Privacy e Sicurezza Informatica• Black hat: hacker “cattivo”, che sfrutta la propria abilità...

Privacy e Sicurezza Informatica

Prof. Francesco Buccafurri

Università Mediterranea di Reggio Calabria

1

Crescita di Internet

1.776.000 3.212.000 8.200.00016.729.00026.053.00036.739.00056.218.000

93.047.000

125.888.000

162.128.000171638297

233.101.481

317.646.084

439.286.364

489.774.269

570.937.778

0

100.000.000

200.000.000

300.000.000

400.000.000

500.000.000

600.000.000

1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008

2

Problemi

• Internet consente alle aziende di– Effettuare commercio elettronico– Fornire un migliore servizio ai clienti– Ridurre i costi di comunicazione– Accedere facilmente alle informazioni

• …tuttavia…

• … espone i computer all’azione di attacchi daparte di malintenzionati– Il numero di incidenti aumenta di anno in anno– Le perdite finanziarie hanno raggiunto livelli

misurabili in miliardi di dollari

3

Il worm di Morris• Il 2 Novembre 1988 Internet fu colpita dal Worm di

Morris– Il virus sfruttava bug del sistema operativo Unix per

penetrare negli host attraverso la rete– In una sola ora i computer di molti centri di ricerca

furono inutilizzabili, perché sovraccaricati da molteplici copie del worm

• Per bloccare il virus fu formato un team di esperti – Furono sviluppate e divulgate le procedure per lo

"sradicamento" del worm – In una settimana tutto tornò alla normalità

• Data la potenzialità del virus, i danni furono minimi, ma ci si rese conto dei rischi legati ad Internet

4

CERT Computer Emergency Response Team

• Team di esperti nell’ambito della sicurezza– Creato dal DARPA (Defense Advanced Research Projects

Agency) in seguito all’attacco del worm• Si occupa di

– Identificare il tipo di incidenti – Quantificare le perdite economiche– Analizzare le vulnerabilità dei prodotti

5

Incidenti riportati al CERT

2.340 2.412 2.573 2.134 3.7349.859

21.756

52.658

82.094

137.529

0

20.000

40.000

60.000

80.000

100.000

120.000

140.000

160.000

1994 1995 1996 1997 1998 1999 2000 2001 2002 2003

6

Indagine CSI/FBI

• Nel 2004, su 494 intervistati (aziende, agenzie governative, università, ospedali, etc…)

– Il 90% ha riportato incidenti legati alla sicurezza• I danni più seri riguardano il furto di informazioni delicate e le

frodi finanziarie– Il 75% ha subito danni economici

• Solo il 47% è stato in grado di quantificare i danni– Il 74% ritiene che la connessione ad Internet costituisca il

maggior punto di attacco– Solo il 34% ha denunciato gli incidenti subiti

• Tutti gli altri non lo hanno fatto per evitare pubblicità negativa

7

Hacker• Steven Levy, Hackers: Heroes of the Computer Revolution

– tipo positivo, studente di MIT o Stanford– ideale: rendere la tecnologia accessibile a tutti– risolvere i problemi e creare soluzioni

• Più recentemente, nei media:– tipo negativo– sfrutta buchi di sicurezza

8

Hacker(tipo positivo)

Una persona che ama esplorare i dettagli dei sistemi informatici e i modi con cui estenderne le capacità, contrariamente alla maggioranza degli utenti, che impara solo lo stretto necessario.

Chi programma con entusiasmo o che preferisce programmare piuttosto che disquisire sulla programmazione.

• Guy L. Steele, et al., The Hacker's Dictionary

9

Hackerclassificazione

• Cracker: programmatori specializzati nell’infrangere sistemi di sicurezza per sottrarre o distruggere dati

• Script Kiddie: cracker che adoperano script scritti da altri, non essendo in grado di produrli da sè

• Phracher: rubano programmi che offrono servizi telefonici gratuiti o penetrano computer e database di società telefoniche

• Phreaker: utilizzano informazioni telefoniche (numeri telefoni, carte telefoniche,…) per accedere ad altri computer

10

Hackerclassificazione

• Black hat: hacker “cattivo”, che sfrutta la propria abilità per delinquere

• White hat: hacker che si ritiene moralmente e legalmente integerrimo

• Grey hat: una via di mezzo tra white e black hat

• Termini coniati nel 1996, in occasione della prima conferenza Black Hat Briefings, a Las Vegas

11

Il Reato Informatico

• “ogni condotta antigiuridica disonesta o non autorizzata concernente l’elaborazione automatica e/o la trasmissione dei dati” (Commissione Esperti dell’OECD - Organisationfor Economic Co-operation and Development, 1983)

• “qualsiasi atto o fatto contrario alle norme penali nel quale il computer viene coinvolto come oggetto del fatto, come strumento o come simbolo” (Faggioli, 2002)

12

Il Reato Informatico (2)

• Una categoria di difficile definizione

• Vi possono essere condotte che coinvolgono il computer che non sono reati informatici

• L’approccio deve essere di tipo casistico, piuttosto che sistematico

• Il computer può essere sia strumento sia oggetto

• La difficoltà deriva anche dalla rapida evoluzione tecnologica

13

Il Reato Informatico (3)

• Nuovi beni giuridici da tutelare (il bene dell’informazione)

• Nuovi strumenti e forme di aggressione ai beni giuridici già tutelati (es. frode informatica)

• Non è possibile quindi definire la categoria astratta del reato informatico sulla base di un bene giuridico tutelato comune

14

Gli Elementi dell’Illecito

• Soggetto attivo (autore)– Generico autore– Operatore di sistema– Amministratore di sistema (circostanza aggravante)

• Soggetto passivo (titolare del bene)– Generica vittima– Soggetti pubblici o privati titolari di impianti di pubblica utililtà

(aggravante – tutela rafforzata)

• Condotta illecita– Condotta caratterizzata da elevata competenza tecnica

• Oggetto su cui ricade (o strumento)– Sistemi Informatici e Telematici, Programmi e dati in esso

contenuti

15

Panorama Normativo

• Legge del 23 Dicembre 1993, n. 547 (integra e modifica il Cp e il Cpp)

• Decreto Legislativo N. 196 del 2003 (tutela dei dati personali)

• Decreto Legislativo N. 518 del 29 Dicembre 1992 e Decreto Legislativo N. 205 del 15 Marzo 1996 (tutela dei diritti sul software)

• Decreto Legislativo N. 169 del 6 Maggio 1999 (tutela del costitutore di database)

16

Legge 547/93Frode Informatica (1)

• Art. 640 c.p. (prima della modifica)– Comportamento dell’agente (raggiro)– danno di natura patrimoniale derivato dall’inganno, che causa

profitto all’agente– soggetto passivo dell’errore deve essere una persona determinata

anche diversa da quella che subisce il danno

• Art. 640 ter c.p. (547/93) Il delitto di frode informatica è commesso da “chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da 51,64 euro a 1.032,91 euro”.

17

Legge 547/93Frode Informatica (2)

• Non poteva essere inquadrato nella generica fattispecie di truffa, mancando il soggetto passivo dell’inganno (in quanto persona)

• L’oggetto dell’azione tesa a modificare il comportamento ai fini della truffa è un sistema informatico, non una persona

• La giurisprudenza, invece, ha affrontato tale nodo allargando il proprio campo visivo ed arrivando ad affermare che l’induzione in errore, nel caso di frode informatica, attenesse non al computer sic et simpliciterbensì ai soggetti preposti al controllo del sistema informatico o telematico il cui comportamento era stato alterato

18

Legge 547/93Frode Informatica – Condotte fraudolente

• alterazione del funzionamento del sistema informatico o telematico

• l’intervento, senza diritto, con qualsiasi modalità, su dati, informazioni o programmi contenuti nel sistema

• senza diritto a cui fa menzione il legislatore nel primo comma dell’art. 640 – ter cp si verifica quando l’agente non è autorizzato – né da una legge né dal titolare – ad eseguire quella attività sul sistema informatico (non va inteso in senso tecnico-informatico, altrimenti l’operatore…)

19

Legge 547/93Frode Informatica – Aggravanti

• Dolo generico, cioè la coscienza e la volontà di realizzare il fatto tipico

• Il reato è di danno (reato contro il patrimonio)

• Vi sono aggravanti (reato perseguibile d’ufficio - della reclusione da uno a cinque anni e della multa da 309 euro a 1549 euro

– se il fatto è commesso a danno dello Stato o di un altro ente pubblico– Se il fatto è commesso col pretesto di fare esonerare taluno dal servizio militare– se è commesso ingenerando nella persona offesa il timore di un pericolo

immaginario o l’erroneo convincimento di dovere eseguire un ordine dell’autorità– se la truffa è commessa per il conseguimento di erogazioni pubbliche (contributi,

finanziamenti, mutui agevolati ovvero altre erogazioni dello stesso tipo, concesse o erogate da parte dello Stato, di altri enti pubblici o delle Comunità Europee).

– abuso della qualità di operatore di sistema

• Il luogo in cui l’agente consegue la disponibilità del bene nel momento consumativo del reato.

20

Frode InformaticaEsempi

• Phishing, basato utilizzo di tecniche di “Social Engineering” per carpire informazioni sulla vittima. (?),

• Pharming

• Dialer (computer, cellulari)

• Skimmer

• frode elettronica nelle aste on-line• richiesta di pagamento tramite metodo non nominativo • vendita di oggetti contraffatti/falsi. • invito a concludere la transazione al di fuori dell’asta • invito a comprare "oggetti simili" a prezzi più convenienti

21

Il Phishing è frode informatica?

• Non può ravvisarsi un intervento senza diritto sui datinel caso di semplice uso non autorizzato dei dati integranti il codice personale di identificazione altrui. L’uso indebito del codice di identificazione altrui, d’altra parte, consente soltanto l’accesso al sistema informatico e non anche, in modo diretto, il conseguimento di un ingiusto profitto; quest’ultimo può eventualmente derivare dal successivo compimento di uno spostamento patrimoniale ingiustificato, attraverso un vero e proprio intervento senza diritto sui dati (vero momento del consumarsi della frode).

22

Legge 547/93Esercizio arbitrario delle proprie ragioni con violenza

sulle cose• Art. 392 […]

Chiunque, al fine di esercitare un preteso diritto, potendo ricorrere al giudice, si fa arbitrariamente ragione da se'medesimo, mediante violenza sulle cose, e' punito a querela della persona offesa, con la multa fino a lire un milione. Agli effetti della legge penale, si ha "violenza sulle cose", allorche' la cosa viene danneggiata o trasformata, o ne e' mutata la destinazione.

• Si ha altresi', violenza sulle cose allorche' un programma informatico viene alterato, modificato o cancellato in tutto o in parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico. Comma aggiunto dall'art. 1, L. 23 dicembre 1993, n. 547.

23

Legge 547/93Esercizio arbitrario delle proprie ragioni con violenza

sulle cose (2)• L’articolo è rivolto a tutelare l’interesse dello Stato, ad impedire

che la privata violenza si sostituisca all’esercizio della funzione giurisdizionale in occasione dell’insorgere di una controversia tra privati

• Trattasi di reato comune, nel senso che può essere commesso da chiunque.

• La procedibilità è a querela di parte, configurabile il tentativo ex art. 56 del c.p.

• L’aggiunta all’art. 392 c.p. del comma relativo ai programmi per elaboratore e ai sistemi informatici e telematici è stata una scelta legislativa mossa dalla difficoltà “di assimilazione dei programmi informatici alle <<cose mobili>> tradizionalmente intese”

• Lacuna: e i dati? E’ colmata dall’art. 635 bis

24

Esercizio arbitrario delle proprie ragioni con violenza sulle cose

Esempi• Funzione nascosta in un programma che lo blocca per

costringere l’utente a rivolgersi all’assistenza tecnica (per esempio in corrispondenza del pagamento del contratto di assistenza)

• Dipendente che a causa di imminente licenziamento o presunte azioni di mobbing o demansionamentoaltera, modifica, danneggia sistemi informatici o telematici del datore di lavoro.

25

Legge 547/93Attentato a impianti di pubblica utilita'

• Art. 420 […] Chiunque commette un fatto diretto a danneggiare o distruggere impianti di pubblica utilita', e' punito, salvo che il fatto costituisca piu' grave reato, con la reclusione da uno a quattro anni. La pena di cui al primo comma si applica anche a chi commette un fatto diretto a danneggiare o distruggere sistemi informatici o telematici di pubblica utilita', ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti. Se dal fatto deriva la distruzione o il danneggiamento dell'impianto o del sistema, dei dati, delle informazioni o dei programmi ovvero l'interruzione anche parziale del funzionamento dell'impianto o del sistema la pena e' della reclusione da tre a otto anni.

• Articolo cosi' sostituito dall'art. 2, L. 23 dicembre 1993, n. 547.

26

Legge 547/93Attentato a impianti di pubblica utilita' (2)

• Il secondo comma estende la previsione normativa ai sistemi informatici e telematici di pubblica utilità, come ad es., Poste Italiane, Ferrovie dello Stato, Enel, Telecom, etc. Anche il semplice tentativo è punito con estremo rigore

• Il terzo comma introduce una circostanza aggravante con inasprimento della pena

• Non è configurabile l’ipotesi del tentativo di cui all’art. 56 del c.p.: anche solo l’esecuzione di atti idonei a mettere in pericolo (reato di pericolo) i beni protetti (la pubblica sicurezza e il regolare andamento della vita sociale) integra la consumazione del reato principale.

• Dolo generico, procedibilità d’ufficio

27

Attentato a impianti di pubblica utilita'Esempi

• Atti logici:– Introduzione di un virus nel sistema– Attacchi informatici di tipo DoS per inibire le

funzionalità di un sistema informatico di P.U.

• Atti fisici:– Distruzione fisica di impianti

28

Legge 547/93Falso Informatico

• Art. 491 bis […]Se alcuna delle falsita' previste dal presente capo (Capo III: della falsità in atti) riguarda un documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli.

• Articolo aggiunto dall'art. 3, L. 23 dicembre 1993, n. 547.

29

Legge 547/93Falso Informatico (2)

• C’è una evidente confusione tra contenente e contenuto. Anche l’art 621, secondo comma, c.p. statuisce che “è considerato documento anche qualunque supporto informatico contenente dati, informazioni o programmi”.

• Le fattispecie previste dagli art. 486, 487, 488 (falsitàsu foglio in bianco) non sono direttamente appicabili

• L’introduzione nell’articolo in commento dei “programmi specificamente destinati ad elaborarli”, introduce dubbi interpretativi

30

Legge 547/93Accesso Abusivo a Sistema Informatico

• Art. 615 terChiunque abusivamente si introduce in un sistema informatico o telematicoprotetto da misure di sicurezza ovvero vi si mantiene contro la volonta' espressa o tacita di chi ha il diritto di escluderlo, e' punito con la reclusione fino a tre anni. La pena e' della reclusione da uno a cinque anni: 1) se il fatto e' commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualita' di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se e' palesemente armato; 3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanita' o alla protezione civile o comunque di interesse pubblico, la pena e', rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni. Nel caso previsto dal primo comma il delitto e' punibile a querela della persona offesa; negli altri casi si procede d'ufficio.

•Articolo aggiunto dall'art. 4, L. 23 dicembre 1993, n. 547.

31

Legge 547/93Accesso Abusivo a Sistema Informatico (2)

• L’art. 615 ter è collocato tra i delitti contro la inviolabilità del domicilio, perché si è ritenuto che i sistemi informatici costituiscano “un’espansione ideale dell’area di rispetto pertinente al soggetto interessato, garantito dall’art. 14 della Costituzione e penalmente tutelata nei suoi aspetti più essenziali e tradizionali agli artt. 614 e 615 del codice penale” (cosìla Relazione sul disegno di legge n. 2773, poi tradottosi nella l. 547/93)

• Si delinea quindi una nuova figura chiamata “domicilio informatico”, luogo ove l’uomo esplica alcune delle sue facoltà intellettuali ed esprime la propria personalità, avendo il diritto pertanto di escludere terzi non graditi

32


• L’intrusione deve riguardare un sistema informatico “protetto da misure di sicurezza”.

• Che si intende tecnicamente?

– Misure logiche (password, metodi di autenticazione basati su dati biometrici, firme deboli o forti, schemi di autenticazione che producono codici di accesso, etc.)

– Misure fisiche (chiavi hw o chiavi tradizionali per l’accensione di un PC, etc..)

• Quando le misure sono adeguate?

33


• In senso contrario Cass. pen., 6 dicembre 2000, n. 12732, secondo cui “appropriarsi dei dati contenuti nel sistema informatico di un'azienda costituisce reato anche se non vi sia stata violazione delle misure protettive interne al sistema informatico: il fatto costituisce violazione del domicilio informatico anche se l’accesso al sistema è libero”.

• Ciò che costituisce elemento caratteristico del reato èpertanto soggettivo della fattispecie di reato, la volontà dell’autore di accedere ad un sistema contro la volontà del titolare.

34


• Il reato si intende consumato nel luogo dove risiede il sistema (con evidenti problematiche)

• L’oggetto giuridico tutelato è la riservatezza e l’integrità del domicilio informatico, delle informazioni in esso contenute

• Il reato è comune, a forma libera, l’elemento soggettivo è caratterizzato dal dolo generico (l’intrusione nel sistema), pur potendosi caratterizzare come reato-mezzo per la consumazione di un reato-fine.

35


• Il reato può anche quindi essere messo in atto senza ulteriori fini, solo per dimostrare abilità

• Il motivo di questa severita' della legge penale, sta -evidentemente - nel fatto che la semplice intromissione abusiva mette in pericolo il bene primario della "integrita' dei dati" e rende non piu' affidabile l'intero sistema.

• Dopo ogni intrusione e' necessario effettuare lunghi ed approfonditi controlli per verificare se i dati sono ancora affidabili e, in generale, se il sistema e' ancora affidabile e se la abusiva intromissione ha veicolato virus caricati a tempo all'interno del calcolatore. Su questo effetto "psicologico", legato alla perdita di affidabilità del sistema informativo, fanno leva, dunque, i fenomeni piu' vistosi di intrusione.

36

Accesso Abusivo a Sistema InformaticoObblighi del Responsabile della Sicurezza

• garantire l'autenticazione degli utenti della rete (evitare sostituzioni fraudolente di persona);

• garantire la confidenzialità dele informazioni (assicurare che solo il destinatario del messaggio possa prendere cognizione del suo contenuto);

• garantire l'integrità del dato (impedire che il dato registrato venga fraudolentemente alterato);

• impedire il discoscimento della trasmissione ("non repudiation" - chi trasmette non può negare di avere trasmesso - chi riceve, non può negare di aver ricevuto);

• garantire il controllo degli accessi (politiche organizzative e di gestione delle password);

• sorvegliare il traffico sulla rete per segnalare indebite intrusioni.

37

Accesso Abusivo a Sistema InformaticoObblighi del Responsabile della Sicurezza (2)

• Dal punto di vista penale il Responsabile della Sicurezza (se dotato di autonomia decisionale e finanziaria) altrimenti il Datore di Lavoro, possono rispondere per reati omissivi

• Art. 40 Rapporto di causalita'Nessuno puo' essere punito per un fatto preveduto dalla legge come reato, se l'evento dannoso o pericoloso, da cui dipende la esistenza del reato, non e' conseguenza della sua azione od omissione. Non impedire un evento, che si ha l'obbligo giuridico di impedire, equivale a cagionarlo.

38

Accesso Abusivo a Sistema Informatico Esempi

• “Crack” di password

• Sniffing di pw

• Osservazione della digitazione delle pw

• Bug dei sistemi e bypass delle misure di sicurezza

• Ingresso differito (fattispecie inerente alla permanenza contro la volontà del titolare).

39

Contromisure

• Protezione di Reti Locali

Internet

Rete Locale

40

Legge 547/93Detenzione e diffusione abusiva di codici di accesso a

sistemi informatici o telematici• Art. 615 quater

Chiunque, al fine di procurare a se' o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazionio istruzioni idonee al predetto scopo, e' punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni. La pena e' della reclusione da uno a due anni e della multa da lire dieci milioni a venti milioni se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell'articolo 617 quater.


41

Legge 547/93Detenzione e diffusione abusiva di codici di accesso a

sistemi informatici o telematici (2)• Il sistema deve essere protetto da misure di sicurezza

• Dolo specifico (il reato è commesso con l’intenzione di trarre profitto o arrecare altrui danno)

• E’ configurato come reato di pericolo, quindi non applicabile il 56 del c.p. (tentativo)

• Sono previste aggravanti: sistemi utilizzati dallo Stato o di pubblica utilità, o reato commesso da PU o come abuso della qualità di operatore (ex art. 617 quaterc.p.)

42

Legge 547/93Diffusione di programmi diretti a danneggiare o

interrompere un sistema informatico • Art. 615 quinquies

Chiunque diffonde, comunica o consegna un programma informatico da lui stesso o da altri redatto, avente per scopo o per effetto il danneggiamento di un sistema informatico o telematico, dei dati o dei programmi in esso contenuti o ad esso pertinenti, ovvero l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, e' punito con la reclusione sino a due anni e con la multa sino a lire venti milioni .


43


interrompere un sistema informatico (2)• La norma intende colpire il dilagante fenomeno del

software malicious (malware)

• Il reato è impropriamente collocato tra i delitti contro l’inviolabilità del domicilio. La norma infatti mira a tutelare l’integrità e la funzionalità dei sistemi informatici.

• Elemento psicologico caratterizzato dal dolo generico

• Procedibilità d’ufficio

44


interrompere un sistema informatico (3)• Nella nozione di programma informatico rilevante ai

sensi della norma in esame devono farsi rientrare solo quei programmi che, essendo suscettibili di immediato utilizzo in un sistema informatico, sono elaborati in un linguaggio comprensibile per la macchina (c.d. programma eseguibile).

• Restano pertanto esclusi i programmi redatti in linguaggio di programmazione (c.d. programma sorgente), che necessitano di una previa conversione in linguaggio-macchina

• Una interpretazione letterale includerebbe anche swmalfunzionante, o utility potenzialmente pericolose

45


interrompere un sistema informatico (4)• L’esame deve necessariamente incentrarsi sull’elemento

psicologico soggettivo del dolo

• Processualmente è però in generale difficile dimostrare che l’agente era realmente a conoscenza del potenziale lesivo e aveva l’intenzione di portare a termine il disegno criminoso

• Per esempio: I worm sono diffusi dagli utenti ignari, che potrebbero essere ritenuti responsabili dell’invio.

• Il reato è di pericolo

• Il possesso di sw malicious non è punibile.

46

Legge 547/93 Violazione, sottrazione e soppressione di

corrispondenza

• Art. 616 […]• Chiunque prende cognizione del contenuto di una corrispondenza

chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prendere o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime, e' punito, se il fatto non e' preveduto come reato da altra disposizione di legge, con la reclusione fino a un anno o con la multa da lire sessantamila a un milione. Se il colpevole, senza giusta causa, rivela, in tutto o in parte, il contenuto della corrispondenza, e' punito, se dal fatto deriva nocumento ed il fatto medesimo non costituisce un piu' grave reato, con la reclusione fino a tre anni. Il delitto e' punibile a querela della persona offesa. Agli effetti delle disposizioni di questa sezione, per "corrispondenza" si intende quella epistolare, telegrafica, telefonica, informatica o telematicaovvero effettuata con ogni altra forma di comunicazione a distanza.

• Comma cosi' sostituito dall'art. 5, L. 23 dicembre 1993, n. 547.

47


corrispondenza (2)

• L’oggetto giuridico tutelato è ancora la riservatezza

• Il dolo è generico, rappresentato dall’elemento soggettivo corrispondente alla volontà di conoscere messaggi destinati ad altri

• Il primo comma prevede la consumazione del reato nel momento stesso dell’azione. Il secondo comma invece prevede il verificarsi del danno.

• Il reato è comune, di danno, la procedibilità è a querela di parte

48


corrispondenza (3)

• La norma così come formulata pone un dubbio interpretativo

• Cosa si intende per corrispondenza chiusa?

• Nel caso tradizionale l’interpretazione è chiara

• Nel caso elettronico ci sono diverse possibili interpretazioni. In particolare è richiesta la crittografia?

49

Violazione, sottrazione e soppressione di corrispondenza

Esempi• Può essere un reato-fine del reato-mezzo di accesso

abusivo a sistema informatico

• Puo’ essere perpetrato da chi ha la qualifica di amministratore del sistema di posta elettronica

• Il traffico può essere intercettato, a livello dell’host, a livello del router, o in altri nodi della rete

• Il confine con il reato di intercettazione è molto sottile nel caso elettronico

50

Legge 547/93Intercettazione, impedimento o interruzione illecita di

comunicazioni informatiche o telematiche• Art. 617 quater• Chiunque fraudolentamente intercetta comunicazioni relative ad un

sistema informatico o telematico o intercorrenti tra piu' sistemi, ovvero le impedisce o le interrompe, e' punito con la reclusione da sei mesi a quattro anni. Salvo che il fatto costituisca piu' grave reato, la stessa pena si applica a chiunque rivela, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni di cui al primo comma. I delitti di cui ai commi primo e secondo sono punibili a querela della persona offesa. Tuttavia si procede d'ufficio e la pena e' della reclusione da uno a cinque anni se il fatto e' commesso: 1) in danno di un sistema informatico o telematico utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessita'; 2) da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, ovvero con abuso della qualita' di operatore del sistema; 3) da chi esercita anche abusivamente la professione di investigatore privato. Articolo aggiunto dall'art. 6, L. 23 dicembre 1993, n. 547.

51

Legge 547/93Intercettazione, impedimento o interruzione illecita di

comunicazioni informatiche o telematiche (2)• Condotta illecita: intercettazione non autorizzata

• L’oggetto giuridico sottoposto a tutela è la riservatezza delle comunicazioni.

• La fattispecie trattata da questo articolo è più ampia del precedente (non solo mail ma anche telnet, ftp, http, chat, etc.)

• Dolo generico, reato comune, di danno, ipotizzabile il tentativo ex art. 56, procedibilità a querela di parte tranne nei casi in cui sono previste aggravanti

• Aggravanti: Impianti Pubblici, PU, operatore di sist, investigatore privato

52

Legge 547/93Installazione di apparecchiature atte ad intercettare,

impedire od interrompere comunicazioni informatiche o telematiche

• Art. 617 quinquiesChiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra piu'sistemi, e' punito con la reclusione da uno a quattro anni. La pena e' della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617 quater


53


impedire od interrompere comunicazioni informatiche o telematiche (2)

• In assenza di tale articolo, le condotte in esame, sarebbero ricondotte al combinato disposto dell’art. 617 quater e dell’art. 56 del c.p. (tentativo)

• Il Legislatore ha voluto punire il resto con maggiore rigore. Già la pena minima (1 anno) è maggiore di quella prevista per il reato di cui all’art. 617 quater (sei mesi)

• Il reato è di pericolo. Il caso del tentativo è ipotizzabile come caso limite, essendo possibile il frazionamento della condotta, la procedibilità è d’ufficio

54


impedire od interrompere comunicazioni informatiche o telematiche (3)

• L’oggetto giuridico è lo stesso dell’art. 617 quater, ma siamo in presenza di dolo specifico. Lo scopo infatti èindiretto (interecettare o compromettere le comunicazioni)

• IL reato si consuma nel momento stesso in cui le apparecchiature sono installate e sono rese funzionanti allo scopo dell’intercettazione.

• Le ipotesi aggravanti sono le stesse previste dall’art. 617 quater.

55

Legge 547/93Falsificazione, alterazione o soppressione del

contenuto di comunicazioni informatiche o telematiche

• Art. 617 sexiesChiunque, al fine di procurare a se' o ad altri un vantaggio o di arrecare ad altri un danno, forma falsamente ovvero altera o sopprime, in tutto o in parte, il contenuto, anche occasionalmente intercettato, di taluna delle comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra piu' sistemi, e' punito, qualora ne faccia uso o lasci che altri ne facciano uso, con la reclusione da uno a quattro anni. La pena e' della reclusione da uno a cinque anni nei casi previsti dal quarto comma dell'articolo 617 quater.


56

Legge 547/93Falsificazione, alterazione o soppressione del

contenuto di comunicazioni informatiche o telematiche (2)

• L’oggetto giuridico tutelato è l’integrità delle comunicazioni informatiche e telematiche

• E’ richiesto il dolo specifico che consiste nella volontà di procurare a sé o ad altri vantaggio arrecando ad altri un danno

• Le circostanze aggravanti sono quelle dell’art. 617 quater.

• La procedibilità è d’ufficio

57

Legge 547/93Rivelazione del contenuto di documenti segreti

• Art. 621 Chiunque, essendo venuto abusivamente a cognizione del contenuto, che debba rimanere segreto, di altrui atti o documenti, pubblici o privati, non costituenti corrispondenza, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altruiprofitto, e' punito, se dal fatto deriva nocumento, con la reclusione fino a tre anni o con la multa da lire duecentomila adue milioni. Agli effetti della disposizione di cui al primo comma e' considerato documento anche qualunque supporto informatico contenente dati, informazioni o programmi (1).Il delitto e' punibile a querela della persona offesa.

• (1) Comma aggiunto dall'art. 7, L. 23 dicembre 1993, n. 547.

58

Legge 547/93Rivelazione del contenuto di documenti segreti (2)

• La definizione di documento informatico già inclusa nel rato di falso informatico (491 bis) è ripresa in maniera parziale

• La norma vuole garantire la riservatezza si informazioni

• Il reato è comune, di danno, perseguibile a querela di parte

• Segretezza? Per dottrina ogni cosa adeguatamente protetta da accesso non autorizzato, per giurisprudenza tutela di segreti professionali e scientifici/industriali

59

Legge 547/93Altre comunicazioni o conversazioni

• Art. 623 bis Altre comunicazioni e conversazioni Le disposizioni contenute nella presente sezione, relative alle comunicazioni e conversazioni telegrafiche, telefoniche, informatiche o telematiche, si applicano a qualunque altra trasmissione a distanza di suoni, immagini od altri dati (1).

• Articolo cosi' sostituito dall'art. 8, L. 23 dicembre 1993, n. 547.

60

Legge 547/93Altre comunicazioni o conversazioni (2)

• Unifica il regime sanzionatorio in materia di comunicazioni allargandolo ad ogni tipo di comunicazione

• La legge n. 98 del 1974 aveva esteso il regime sanzionatorio al concetto più esteso di “onde guidate”

• Restavano escluse le comunicazioni effettuate attraverso onde non guidate (es, radio, etc.)

61

Legge 547/93Danneggiamento di sistemi informatici e telematici

• Art. 635 bis • Chiunque distrugge, deteriora o rende, in tutto o in

parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, e' punito, salvo che il fatto costituisca piu' grave reato, con la reclusione da sei mesi a tre anni. Se ricorre una o piu' delle circostanze di cui al secondo comma dell'articolo 635, ovvero se il fatto e' commesso con abuso della qualita' di operatore del sistema, la pena e' della reclusione da uno a quattro anni (1). (1) Articolo aggiunto dall'art. 9, L. 23 dicembre 1993, n. 547.

62


• Aggravanti previste dall’art. 635:• 1) con violenza alla persona o con minaccia;

2) da datori di lavoro in occasione di serrate, o da lavoratori in occasione di sciopero, ovvero in occasione di alcuno dei delittipreveduti dagli artt. 330, 331 e 333 (1);3) su edifici pubblici o destinati a uso pubblico all'esercizio di un culto, o su altre delle cose indicate nel n. 7 dell'articolo 625; 4) sopra opere destinate all'irrigazione; 5) sopra piante di viti, di alberi o arbusti fruttiferi, o su boschi, selve o foreste, ovvero su vivai forestali destinati al rimboschimento. (1) Con sentenza n. 119 del 6 luglio 1970 la Corte cost. ha dichiarato l'illegittimita' del secondo comma di questo articolo nella parte in cui prevede come circostanza aggravante e come causa di procedibilita' d'ufficio il fatto che il reato sia commesso da lavoratori in occasione di sciopero e da datori di lavoro in occasione di serrata.

63


• Oggetto di tutela è l’integrità del patrimonio che qui èanche informativo – che comporta de facto un peggioramento della situazione patrimoniale per il ripristino

• Reato di danno, comune.

• La norma non distingue il danneggiamento logico da quello fisico– Distruzione fisica degli impianti (es, esplosivo)– Introduzione di un virus distruttivo

64

Vulnerabilità e Attacchi

• Vulnerabilità– Debolezza di un sistema di sicurezza che può essere

utilizzata per causare danni

• Attacco– Sfruttamento di una vulnerabilità di un sistema

•

65

Tipi di attacchi

• Attacchi passivi: non alterano i dati in transito– Intercettazione del traffico– Analisi del traffico

• Attacchi attivi: modificano il flusso di dati o creano un falso flusso:– Mascheramento– Riproduzione– Modifica dei messaggi– Denial of service

66

Intrusioni

• Vari tipi di intruder– Adolescente curioso– Studente universitario che ha

sviluppato nuovo tool– “Spia” a pagamento – Dipendente licenziato o arrabbiato

• Vari tipi di motivazioni– Divertimento– Senso di potenza– Sfida intellettuale– Attenzione politica– Guadagno economico

67

Intrusioni• Il manager ragiona così:

– “Nessuno attaccherà la mia azienda, non c’è nulla di prezioso qui!”

• Gli hacker invece ragionano così: – ”Scelgo il target più facile, entro e poi guardo– Al massimo userò il sistema come ponte per altri

attacchi”

68

Condivisione della conoscenza

• Ci sono newsgroup, pubblicazioni, conferenze sulle ultime tecniche di intrusione

• Conoscenza condivisa su:sistemi mal configurati, usati per scambio di:– software pirata – numeri di carte di credito– strumenti facili da utilizzare– identità dei siti compromessi (inclusi account e password)

69

Tipi di incidenti

• Scanning• Attacchi alle password• Intercettazione di pacchetti (packet sniffing)• Compromissione di account (privilegiati e non)• Denial of Service• Codice malizioso (Virus, Worm, Trojan horse)• Attacchi all’infrastruttura di rete (name server,

access provider, grossi archivi di rete,…)• Frodi Informatiche (Phishing e furto di credenziali)

70

Tools Package• Mantenuti da programmatori competenti, includono

anche versione e documentazione• Possono contenere:

– Network Scanner– Tool per password cracking e grandi dizionari– Packet Sniffer– Virus, Trojan horse, programmi e librerie– Tool per la modifica selettiva dei file di log del sistema

71

Sicurezza Dati: obiettivi

• Confidenzialità• Autenticazione• Non-ripudio• Controllo Accessi• Integrità• Anonimia• Disponibilità Risorse

72

Confidenzialità

• Privacy, Segretezza

sono accessibili in lettura solo da chi è autorizzato

trasmessememorizzateInformazioni

73

Autenticazione

• messaggi entità tempo (Identificazione) (Timestamp)

74

Non-ripudio

non può negare latrasmissione o la paternità del

messaggio/docum.

Chi inviaChi riceve

75

Controllo Accessi

•Accesso alle informazioni controllatoda o

per il sistema

76

Integrità

Solo chi è autorizzato puòmodificare l’attività di un sistema o le informazioni trasmesse

modifica = scrittura, cambiamenti, cancellazione,creazione, ritardi, replay e riordino di messaggi, …

77

Anonimia

• Protezione dell’identità o del servizio utilizzato

78

Disponibilità Risorse

• Diverse attese:– presenza di oggetti e servizi utilizzabili– capacità di soddisfare le richieste di servizi– progresso: tempo di attesa limitato– adeguato tempo del servizio

Risorse disponibili a chi èautorizzato quando necessario

79

LA CRITTOGRAFIA

codifica

messaggio cifratoChiave dicodifica

Chiave didecodifica

Mittente

messaggio

Destinatario

messaggio

decodifica

80

CRITTOGRAFIA A SINGOLA CHIAVE

• CHIAVE DI CODIFICA = CHIAVE DI DECODIFICA

...xcgfterihgu...

BOBALICE

FIDANZATA DI BOB

81

UN ESEMPIO DI CRITTOGRAFIA CLASSICA:IL METODO DELLA TRASPOSIZIONE

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z



chiave = 4dimensione dello spazio delle chiavi: 25

ROMA ⇒ VSQE

82

SICUREZZA DEI CIFRARI

• Algoritmo: noto

• Chiave: segreta

• Dimensione dello spazio delle chiavi grande

• Sono condizioni necessarie e sufficienti?

83

CRITTOANALISI

• ROMA ⇒ VSQE (trasposizione con chiave 4)

• ATTACCO BASATO SULLA FORZA BRUTA: ricerca in tutto lo spazio delle chiavi

Crittoanalista stupido

Le condizioni sono quindinecessarie

84

CODIFICA CESAREA METODO DI SOSTITUZIONE


X Q B J Z H T U L M E R O G K P F C V N I S A W D Y

ROMA ⇒ CKOX

chiave

Dimensione dello spazio delle chiavi: 26! = 4 x 1026

85

CRITTOANALISI “INTELLIGENTE”

crittoanalista arguto

ROMA ⇒ CKOX

Analisi delle frequenze...

Lo spazio e’ grande!Le condizioni non sono sufficienti...

86

LE REGOLE PER LA ROBUSTEZZA

• Lo spazio delle chiavi deve essere grande

• L’algoritmo deve essere “intelligente”

87

CRITTOGRAFIA MODERNA

• Agisce su bit (010110101…) piuttosto che su caratteri.

• La chiave e’ una sequenza di bit (es, 128 bit)

• Se la chiave e’ lunga K, lo spazio delle chiavi e’ 2K

• Dispone di mezzi di calcolo potenti

• Nascono gli standard

• Esempi:

– DES (la sua prima versione a 56 bit fu forzato nel 98)

– IDEA

88

CRITTOGRAFIA A DOPPIA CHIAVE

• Algoritmo di codifica: C• Chiave di codifica: Kc

X = C (Kc, M )

• Algoritmo di decodifica: D• Chiave di decodifica: Kd

M = D (Kd, X )

D MX

Kd

CM X

Kc

89

CRITTOGRAFIA A DOPPIA CHIAVE

• Le chiavi sono una coppia inscindibile.

• Quanto cifrato con una chiave può essere decifrato

solo con l’altra.

• La conoscenza del valore di una chiave non permette

di risalire al valore dell’altra.

90

ALGORITMI

• RSA (Rivest-Shamir-Adleman)– Basato sulla difficoltà di decomporre in fattori primi

numeri di valore elevato

• DSA (Digital Signature Algorithm)– Basato sulla difficoltà di determinare il logaritmo intero

di un intero di valore elevato

91

DOPPIA APPLICAZIONE

• RISERVATEZZA

– Chiave pubblica per la codifica

– Chiave segreta per la decodifica

• AUTENTICAZIONE (Firma Digitale)

– Chiave segreta per la codifica

– Chiave pubblica per la decodifica

92

ALICE E BOBRiservatezza

C D

Chiave pubblica di bob

Chiaveprivata di bob

93

ALICE, BOB E LA SUA FIDANZATARiservatezza

C D

D

94

ALICE E BOBAutenticazione

C D

Chiave privatadi Alice

Chiave pubblica di Alice

95

APPLICAZIONI REALI

• La codifica a doppia chiave si applica male a messaggi di grande dimensione

• Per la riservatezza si usa per trasferire la chiave di codifica di un algoritmo simmetrico (DES, IDEA)

• Nella firma, gli algoritmi non si applicano all’intero messaggio.

96

L’IMPRONTA E LA FIRMA

C D

97

L’IMPRONTA

• Può riguardarsi come generata dalla compressione,

con perdita di informazione, del testo.

• Il numero di bit dell’impronta è fisso (160).

• E’ determinata attraverso una funzione detta “hash”

• A testi diversi corrispondono impronte diverse.

• Non è possibile generare un testo cui corrisponde un

determinato valore dell’impronta.

• Non è possibile generare due testi che abbiano uguale

impronta.

98

CALCOLO DELL’IMPRONTA

INSIEME DI TUTTI I POSSIBILI DOCUMENTI

INSIEME DEGLI INTERI A N BIT

99

LE FUNZIONI DI HASH

Funzioni che generano impronte a 160 bit

– RIPEMD-160

– SHA-1

• Accettate dalla normativa (DPCM 13 Gennaio 2004)

• Funzioni robuste

100

LO SPAZIO DI TUTTE LE IMPRONTE

( ) =⋅=⋅=⋅>594548160 101400101400104,12

000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.400.1

101

QUALCOSA NON VA

C D

Chiave privatadi Trudy

Falsa chiave pubblica di Alice

102

NECESSITA’ DELLA CERTIFICAZIONE

C D

Non puo’essere falsa!

103

ESEMPIO DI CERTIFICATO (X.509)

• Identificatore del certificato

• Soggetto emittente

• Soggetto titolare

• Periodo di validità

• Chiave pubblica del titolare

• Algoritmo di firma

• Attributi addizionali

104

FIRMA DIGITALE

DOCUMENTOFUNZIONEDI HASH

FIRMADIGITALE

IMPRONTADOCUMENTO

ALGORITMO DI CODIFICA

CHIAVEPRIVATA

GENERAZIONE

VERIFICA

ALGORITMO DI DECODIFICA

CHIAVEPUBBLICA

DOCUMENTOFIRMA

DIGITALEFUNZIONEDI HASH

IMPRONTADOCUMENTO

105

UN ALTRO PUNTO DEBOLE

• La chiave segreta deve rimanere tale

• L’intrusione dall’esterno e’ possibile

• Dispositivo esterno per la generazione della firma: la SMART CARD

106

LA PROTEZIONE DELLA CHIAVE SEGRETA

CHIAVE SEGRETA

IMPRONTA

FIRMA

107

Vulnerabilità della Firma

• Inaffidabilità del processo di firma o verifica

• Ambiguità di presentazione

– Font– Istruzioni– Ambiguità sul tipo di file

108

Tutela dei Dati Personali: Premessa

• In Europa la tutela dei dati personali comincia ad assumere il significato di diritto fondamentale della persona umana nel 1766, quando, nel Parlamento inglese, Lord Chatham disse, :

“ Il più povero degli uomini può, nella sua casetta lanciare una sfida alla… corona. La casetta può essere fragile,…ma il re d’Inghilterra non può entrare..”.

109

Tutela dei Dati Personali: Iter Legislativo

• Dichiarazione Universale dei diritti dell’uomo (1948)

• Convenzione europea sui diritti dell’uomo (1950)““ogni persona ha diritto al rispetto della sua vita privata e familiare”

• nascono le leggi sulla tutela in Svezia (1973), nella Germania Federale (1977), in Austria, Danimarca, Francia e Norvegia (1978).

• Convenzione di Strasburgo (1981) “protezione delle persone in relazione all’elaborazione automatica dei dati a carattere personale”

110

Tutela dei Dati Personali: Iter Legislativo

• Direttiva sulla privacy del 24 ottobre 1995, n. 95/46 che imponeva agli Stati membri il recepimento della stessa entro tre anni dalla sua entrata in vigore.

• La legge 675/96 è stata modificata ben 10 volte nel corso di 5 anni.

• Codice in materia di protezione dei dati personali, Decreto Legislativo 196/2003 – in vigore dall’1 gennaio del 2004 (Abroga la legge 675/96).

• Segue il percorso di armonizzazione tracciato dalle istituzioni comunitarie (direttiva UE 2002/58)

111

Tutela dei Dati Personali: Principi di Base

Principi su cui si basa l’iniziativa del Legislatore

• Diritto dell’interessato non fare circolare i propri dati personali;

• Diritto dell’interessato al controllo della sua utilizzazione;

• Dovere del titolare al corretto, sicuro e affidabile trattamento, nel rispetto dei principi di necessità

• Sanzioni anche penali per il trattamento illecito.

112

Struttura del D.lgs 196/2003

Il Codice si articola in tre parti

• Parte I) disposizioni generali;• Parte II) disposizioni relative a specifici settori;• Parte III) tutela dell’interessato e sanzioni;

ognuna organizzata in Titoli, questi ultimi suddivisa eventualmente in Capi, questi ultimi eventualmente suddivisi in Sezioni

Contiene tre allegati:

• All. A) codici di deontologia;• All. B) disciplinare tecnico in materia di misure minime di sicurezza;• All. C) trattamenti non occasionali effettuati in ambito giudiziario o per

fini di polizia.

113

D.Lgs 196/2003Parte I – Titolo IPrincipi Generali

- Universalità del diritto di protezione

• Art. 1 (Diritto alla protezione dei dati personali)Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

• “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione;

• Quindi, al contrario della direttiva UE 94/96, il diritto non èsolo delle persone fisiche.

114

D.Lgs 196/2003Parte I – Titolo I

Principi Generali (2)

- Finalità: rispetto della dignità, delle libertàindividuali (art. 2 della Costituzione), della riservatezza

• Art. 2 (Finalità) 1. Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle liberta' fondamentali, nonche' della dignita' dell'interessato, con particolare riferimento alla riservatezza, all'identita' personale e al diritto alla protezione dei dati personali.2. Il trattamento dei dati personali e' disciplinato assicurando un elevato livello di tutela dei diritti e delle liberta' di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalita' previste per il loro esercizio da parte degli interessati, nonche' per l'adempimento degli obblighi da parte dei titolari del trattamento.

115


Principi Generali (3)- Principio di necessità, opportunità della

anonimizzazione, quando possibile

• Art. 3 (Principio di necessità nel trattamento dei dati)I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalitàche permettano di identificare l'interessato solo in caso di necessita.

116


Principi Generali (4)• Questo principio non è presente né nella Direttiva n.

95/46 né nella legge n. 675/96 ed impone un obbligo alquanto oneroso.

• Non è sempre facile, infatti, stabilire se le finalitàpossono essere realizzate mediante dati anonimi?

• L’ ampiezza della definizione di dato personale rende problematico pensare ad un trattamento che non utilizzi dati personali.

• Difficoltà dell’effettiva anonimizzazione

117


Principi Generali (5) – Definizioni (Art. 4)• “trattamento”, qualunque operazione compiuta sui

dati dalla raccolta fino alla cancellazione o distruzione compresa;

• “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione;

• “dati identificativi”, i dati personali che permettono l’identificazione diretta dell’interessato;

• "dati anonimi", i dati che non possono essere associati a un interessato identificato o identificabile;

118


Principi Generali (6) – Definizioni (Art. 4)• “dati sensibili”, i dati personali idonei a rivelare

l'origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

• “dati giudiziari”, i dati personali idonei a rivelare determinati provvedimenti in materia di casellario giudiziale o la qualità di imputato o di indagato in un procedimento penale;

• "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;

119


Principi Generali (5) – Definizioni (Art. 4)

• "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati;

• "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati

• "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;

120


Principi Generali (5) – Definizioni (Art. 4)

• "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;

• "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;

• "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;

121


Principi Generali (6) – Applicazione (Art. 5)- Universalità dell’applicazione del Decreto

• Art. 5 (Oggetto ed ambito di applicazione)1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque e' stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranita' dello Stato.2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque e' stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul trattamento dei dati personali.3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali e' soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilita' e di sicurezza dei dati di cui agli articoli 1 e 31.

122

D.Lgs 196/2003Parte I – Titolo II

Diritti dell’Interessato- Diritto fondamentale dell’interessato di conoscere se, da chi e

come il trattamento è effettuato, da chi i dati sono stati acquisiti

• Art. 7 (Diritto di accesso ai dati personali ed altri diritti)

1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

2. L'interessato ha diritto di ottenere l'indicazione:a) dell'origine dei dati personali;b) delle finalita' e modalita' del trattamento;c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualita' di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.…

123


Diritti dell’Interessato (2)- Diritti fondamentali di intervento: aggiornamento, cancellazione, garanzie,

opposizione

• Art. 7 (continua)

3. L'interessato ha diritto di ottenere:a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non e' necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamentesproporzionato rispetto al diritto tutelato.

4. L'interessato ha diritto di opporsi, in tutto o in parte:a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorche' pertinenti allo scopo della raccolta;b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

124


Diritti dell’Interessato (2)• Art. 8 (Esercizio dei diritti)

• Una serie di esclusioni (es. ragioni di giustizia)

• Dati di carattere oggettivo o soggettivo?

• L'esercizio dei diritti di cui all'articolo 7, quando non riguarda dati di carattere oggettivo, puo' avere luogo salvo che concerna la rettificazione o l'integrazione di dati personali di tipo valutativo, relativi a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo, nonche' l'indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento.

125


Diritti dell’Interessato (2)

• non è posto in discussione il diritto di accesso a tutti i dati personali di carattere oggettivo

• La valutazione del datore di lavoro non può essere integrata o rettificata ad opera dell’interessato. Viene, inoltre, escluso il diritto di accesso nei confronti dei giudizi, delle opinioni e delle valutazioni preliminari alle decisioni che debbono essere prese dall’azienda e alle condotte da tenersi (es. provvedimento disciplinare).

• L’interessato può, dunque, chiedere di accedere soltanto all’atto finale assunto dal datore di lavoro.

126


Diritti dell’Interessato (2)- Il responsabile deve favorire l’accesso per garantire il riscontro, che, se

richiesto deve essere in forma scritta (entro 15 giorni).

• Art. 10 (Riscontro all'interessato)…3. Salvo che la richiesta sia riferita ad un particolare trattamento o a specifici dati personali o categorie di dati personali, il riscontro all'interessato comprende tutti i dati personali che riguardano l'interessato comunque trattati dal titolare. Se la richiesta e' rivolta ad un esercente una professione sanitaria o ad un organismo sanitario si osserva la disposizione di cui all'articolo 84, comma 1.…7. Quando, a seguito della richiesta di cui all'articolo 7, commi 1 e 2, lettere a), b) e c) non risulta confermata l'esistenza di dati che riguardano l'interessato, puo'essere chiesto un contributo spese non eccedente i costi effettivamente sopportati per la ricerca effettuata nel caso specifico.8. Il contributo di cui al comma 7 non puo' comunque superare l'importo determinato dal Garante con provvedimento di carattere generale, che puo'individuarlo forfettariamente in relazione al caso in cui i dati sono trattati con strumenti elettronici e la risposta e' fornita oralmente. Con il medesimo provvedimento il Garante puo' prevedere che il contributo possa essere chiesto quando i dati personali figurano su uno speciale supporto del quale e' richiesta specificamente la riproduzione, oppure quando, presso uno o piu' titolari, si determina un notevole impiego di mezzi in relazione alla complessita' o all'entita' delle richieste ed e' confermata l'esistenza di dati che riguardano l'interessato.

127


Diritti dell’Interessato (3)• L’interessato non può godere dei diritti menzionati in alcune

particolari fattispecie, laddove prevalgono forti esigenze di segretezza: es, di indagini penali o di inchieste parlamentari, ovvero qualora i trattamenti di dati personali siano effettuati da forze di polizia per motivi di ordine pubblico.

• Le formalità richieste per l’esercizio dei diritti non è prefissata. Normalmente, per la precostituzione di una prova documentale, si utilizza la raccomandata A.R.

• Se la domanda non è esaudita nei termini, l’interessato può presentare ricorso al Garante (artt. 141 e ss.), che adotta i provvedimenti più opportuni per tutelare i diritti dell’interessato, per esempio ordinando al titolare di esibire il documento richiesto oppure disponendo il blocco di un trattamento illecito e così via (l’inosservanza di tali provvedimenti è sanzionata penalmente con la reclusione da 3 mesi a 2 anni).

128

D.Lgs 196/2003Parte I – Titolo III (Regole Generali)

Capo I – Regole per tutti i trattamenti- Tutti i trattamenti devono soddisfare requisiti di base in ordine alla

loro correttezza, liceità, adeguatezza, pertinenza ed esattezza dei dati coinvolti.

• Art. 11 (Modalita' del trattamento e requisiti dei dati)1. I dati personali oggetto di trattamento sono:a) trattati in modo lecito e secondo correttezza;b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;c) esatti e, se necessario, aggiornati;d) pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o successivamente trattati;e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

129


Capo I – Regole per tutti i trattamenti• Art. 11, lettera c): diritto all’esattezza ed

all’aggiornamento

• Vi è quindi uno specifico obbligo del titolare.

• Elementi di giudizio circa la responsabilità del titolare possono essere:

– l’ampiezza dell’errore– l’eventuale determinazione di danni patrimoniali– le misure di sicurezza adottate– i rimedi e la tempestività adottati– l’eventuale ambito di diffusione e danni connessi

130


Capo I – Regole per tutti i trattamenti (2)- Obbligo per tutti (PA e privati) di informare gli interessati in modo

chiaro, non generico, anche nel caso di raccolta mediante compilazione di un form all’interno di un sito internet.

Art. 13 (Informativa)1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:a) le finalita' e le modalita' del trattamento cui sono destinati i dati;b) la natura obbligatoria o facoltativa del conferimento dei dati;c) le conseguenze di un eventuale rifiuto di rispondere;d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualita' di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;e) i diritti di cui all'articolo 7;f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato piu' responsabili e' indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalita'attraverso le quali e' conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando e' stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, e' indicato tale responsabile.

131


Capo I – Regole per tutti i trattamenti (3)

• L’informativa serve, quindi, per consentire all’interessato l’esercizio e il controllo diretto sulle operazioni di trattamento sui propri dati personali. L’interessato è consapevole dell’ambito di circolazione delle informazioni che lo riguardano e può riappropriarsene, esercitando il diritto di cui all’art. 7.

• Gli incaricati, i responsabili, e coloro a cui i dati sono comunicati devono essere nominativamente indicati (a differenza della normativa previgente: 675/96)

132


Capo I – Regole per tutti i trattamenti (4)- In che momento viene data l’informativa?

• Art. 13 (cont.)4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, e' data al medesimo interessato all'atto della registrazione dei dati o, quando e' prevista la loro comunicazione, non oltre la prima comunicazione.

- Se manca l’informativa:

La mancata (o inidonea) informativa all’interessato viene punita dall’art.161 del Codice con una sanzione amministrativa di una somma da 3.000 a 18.000 euro, oppure da 5.000 a 30.000 euro se si tratta di dati sensibili o giudiziari; tale predetta sanzione può essere aumentata fino al triplo qualora, viste le condizionieconomiche del contravventore, risulti inefficace.

133


Capo I – Regole per tutti i trattamenti (5)• Art. 14 (Definizione di profili e della personalita'

dell'interessato)• 1. Nessun atto o provvedimento giudiziario o

amministrativo che implichi una valutazione del comportamento umano puo' essere fondato unicamente su un trattamento automatizzato di dati personali volto a definire il profilo o la personalita'dell'interessato (user profiling).

Se, invece, la valutazione è frutto di un procedimento composto, caratterizzato dall’interazione di un operatore umano con uno strumento elettronico di supporto la procedura non è sanzionata.

134



• Art. 15 (Danni cagionati per effetto del trattamento)

• 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali e' tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile (Responsabilità per l’esercizio di attività pericolose).

• 2. Il danno non patrimoniale e' risarcibile anche in caso di violazione dell'articolo 11.

135


Capo I – Regole per tutti i trattamenti (7)• Vi è un’inversione dell’onere della prova rispetto al

2043 (Risarcimento per fatto illecito).

• Infatti il 2050 prescrive che il risarcimento è dovuto dal convenuto se egli “non prova di avere adottato tutte le misure idonee ad evitare il danno” (non èsufficiente, come per il 2043 dimostrare di non aver violato norme di legge, di prudenza o di perizia).

• All’attore (danneggiato) spetta comunque l’onere della prova del nesso di causalità tra danno e trattamento dei dati (se non provato dall’Autorità Giudiziaria)

• Interviene quindi il concetto di misure idonee, diverso da quello delle misure minime (allegato B).

136



- Se un trattamento termina i dati sono distrutti. Ma potrebbero essere ceduti a terzi e/o conservati per scopi storici, statistici o scientifici

• Art. 16 (Cessazione del trattamento)1. In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono:a) distrutti;b) ceduti ad altro titolare, purche' destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformita' alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12.

137


Capo II – Regole Ulteriori per i Soggetti Pubblici- I soggetti pubblici non economici non devono richiedere il

consenso, ma possono trattare dati solo per fini istituzionali

• Art. 17 (Trattamenti di Dati che presentano rischi specifici) –Prescrizioni del Garante SANZIONI PENALI

• Art. 18 (Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici) SANZIONI PENALI1. Le disposizioni del presente capo riguardano tutti i soggetti pubblici, esclusi gli enti pubblici economici.2. Qualunque trattamento di dati personali da parte di soggetti pubblici e' consentito soltanto per lo svolgimento delle funzioni istituzionali.3. Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal presente codice, anche in relazione alla diversa natura dei dati, nonche' dalla legge e dai regolamenti.4. Salvo quanto previsto nella Parte II per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, i soggetti pubblici non devono richiedere il consenso dell'interessato.5. Si osservano le disposizioni di cui all'articolo 25 in tema di comunicazione e diffusione.

138


Capo II – Regole Ulteriori per i Soggetti Pubblici (2)• Non è quindi richiesta una specifica legge o un regolamento. Ma gli

enti pubblici possono comunicare o diffondere dati personali?

• Per prima cosa l’art. 18 rimanda all’art. 25 (che è incluso in un capo relativo ai soggetti privati o enti pubblici economici), in ordine ai divieti.

• Art. 25 (Divieti di comunicazione e diffusione)1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall'autorita' giudiziaria:a) in riferimento a dati personali dei quali e' stata ordinata la cancellazione, ovvero quando e' decorso il periodo di tempo indicato nell'articolo 11, comma 1, lettera e) (finchè dura il trattamento);b) per finalita' diverse da quelle indicate nella notificazione del trattamento, ove prescritta (art. 37 del codice – Notificazione al Gar.).2. E' fatta salva la comunicazione o diffusione di dati richieste, in conformita' alla legge, da forze di polizia, dall'autorita' giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell'articolo 58 (Parte II- Titolo IIIDifesa e Sicurezza dello Stato), comma 2, per finalita' di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.

139


Capo II – Regole Ulteriori per i Soggetti Pubblici (3)• In aggiunta, Art. 19 stabilisce che le comunicazioni (di

dati non sensibili e giudiziari) sono possibili se:– A altri soggetti pubblici e prevista da legge o

regolamento– A altri soggetti pubblici, non prevista da legge o

regolamento, ma necessaria, e previa comunicazione al Garante (se non diversamente indicato e in caso di silenzio di 45 gg).

• Le comunicazioni a privati o a enti pubblici economici e la diffusione sono ammesse unicamente quando previste da norma di legge o regolamento.

140


Capo II – Regole Ulteriori per i Soggetti Pubblici (4)• Art. 19 (Principi applicabili al trattamento di dati diversi da quelli

sensibili e giudiziari) SANZIONI PENALI1. Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari e' consentito, fermo restando quanto previsto dall'articolo 18, comma 2 (finalitàistituzionali), anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente.2. La comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici e' ammessa quando e' prevista da una norma di legge o di regolamento. In mancanza di tale norma la comunicazione e' ammessa quando e' comunque necessaria per lo svolgimento di funzioni istituzionali e puo' essere iniziata se e' decorso il termine di cui all'articolo 39, comma 2, e non e' stata adottata la diversa determinazione ivi indicata.3. La comunicazione da parte di un soggetto pubblico a privati oa enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento.

141

D.Lgs 196/2003Obblighi di Comunicazione al Garante

• Art. 39 (Obblighi di comunicazione)1. Il titolare del trattamento e' tenuto a comunicare previamente al Garante le seguenti circostanze:a) comunicazione di dati personali da parte di un soggetto pubblico ad altro soggetto pubblico non prevista da una norma di legge o di regolamento, effettuata in qualunque forma anche mediante convenzione;b) trattamento di dati idonei a rivelare lo stato di salute previsto dal programma di ricerca biomedica o sanitaria di cui all'articolo 110, comma 1, primo periodo. 2. I trattamenti oggetto di comunicazione ai sensi del comma 1 possono essere iniziati decorsi quarantacinque giorni dal ricevimento della comunicazione salvo diversa determinazione anche successiva del Garante.3. La comunicazione di cui al comma 1 e' inviata utilizzando il modello predisposto e reso disponibile dal Garante, e trasmessa a quest'ultimo per via telematica osservando le modalita' di sottoscrizione con firma digitale e conferma del ricevimento di cui all'articolo 38, comma 2, (con formalità stabilite dal Garante)oppure mediante telefax o lettera raccomandata.

142


Capo II – Regole Ulteriori per i Soggetti Pubblici (4)

• I trattamenti di dati sensibili dei soggetti pubblici (non economici) devono essere previsti da disposizioni legislative o atti regolamentari

• Provvedimento del Garante del 30 giugno 2005 (G.U. n. 170 del 23 luglio 2005) :“le amministrazioni pubbliche hanno l'obbligo -accanto ad altri doveri in materia- di rendere trasparenti ai cittadini quali informazioni vengono raccolte tra quelle particolarmente delicate cui si è fatto riferimento; devono altresì chiarire come utilizzano queste informazioni per le finalità di rilevante interesse pubblico individuate con legge. Tali indicazioni vanno trasfuse in un atto regolamentare cui va data ampia pubblicità (artt. 4, comma 1, lett. d) ed e), 20, comma 2 e 21, comma 2, del Codice)”.

143


Capo II – Regole Ulteriori per i Soggetti Pubblici (5)• Gli schemi dei regolamenti devono essere sottoposti

al Garante per l'espressione del parere, cui i soggetti pubblici devono poi conformarsi.

• Settori omogenei possono sottoporre al Garante schemi-tipo, la cui approvazione è efficace agli schemi specifici dei singoli soggetti che adottano lo schema-tipo. Es, CRUI per Università.

• Gli atti di natura regolamentare da adottare devono essere predisposti previa ricognizione attenta dei trattamenti di dati sensibili e giudiziari in fase di attuale trattamento o che si intende trattare in futuro.

144



• Art. 20 (Principi applicabili al trattamento di dati sensibili) SANZIONI PENALI

1. Il trattamento dei dati sensibili da parte di soggetti pubblici e' consentito solo se autorizzato da espressa disposizione di leggenella quale sono specificati i tipi di' dati che possono essere trattati e di operazioni eseguibili e le finalita' di rilevante interesse pubblico perseguite.

2. Nei casi in cui una disposizione di legge specifica la finalita' di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento e' consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalita' perseguite nei singoli casi e nel rispetto dei principi di cui all'articolo 22, con atto di natura regolamentare adottato in conformita' al parere espresso dal Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo.

145


Capo II – Regole Ulteriori per i Soggetti Pubblici (7)Art. 20 (cont.) 3. Se il trattamento non e' previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attivita', tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalita' di rilevante interesse pubblico e per le quali e' conseguentemente autorizzato, ai sensi dell'articolo 26, comma 2 (autorizzazione obbligatoria del Garante per soggetti privati ed EPE, 45 giorni –silenzio dissenso), il trattamento dei dati sensibili. Il trattamento e' consentito solo se il soggetto pubblico provvede altresi' a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.

