvd, è consigliabile l'utilizzo di sistemi di
punzonatura o deformazione meccanica o di demagnetizzazione ad alta intensità o di vera e propria distruzione fisica.
54
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Smaltimento di rifiuti elettrici ed elettroniciPer la distruzione degli hard disk e di supporti magnetici non riscrivibili, come cd rom e dvd, è consigliabile l'utilizzo di sistemi di punzonatura o deformazione meccanica o di demagnetizzazione ad alta intensità o di vera e propria distruzione fisica.
Con questo provvedimento il Garante intende sviluppare una nuovaconsapevolezza e indicare i modi con i quali rispettare i dati degli altri e tutelarsi rispetto ai propri – commenta Giuseppe Fortunato -La vecchia regola aurea, aggiornata ai nostri tempi vale anche in questo caso: "Non fare ai dati degli altri quello che non vorresti fosse fatto ai tuoi".
LA ROTTAMAZIONE DI APPARECCHIATURE ELETTRICHE ED ELETTRONICHE
Comunicato stampa - 05 dicembre 2008
55
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
Grazie per l’attenzione
56
Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina
A.A. 2008/09Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
LICENZA
Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5
� Tu sei libero:� di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare
l'opera � di creare opere derivate � Alle seguenti condizioni:
� Attribuzione. Devi riconoscere il contributo dell'autore originario. � Non commerciale. Non puoi usare quest’opera per scopi commerciali. � Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi
distribuire l’opera risultante solo per mezzo di una licenza identica a questa. � In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di
quest’opera. � Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni. � Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra