Vecchi, busatta sicurezza dei dati e dell'informazione

© ACEF Associazione Culturale Economia e Finanza

Riproduzione vietata - Tutti i diritti riservati

Meeting Nazionale ACEF 2014 «INSIEME PER LA RIPRESA»

2, 3, 14 ottobre – 4 novembre 2014

1

Sicurezza dei dati e dell’informazione

AVV. DANIELE VECCHI – AVV. FEDERICO BUSATTA

Partner Studio Legale Gianni, Origoni, Grippo, Cappelli & Partners





2

Le fonti legali degli obblighi di sicurezza

AVV. DANIELE VECCHI





3

Ampiezza della tutela

Trattamento: qualunque operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti: la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la consultazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione.

Oggetto della tutela

Dati Personali: qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente mediante riferimento a qualsiasi altra informazione (contrapposti ai dati anonimi)

Dati sensibili: dati personali idonei a rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale.

Dati giudiziari: dati personali idonei a rilevare alcuni provvedimenti giudiziari, eventuali carichi pendenti, la qualità di imputato o di indagato e la soccombenza ad eventuali sanzioni amministrative dipendenti da reato.

Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” (c.d. Codice Privacy)





4

• Trattati in modo lecito e secondo correttezza;

• Raccolti e registrati per uno scopo determinato;

• Pertinenti e completi rispetto alle finalità della raccolta;

• Conservati per un periodo non superiore a quello necessario per il raggiungimento dello scopo;

• Custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

I dati personali devono essere:





5

Regola il trattamento di dati personali svolto da liberi professionisti o da soggetti che esercitano un'attività di investigazione privata autorizzata in conformità alla legge, per svolgere le investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397 o per far valere o difendere un diritto in sede giudiziaria

Idonee cautele per prevenire l'ingiustificata raccolta, utilizzazione o conoscenza di dati in caso di:

• acquisizione anche informale di notizie, dati e documenti connotati da un alto grado di confidenzialità o che possono comportare, comunque, rischi specifici per gli interessati;

• scambio di corrispondenza, specie per via telematica;

• esercizio contiguo di attività autonome all'interno di uno Studio;

• utilizzo di dati di cui è dubbio l'impiego lecito, anche per effetto del ricorso a tecniche invasive;

• utilizzo e distruzione di dati riportati su particolari dispositivi o supporti, specie elettronici, o documenti (tabulati di flussi telefonici e informatici, consulenze tecniche e perizie, relazioni redatte da investigatori privati);

• custodia di materiale documentato, ma non utilizzato in un procedimento e ricerche su banche dati a uso interno, specie se consultabili anche telematicamente da uffici dello stesso titolare del trattamento situati altrove;

• acquisizione di dati e documenti da terzi, verificando che si abbia titolo per ottenerli;

• conservazione di atti relativi ad affari definiti.

Allegato A6 al Codice Privacy: Codice di deontologia e buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive (Provv. 6 novembre 2008)





6

• Attualmente ancora in fase di approvazione

• Immediata efficacia all’interno dei Paesi UE

• Importanti innovazioni nel sistema attuale

• Introduzione di un obbligo generale per tutti i titolari di trattamenti dati di notificare eventuali violazioni (data breaches) alle Autorità privacy e in determinati casi anche agli interessati - in Italia solo previsto per banche e fornitori di comunicazione elettronica

Proposta di Regolamento del parlamento Europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali - 25 gennaio 2012

• Art 31. In caso di violazione dei dati personali, il responsabile del trattamento notifica la violazione all’autorità di controllo senza ritardo, ove possibile entro 24 ore dal momento in cui ne è venuto a conoscenza. Qualora non sia effettuata entro 24 ore, la notificazione all’autorità di controllo è corredata di una giustificazione motivata.

• Art 32. Quando la violazione dei dati personali rischia di pregiudicare i dati personali o di attentare alla vita privata dell’interessato, il responsabile del trattamento, dopo aver provveduto alla notificazione di cui all’articolo 31, comunica la violazione all’interessato senza ingiustificato ritardo.





7

Art. 9 - Dovere di segretezza e riservatezza

È dovere, oltre che diritto, primario e fondamentale dell’avvocato mantenere il segreto sull’attività prestata e su tutte le informazioni che siano a lui fornite dalla parte assistita o di cui sia venuto a conoscenza in dipendenza del mandato.

I. L’avvocato è tenuto al dovere di segretezza e riservatezza anche nei confronti degli ex-clienti, sia per l’attività giudiziale che per l’attività stragiudiziale.

II. La segretezza deve essere rispettata anche nei confronti di colui che si rivolga all’avvocato per chiedere assistenza senza che il mandato sia accettato.

III. L’avvocato è tenuto a richiedere il rispetto del segreto professionale anche ai propri collaboratori e dipendenti e a tutte le persone che cooperano nello svolgimento dell’attività professionale.

IV. Costituiscono eccezione alla regola generale i casi in cui la divulgazione di alcune informazioni relative alla parte assistita sia necessaria:

a. per lo svolgimento delle attività di difesa;

b. al fine di impedire la commissione da parte dello stesso assistito di un reato di particolare gravità;

c. al fine di allegare circostanze di fatto in una controversia tra avvocato e assistito;

d. in un procedimento concernente le modalità della difesa degli interessi dell’assistito.

In ogni caso la divulgazione dovrà essere limitata a quanto strettamente necessario per il fine tutelato.

Codice Deontologico Forense - principi e modalità di esercizio dell’Avvocatura, nei suoi rapporti con il cliente, con la controparte, con altri avvocati e con altri professionisti





8

Nuova formulazione dell’obbligo in attuazione della l. 247/2012 che apporta modifiche al Codice Deontologico

Art. 13 – Dovere di segretezza e riservatezza

L’avvocato è tenuto, nell’interesse del cliente e della parte assistita, alla rigorosa osservanza del segreto professionale e al massimo riserbo su fatti e circostanze in

qualsiasi modo apprese nell’attività di rappresentanza e assistenza in giudizio, nonché nello svolgimento dell’attività di consulenza legale e assistenza

stragiudiziale e comunque per ragioni professionali.





9

Le misure di sicurezza minime e adeguate

AVV. DANIELE VECCHI





10

I dati trattati dallo Studio devono essere protetti da misure di sicurezza preventive per ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato ai dati

– “Misure minime”: il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’art. 31 del Codice Privacy

Protezione dei dati per assicurare riservatezza ed affidabilità: le misure di sicurezza privacy





11

Trattamento dei dati con strumenti elettronici

– Autenticazione informatica

– Procedure di gestione delle credenziali di autenticazione

– Utilizzazione di un sistema di autorizzazione

– Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito agli incaricati e addetti alla gestione e manutenzione sistemi

– Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti

– Procedure per la custodia di copie di back-up e per ripristino della disponibilità dei dati e dei sistemi





12

Trattamento dei dati con strumenti non elettronici

– Aggiornamento periodico ambito di trattamento consentito

– Procedure per l’idonea custodia di atti e documenti

– Procedure per la conservazione di determinati atti in archivi ad accesso selezionato

– Individuazione modalità di accesso per l’identificazione degli incaricati

• Le misure minime di sicurezza privacy sono obbligatorie e la loro

mancata implementazione ha risvolti anche sul piano penale (art.

33-36 e Allegato B del Codice Privacy)





13

I dati personali oggetto di trattamento sono custoditi e controllati anche in relazione:

– Alle conoscenze acquisite in base al progresso tecnico;

– Alla natura dei dati;

– Alle specifiche caratteristiche del trattamento.

Misure di sicurezza adeguate





14

Temi connessi alla disciplina del D.Lgs 231/01 - Il Sistema normativo introdotto dal D.Lgs. 231/01; - I modelli di organizzazione, gestione e controllo; - il ruolo dell’organismo di vigilanza; - il sistema sanzionatorio





15

Le aspettative di sicurezza da parte dei clienti

AVV. DANIELE VECCHI





16

– esigenza di affidabilità nel trattamento dei dati e delle informazioni di titolarità del cliente in sede di instaurazione della relazione col professionista;

– aspettativa del cliente che affida un incarico allo Studio che i propri dati vengano usati dal professionista con standard di riservatezza e protezione equivalenti o superiori a quelli adottati dalla propria struttura organizzativa;

– complesso di requisiti di sicurezza che devono essere soddisfatti affinché lo Studio acceda alle informazioni di proprietà del cliente (anche in relazione alla natura e grado di confidenzialità delle stesse).

Le aspettative di sicurezza da parte dei clienti





17

Costituiscono oggetto di tutela le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, soggette al legittimo controllo del detentore, purché tali informazioni:

– siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed agli operatori del settore;

– abbiano valore economico in quanto segrete;

– siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete

Tutela delle informazioni segrete - Decreto Legislativo 10 febbraio 2005, n. 30, Codice della Proprietà Industriale





18

Lo Studio deve garantire - di pari passo con l’evoluzione tecnologica e specializzazione tematica - che i dati dei clienti raccolti, trattati e conservati dalla propria struttura siano al sicuro da qualsiasi accesso abusivo ed uso improprio

Le violazioni delle informazioni e dei dati personali (data breach) possono allontanare i clienti e distruggere la credibilità dello Studio





19

Vendor requirements = per instaurare relazioni professionali durature e offrire servizi ai clienti è necessario dimostrare di avere elevati standard di sicurezza

– Fisica: protezione dall’accesso intenzionale e non autorizzato ai locali e agli archivi;

– Logica: protezione delle architetture di rete, degli applicativi e della trasmissione dei dati, integrità e disponibilità dei dati;

– Organizzativa: distribuzione di compiti e responsabilità, istruzioni.





20

Tendenza diffusa dei clienti (es. multinazionali) di vigilanza e audit sull'attività di trattamento dei propri dati e informazioni all'interno della sfera operativa dello Studio al fine di verificare che il livello di protezione sia adeguato

• Relazioni e stesura di report sulle misure di sicurezza adottate, su base periodica o su richiesta del cliente

• Puntuali dichiarazioni di conformità in relazione a quanto stabilito dalla normativa privacy

• Liste di controllo e Risk assessment questionnaire con domande mirate e risposte multiple

• consegna di copia del Documento Programmatico sulla Sicurezza

• “Sigillo” privacy …

• … e persino audit fisici, in sede





21

Gli audit interni ed esterni

AVV. FEDERICO BUSATTA

Partner Studio Legale Gianni, Origoni, Grippo, Cappelli & Partners





Gli audit interni ed esterni - programmazione dell’audit; - coordinamento delle attività; - conclusioni e reportistica





23

La gestione degli obblighi di sicurezza

AVV. FEDERICO BUSATTA





24

Gestire gli obblighi di sicurezza per prevenire violazioni di dati personali e informazioni, causate principalmente da:

– Negligenza o errore umano

– Guasti tecnici ed errori di sistema

– Crimini e attacchi informatici

Gestione globale degli obblighi di sicurezza





25

1. Definizione della struttura organizzativa (Titolare, Responsabile, Incaricato del trattamento) e rispettive competenze in tema di gestione della sicurezza:

• Mappatura completa dei flussi di dati interni ed esterni;

• Definizione e verifica annuale dei profili di autorizzazione;

• Formazione;

• Previsione di controlli e azioni disciplinari in caso di condotte anomale.





26

2. Censimento periodico dei dati e delle informazioni trattate, dei supporti fisici ed elettronici di trattamento e conservazione:

• Analisi dei rischi ed individuazione delle rispettive strategie di gestione;

• Redazione, verifica ed aggiornamento di procedure di sicurezza interna e risk management;

• Periodica verifica delle misure di sicurezza adottate (audit interni, colloqui con IT, questionari di autovalutazione, report, ecc.);

• Ripristino disponibilità dei dati e realizzazione di copie di sicurezza (backup e disaster recovery).





27

3. Cancellazione o trasformazione in forma anonima dei dati in tempi compatibili con il perseguimento delle relative finalità (es. espletamento dell’incarico professionale):

• Controlli di vulnerabilità dei sistemi (es. penetration tests, etc.) nei sistemi di elaborazione e database utilizzati per i trattamenti;

• Definizione, verifica e aggiornamento di procedure sull’utilizzo di dispositivi portatili;

• Verifiche, controlli, garanzie sulle attività esternalizzate di trattamento (es. outsourcing, cloud).

Vecchi, busatta sicurezza dei dati e dell'informazione

Documents

Transcript of Vecchi, busatta sicurezza dei dati e dell'informazione