4. L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 e' aggiornata e integrata periodicamente.

• Analoghe cautele sono adottate per i dati giudiziari (art. 21) SANZIONI PENALI

146


Capo II – Regole Ulteriori per i Soggetti Pubblici (8)- Ulteriori cautele relative ai dati sensibili e giudiziari in ordine alla

prevenzione di violazione di libertà fondamentali e alla protezione di tali dati. La raccolta avviene di norma presso l’int.

• Art. 22 (Principi applicabili al trattamento di dati sensibili e giudiziari)1. I soggetti pubblici conformano il trattamento dei dati sensibili e giudiziari secondo modalita' volte a prevenire violazioni dei diritti, delle liberta' fondamentali e della dignita' dell'interessato.2. Nel fornire l'informativa di cui all'articolo 13 soggetti pubblici fanno espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale e' effettuato il trattamento dei dati sensibili e giudiziari.3. I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attivita' istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.4. I dati sensibili e giudiziari sono raccolti, di regola, presso l'interessato.

147



I principi di esattezza, pertinenza, completezza, necessità sono particolarmente rafforzati

• Art. 22 (cont)5. In applicazione dell'articolo 11, comma 1, lettere c), d) ed e), i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonche' la loro pertinenza, completezza, non eccedenza e indispensabilita' rispetto alle finalita' perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. Al fine di assicurare che i dati sensibili e giudiziari siano indispensabili rispetto agli obblighi e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli adempimenti. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o deldocumento che li contiene. Specifica attenzione e' prestata per la verifica dell'indispensabilita' dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti.

148


Capo II – Regole Ulteriori per i Soggetti Pubblici (10)Particolari misure di sicurezza per i trattamenti

elettronici• Art. 22 (cont.)

6. I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi e' autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessita'.7. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalita' che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalita' di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici.

149


Capo II – Regole Ulteriori per i Soggetti Pubblici (11)- Cautele rispetto a diffusione e utilizzo

Art. 22 (cont.)8. I dati idonei a rivelare lo stato di salute non possono essere diffusi. SANZIONI PENALI9. Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del comma 3, i soggetti pubblici sono autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalita' per le quali il trattamento e' consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi.10. I dati sensibili e giudiziari non possono essere trattati nell'ambito di test psicoattitudinali volti a definire il profilo o la personalita'dell'interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonche' i trattamenti di dati sensibili e giudiziari ai sensi dell'articolo 14, sono effettuati solo previa annotazione scritta dei motivi.11. In ogni caso, le operazioni e i trattamenti di cui al comma 10, se effettuati utilizzando banche di dati di diversi titolari, nonche' la diffusione dei dati sensibili e giudiziari, sono ammessi solo se previsti da espressa disposizione di legge. SANZIONI PENALI

150


Capo III – Regole Ulteriori per i Privati e gli EP econ.• Salvo i casi per cui è esplicitamente non previsto,

privati e Enti pubblici economici devono chiedere il consenso che deve essere:– Informato– Libero– Esplicito– Specifico

• L’omissione o l’insufficienza dell’informativa rende nullo il consenso.

• Deve essere documentato per iscritto dal titolare (dati personali)

151


Capo III – Regole Ulteriori per i Privati e gli EP econ.

• Art. 23 (Consenso) SANZIONI PENALI1. Il trattamento di dati personali da parte di privati o di enti pubblici economici e' ammesso solo con il consenso espresso dell'interessato.2. Il consenso puo' riguardare l'intero trattamento ovvero una o piu' operazioni dello stesso.3. Il consenso e' validamente prestato solo se e' espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se e' documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13. 4. Il consenso e' manifestato in forma scritta quando il trattamento riguarda dati sensibili.

152


Capo III – Regole Ulteriori per i Privati e gli EP econ. (2)

• Quando il consenso non deve essere dato?– Obblighi di legge o obblighi contrattuali– Dati prelevati da Elenchi Pubblici– Dati relativi all’esercizio di un’attività economica– Necessaria per l’incolumità fisica– Investigazioni difensive (ma non per diffusione)– Per contatti regolari con associazioni ONLUS (col

divieto della diffusione e della comunicazione all’esterno)

– Per scopi scientifici o statistici (in ossequio del codice deontologico)

153


Capo III – Regole Ulteriori per i Privati e gli EP econ. (3)• Art. 24 (Casi nei quali puo' essere effettuato il trattamento senza

consenso)

1. Il consenso non e' richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:a) e' necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;b) e' necessario per eseguire obblighi derivanti da un contratto del quale e' parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato;c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalita' che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilita' e pubblicita' dei dati;d) riguarda dati relativi allo svolgimento di attivita' economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;e) e' necessario per la salvaguardia della vita o dell'incolumita' fisica di un terzo. Se la medesima finalita' riguarda l'interessato e quest'ultimo non puo' prestare il proprio consenso per impossibilita' fisica, per incapacita' di agire o per incapacita' di intendere o di volere, il consenso e' manifestato da chi esercita legalmente la potesta', ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2;

154


Capo III – Regole Ulteriori per i Privati e gli EP econ. (4)• Art. 24 (cont.)

f) con esclusione della diffusione, e' necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;g) con esclusione della diffusione, e' necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all'attivita' di gruppi bancari e di societa' controllate o collegate, qualora non prevalgano i diritti e le liberta' fondamentali, la dignita' o un legittimo interesse dell'interessato;h) con esclusione della comunicazione all'esterno e della diffusione, e' effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalita' di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13;i) e' necessario, in conformita' ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati.

155


Capo III – Regole Ulteriori per i Privati e gli EP econ. (5)• Vi sono gli esplici divieti alla diffusione e comunicazioni previsti

anche per i soggetti pubblici (art. 25.)

• Art. 25 (Divieti di comunicazione e diffusione) SANZIONI PENALI1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall'autorita' giudiziaria:a) in riferimento a dati personali dei quali e' stata ordinata la cancellazione, ovvero quando e' decorso il periodo di tempo indicato nell'articolo 11, comma 1, lettera e);b) per finalita' diverse da quelle indicate nella notificazione del trattamento, ove prescritta.2. E' fatta salva la comunicazione o diffusione di dati richieste, in conformita' alla legge, da forze di polizia, dall'autorita' giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell'articolo 58, comma 2, per finalita' di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.

156


Capo III – Regole Ulteriori per i Privati e gli EP econ. (6)• Privati e EP economici possono trattare dati sensibili solo previo

consenso reso per iscritto dall’interessato, e previa autorizzazione del Garante

• Il Garante si pronuncia entro 45 giorni, vale il silenzio-dissenso, possono essere incluse prescrizioni restrittive

• Vi sono casi in cui il consenso non è richiesto (trattamento effettuato da associazioni, incolumità fisica, investigazione difensiva, obblighi per la gestione di un rapporto di lavoro)

• Non possono essere mai diffusi (Art. 26) SANZIONI PENALI anche per inosservanza delle prescrizioni del garante.

157


Capo III – Regole Ulteriori per i Privati e gli EP econ. (7)

• I dati giudiziari possono essere trattati solo se il trattamento è autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalita' di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili (Art. 27) SANZIONI PENALI

158

D.Lgs 196/2003Parte I – Titolo IV

Soggetti che effettuano il trattamento

• Titolare (persona fisica o giuridica)

• Responsabili (delegati per iscritto)

• Incaricati (dei singoli trattamenti, incarichi specifici, per iscritto)

• Altre figure previste dall’allegato B (amministratore di sistema, preposto alla custodia della chiave, etc.)

159


Soggetti che effettuano il trattamento (2)• Art. 29 (Responsabile del trattamento)

1. Il responsabile e' designato dal titolare facoltativamente.2. Se designato, il responsabile e' individuato tra soggetti cheper esperienza, capacita' ed affidabilita' forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.3. Ove necessario per esigenze organizzative, possono essere designati responsabili piu' soggetti, anche mediante suddivisione di compiti.4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.

160


Soggetti che effettuano il trattamento (2)

• Art. 30 (Incaricati del trattamento)1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorita' del titolare o del responsabile, attenendosi alle istruzioni impartite.2. La designazione e' effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unita' per la quale e' individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unita' medesima.

161

D.Lgs 196/2003Parte I – TitoloV (Sicurezza dei Dati e dei Sistemi)

Capo I – Misure di Sicurezza• Generico riferimento al progresso tecnico• Rischio Minimo di accesso non autorizzato• Requisiti di affidabilità e business continuity

• Art. 31(Obblighi di sicurezza)1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o nonconforme alle finalità della raccolta.

162


Capo II – Misure Minime di Sicurezza• Art. 33 (obbligo di adottare le misure minime previste nel Capo II)

SANZIONI PENALI per omissione

• Art. 34 (Trattamenti con strumenti elettronici)1. Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:a) autenticazione informatica;b) adozione di procedure di gestione delle credenziali di autenticazione;c) utilizzazione di un sistema di autorizzazione;d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita' dei dati e dei sistemi;g) tenuta di un aggiornato documento programmatico sulla sicurezza;h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari

163


Capo II – Misure Minime di SicurezzaAggiunto dalla legge 133 del 6 agosto 2008:

• « 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativadiagnosi, ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza e' sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonche' a trattamenti comunque effettuati per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1».

164


Capo II – Misure Minime di Sicurezza• Alcune misure vanno intraprese anche in assenza di

trattamenti elettronici

• Art. 35 (Trattamenti senza l'ausilio di strumenti elettronici)1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unita'organizzative;b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalita'di accesso finalizzata all'identificazione degli incaricati.

165

D.Lgs 196/2003Parte I – TitoloVI

Adempimenti

• Già l’art. 25, in ordine ai divieti di comunicazione e diffusione, rimandava alla notificazione del trattamento, prescrivendo che i divieti occorrevano nei casi di “finalita' diverse da quelle indicate nella notificazione del trattamento, ove prescritta”

• Quando il titolare deve notificare al Garante il trattamento?

• Il D.lgs 196/2003 restringe l’obbligo a determinate fattispecie, diversamente dalla legge 675/96.

166

D.Lgs 196/2003Parte I – TitoloVIAdempimenti (2)

• Art. 37 (Notificazione del trattamento) SANZIONI PENALI per notizie false1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;b) dati idonei a rivelare lo stato di salute e la vita sessuale,trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositivita', trapianto di organi e tessuti e monitoraggio della spesa sanitaria;c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

167


• Art. 37 (cont.)d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalita' dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo diservizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonche' dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilita' economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

• La modalità di notificazione è definita nell’art. 38 (telematica + firma digitale) – la legge 133/2008 introduce qualche modifica nella procedura

168


• Il titolare, se soggetto pubblico, ha l’obbligo di comunicare al Garante, previamente, la comunicazione di dati ad altro soggetto pubblico non prevista da legge o regolamento

• Entro 45 giorni il Garante può intervenire. In questo caso vale il silenzio-assenso.

• La comunicazione avviene unicamente per via telematica con firma digitale (Art. 39).

169

D.Lgs 196/2003Parte II

Disposizioni Relative a Specifici Settori• Titolo I: Ambito Giuduziario• Titolo II: Trattamento da parte di Forze di Polizia• Titolo III: Difesa e Sicurezza dello Stato• Titolo IV: Trattamenti in Ambito Pubblico• Titolo V: Trattamenti in Ambito Sanitario• Titolo VI: Istruzione• Titolo VII: Scopi storici, statistici, scientifici• Titolo VIII: Lavoro e Previdenza Sociale• Titolo IX: Sistema Bancario, Finanziario ed Assic.vo• Titolo X: comunicazioni elettroniche• Titolo XI: Libere Professioni ed Investigazione Priv.• Titolo XII: Giornalismo ed Espressione Lett. E Art.• Titolo XIII: Marketing Diretto

170

D.Lgs 196/2003Parte II

Disposizioni Relative a Specifici Settori (2)

• Specifiche prescrizioni

• Finalità di Rilevante Interesse Pubblico (condizione necessaria per il trattamento di dati sensibili e giudiziari)

• Codici di Deontologia e di Buona Condotta

• Eventuali prescrizioni relative ai segreti professionali

• Ampie sezione dedicata alle comunicazioni elettroniche

171

D.Lgs 196/2003Parte II – Titolo X (Comunicazioni Elettroniche)Capo I – Servizi di Comunicazione Elettronica

• Art. 130 (Comunicazioni indesiderate) SANZIONI PENALI1. L'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale e' consentito con il consenso dell'interessato.2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalita' ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.

172

D.Lgs 196/2003Parte II – Titolo X (Comunicazioni Elettroniche)

Capo I – Servizi di Comunicazione Elettronica (2)• Art. 130 (cont.)

4. Fatto salvo quanto previsto nel comma 1 , se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, puo' non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalita' di cui al presente comma, e' informato della possibilita' di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.5. E' vietato in ogni caso l'invio di comunicazioni per le finalita' di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l'identita' del mittente o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7.6. In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante puo', provvedendo ai sensi dell'articolo 143, comma 1, lettera b), altresi' prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.

173

D.Lgs 196/2003Parte II – Titolo IV (Ambito Pubblico)

Capo V – Particolari contrassegni

• Art. 74. Contrassegni su veicoli e accessi a centri storici

• 1. I contrassegni rilasciati a qualunque titolo per la circolazione e la sosta di veicoli a ser-vizio di persone invalide, ovvero per il transito e la sosta in zone a traffico limitato, e che devono essere esposti su veicoli, contengono i soli dati indispensabili ad individuare l’auto-rizzazione rilasciata e senza l’apposizione di simboli o diciture dai quali può desumersi la speciale natura dell’autorizzazione per effetto della sola visione del contrassegno.

• …

174

D.Lgs 196/2003Parte III

Tutela dell’Interessato e Sanzioni• L’Autorità Garante (Titolo II – L’Autorità) per la

protezione dei dati personali è stata istituita dalla legge 675/96, come organo collegiale dotato di piena autonomia e indipendenza di giudizio e di valutazione

• Il Garante è costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica tra persone che assicurano indipendenza e che sono esperti di riconosciuta competenza delle materie del diritto o dell’informatica.

• Viene eletto un Presidente. Mandato di 4 anni, rinnovabile max 1 volta.

175


Tutela dell’Interessato e Sanzioni (2)

www.garanteprivacy.it ; e-mail: [email protected]

Attuale Composizione• Presidente: Francesco Pizzetti (già Direttore della SSPA dal 1998

al 2001) • Vice Presidente: Giuseppe Chiaravalloti (già Presidente della

Regione Calabria)• Componente: Mario Paissan (secondo mandato, già deputato)• Componente: Giuseppe Fortunato (giurista, già Capo del settore

legale e legislativo della Vice Presidenza del Consiglio dei Ministri)

• Segretario Generale: Filippo Patroni Griffi (magistrato, segretario generale dal 1997).

176



• Il Segretario Generale sovrintende all’Ufficio del Garante (Titolo II, Capo II, art. 155 e seguenti)

• L’Ufficio è articolato in Dipartimenti e Servizi– Per es.: Dipartimento comunicazioni e reti telematiche – Per es.: Servizio relazioni con i mezzi di informazione

• Vi sono uffici di diretta dipendenza dalla Segreteria Generale (es, URP)

• Vi possono essere alcune unità temporanee

177


Tutela dell’Interessato e Sanzioni (4)• Le forme di tutela sono:

– Il reclamo (art. 142, 143)– La segnalazione (art. 144)– Il ricorso (art. 145 e seguenti)

• Il reclamo è presentato senza particolari formalità

• L’esito può essere un provvedimento (pubblicato sulla GU) quale il blocco o il divieto del trattamento o le misure da intraprendere

• La segnalazione può avere l’effetto del reclamo circostanziato, e potrà essere adottata se quest’ultimo non risulta possibile.

178


Tutela dell’Interessato e Sanzioni (5)• I diritti di cui all'articolo 7 possono essere fatti valere

dinanzi all'autorità giudiziaria o con ricorso al Garante (artt. 145—152).

• Il ricorso viene proposto con formalità definite (art. 147) e inviato anche telematica (firma digitale a casella PEC)

• Il provvedimento puo’ essere il blocco dei dati, la sospensione del trattamento, l’ordine di adozione di misure necessarie.

• Il soccombente (titolare o interessato) può opporsi attraverso l’ Autorità giudiziaria ordinaria

179


Tutela dell’Interessato e Sanzioni (6)• sanzioni amministrative (artt. 161—166):

- omessa o inidonea informativa all’interessato- mancata o incompleta notificazione- omessa informazione o esibizione al Garante- cessione illecita di dati

• sanzioni penali (artt. 167—172):- trattamento illecito di dati- falsità nelle dichiarazioni e notificazioni al Garante- omissione delle misure minime di sicurezza- inosservanza di provvedimenti del Garante

180


Tutela dell’Interessato e Sanzioni (7)• Art. 167 (Trattamento illecito di dati)

1. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quantodisposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, e' punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.2. Salvo che il fatto costituisca piu' grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quantodisposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45 (trasferimento all’estero vietati), e' punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

181



• Art. 168 (Falsita' nelle dichiarazioni e notificazioni al Garante)

1. Chiunque, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, e' punito, salvo che il fatto costituisca piu' grave reato, con la reclusione da sei mesi a tre anni.

182


Tutela dell’Interessato e Sanzioni (8)• Art. 169 (Misure di sicurezza)

1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 e' punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, e' impartita una prescrizione fissando un termine per la regolarizzazione noneccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessita' o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato e' ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

183



• Art. 170 (Inosservanza di provvedimenti del Garante)1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), e' punito con la reclusione da tre mesi a due anni.

184

D.Lgs 196/2003Parte III - Titolo IV –

Disposizioni Modificative, Abrogative, Transitorie e Finali

• Art. 180 (Misure di sicurezza)1. Le misure minime di sicurezza di cui agli articoli da 33 a 35 e all'allegato B) che non erano previste dal decreto del Presidente della Repubblica 28 luglio 1999, n. 318, sono adottate entro il 30 giugno 2004.2. Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle misure minime di cui all'articolo 34 e delle corrispondenti modalita' tecniche di cui all'allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura.3. Nel caso di cui al comma 2, il titolare adotta ogni possibilemisura di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi di cui all'articolo 31, adeguando i medesimi strumenti al piu' tardi entro un anno dall'entrata in vigore del codice.

185

D.Lgs 196/2003Allegato B

• DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA(Artt. da 33 a 36 del codice)

• Specifiche tecniche dettagliate

• Redazione annuale (entro il 31 marzo) di un documento che descrive i trattamenti e i criteri di sicurezza adottati (Documento Programmatico per la Sicurezza)

186

D.Lgs 196/2003Allegato B (2)

• Sistema di autenticazione informatica1. Il trattamento di dati personali con strumenti elettronici e'consentito agli incaricati dotati di credenziali di autenticazioneche consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.3. Ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione.

187


4. Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.5. La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi.6. Il codice per l'identificazione, laddove utilizzato, non puo'essere assegnato ad altri incaricati, neppure in tempi diversi.7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

188


8. Le credenziali sono disattivate anche in caso di perdita della qualita'che consente all'incaricato l'accesso ai dati personali.9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.10. Quando l'accesso ai dati e agli strumenti elettronici e' consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita' con le quali il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricatoche renda indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali e' organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano aitrattamenti dei dati personali destinati alla diffusione.

189


• Sistema di autorizzazione12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e' utilizzato un sistema di autorizzazione.13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.14. Periodicamente, e comunque almeno annualmente, e' verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

190


• Altre misure di sicurezza15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.16. I dati personali sono protetti contro il rischio di intrusione edell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita' di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento e' almeno semestrale.18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

191


• Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:19.1. l'elenco dei trattamenti di dati personali;19.2. la distribuzione dei compiti e delle responsabilita'nell'ambito delle strutture preposte al trattamento dei dati;19.3. l'analisi dei rischi che incombono sui dati;19.4. le misure da adottare per garantire l'integrita' e la disponibilita' dei dati, nonche' la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilita';19.5. la descrizione dei criteri e delle modalita' per il ripristino della disponibilita' dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;

192


19.6. la previsione di interventi formativi degli incaricati deltrattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali piu' rilevanti in rapporto alle relative attivita', delle responsabilita' che ne derivano e delle modalita' per aggiornarsi sulle misure minime adottate dal titolare. La formazione e' programmata gia' al momento dell'ingresso in servizio, nonche' in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformita' al codice, all'esterno della struttura del titolare;19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

193


• Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

20. I dati sensibili o giudiziari sono protetti contro l'accessoabusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti elettronici.21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

194


23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato disalute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalita' di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identita' genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei datiall'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico e' cifrato.

195


• Misure di tutela e garanzia

25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta dell'intervento effettuato che ne attesta la conformita' alle disposizioni del presente disciplinare tecnico.26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

196


• Trattamenti senza l'ausilio di strumenti elettroniciModalita' tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato, in caso di trattamento con strumenti diversi da quelli elettronici:

27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

197


28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.29. L'accesso agli archivi contenenti dati sensibili o giudiziari e' controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

Privacy e Sicurezza Informatica• Black hat: hacker “cattivo”, che sfrutta la propria abilità...

Documents

Transcript of Privacy e Sicurezza Informatica• Black hat: hacker “cattivo”, che sfrutta la propria abilità...