la sicurezza informatica dal punto di vista del diritto
Transcript
la sicurezza informatica dal punto di vista del diritto
I rischi legati al trattamento dei dati e gli adempimenti obbligatori per le aziende STUDIO LEGALE SAVINO, Via Monte Santo 14 – Roma Email: [email protected] - Telefono: 06-3728446 Studio Legale Savino [email protected] Legge 547/93 “Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità informatica” Modifica, integra, sia il codice penale che quello di procedura penale, in materia di crimini informatici. Introduce valore giuridico ad una serie di condotte illecite realizzate, con e su elaboratori elettronici, che in precedenza non trovavano alcuna copertura normativa (es. frode informatica, concetto di domicilio informatico) Studio Legale Savino [email protected] D. LGS. 231/01 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica” Introduce nel ns ordinamento un nuovo regime di responsabilità degli enti, derivante dalla commissione (anche tentata) di determinati reati nell’interesse o a vantaggio degli enti stessi. “Societas delinquere non potest” L’obiettivo è quello di colpire il patrimonio degli enti e quindi l’interesse economico dei soci che hanno tratto un vantaggio dalla commissione di determinati reati da parte delle persone fisiche che rappresentano l’ente o che operano per l’ente. Studio Legale Savino [email protected] D. LGS. 196/03 "Codice in materia di protezione dei dati personali" Il D. Lgs. 196/03 è un codice e costituisce il c.d testo unico sulla privacy, che sostituisce la legge n. 675/96 ed il Dpr 318/98, etc. Esso obbliga a custodire e controllare i dati personali (sensibili e giudiziari) mediante l'adozione di misure di sicurezza idonee a prevenire il rischio di perdita dei dati, di accesso non autorizzato o di trattamento non consentito. Studio Legale Savino [email protected] Legge sulla privacy (D.Lgs. 196/2003) Tutela della riservatezza Tutela dei dati personali Tutela dei dati sensibili e/o giudiziari Studio Legale Savino [email protected] D. LGS. 82/05 e s.m.i. “Codice dell'amministrazione digitale” Il Codice dell'Amministrazione Digitale ha raccolto ed organizzato in un unico contesto normativo le principali norme già esistenti in materia di informatizzazione amministrativa (per es. le norme sulla firma digitale e sui certificatori, già presenti sul D.P.R. n. 445/2000 “testo unico sulla documentazione amministrativa“) allo scopo di favorire l’implementazione e l’utilizzo dei sistemi informatici nei rapporti sussistenti tra la p.a. ed i cittadini. Studio Legale Savino [email protected] Gli standard di sicurezza Sono metodologie elaborate con lo scopo di favorire e di migliorare il livello di sicurezza dei sistemi informatici. In alcuni casi è possibile ottenere anche una certificazione da apposite istituzioni abilitate a rilasciarla (utile, per es. a negoziare condizioni di polizza vantaggiose sul rischio derivante dalla sicurezza informatica). Studio Legale Savino [email protected] IL DIRITTO DELLA SICUREZZA INFORMATIVA FISICA O METAFISICA del “dato”? Studio Legale Savino [email protected] 10 In informatica per dato s’intende: “Elemento costitutivo dell‘informazione, rappresentazione in forma convenzionale di un fatto, di un concetto, di un oggetto o di una situazione, suscettibile di trattamento per mezzo di macchine”. Es.: il nome o il formato di un file, la data di edizione di un volume, una transazione di commercio elettronico, il titolo di un libro, una cella di Excel, un'immagine, il numero di abitanti di una città, il numero di accessi a un sito web. Fonte: www.ilsapere.it Studio Legale Savino [email protected] LA DEFINIZIONE KANTIANA Il valore del “dato” come elemento originario. Secondo Kant il “dato” è costituito da ciò che è presente nell'oggetto e che noi percepiamo attraverso l'intuizione sensibile. In senso più ampio è la sua rappresentazione a un'esperienza reale o possibile, in cui il legame con la sensibilità è essenziale Binomio di materialità ed esperienza sensoriale FISICA E METAFISICA Studio Legale Savino [email protected] DALLA FISICA ALLA METAFISICA: IL CORPO ELETTRONICO “Di chi é il corpo? Della persona interessata, della sua cerchia familiare, di un Dio che l'ha donato, di una natura che lo vuole inviolabile, di un potere sociale che in mille modi se ne impadronisce, di un medico o di un magistrato che ne stabiliscono il destino? E di quale corpo stiamo parlando?*” * Prof. Stefano Rodotà Studio Legale Savino [email protected] 13 Qualunque informazione relativa a persona fisica, (persona giuridica, ente od associazione), identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Studio Legale Savino [email protected] Studio Legale Savino [email protected] 15 Studio Legale Savino [email protected] 16 LA CONDIVISIONE DEL DATO Studio Legale Savino [email protected] Conoscenza vuol dire saper usare le informazioni. Come si usano le informazioni? Attraverso una corretta selezione ed un’attenta valutazione, operando i giusti collegamenti, elaborando in maniera sistemica ed aggregando i dati quando è necessario Studio Legale Savino [email protected] Studio Legale Savino [email protected] Sensibili Comuni Giudiziari DATI PERSONALI Studio Legale Savino [email protected] Dati personali idonei a rivelare: l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Studio Legale Savino [email protected] I dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313 in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. Studio Legale Savino [email protected] la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessio ne il blocco, la comunicazion e, la diffusione, la cancellazione e la distruzione di dati. concernenti la raccolta, la registrazione, l'organizzazione , la conservazione, l'elaborazione, Studio Legale Savino [email protected] Dati Personali Trattamento Attori responsabili Studio Legale Savino [email protected] ATTORI TRATTAMENTO DATI Studio Legale Savino [email protected] IL CONCETTO DEL DIRITTO DELLA SICUREZZA INFORMATICA Il diritto della sicurezza informatica è quella branca del diritto che ha ad oggetto situazioni di illegittimità (civile, penale ed amministrativa) compiute su di un sistema informatico (fine) o tramite le risorse informatiche (mezzo). Principale obbiettivo è la protezione dei dati (di sistema, personali, aziendali, di business, etc.) Studio Legale Savino [email protected] Studio Legale Savino [email protected] Studio Legale Savino [email protected] Tutela Amministrativa:Garante Tutela giurisdizionale: Giudice Ordinario Studio Legale Savino [email protected] Per il risarcimento dei danni l’unica forma di tutela ammessa è quella davanti al Giudice Ordinario Studio Legale Savino [email protected] Responsabilità Penale Misure di sicurezza (art. 169) Detenzione Multa Studio Legale Savino [email protected] CONCETTO DI IDONEITÀ E VALUTAZIONE DEL RISCHIO Parametri di scelta delle misure idonee: ◦ progresso tecnologico ◦ natura dei dati trattati ◦ specifiche caratteristiche del trattamento Le misure di sicurezza idonee vengono identificate a seguito dell’attività di Analisi dei rischi Studio Legale Savino [email protected] Danni per effetto di trattamento (art. 15) Danno patrimoniale Danno non patrimoniale Art. 2050 c.c. onere della prova a carico del Titolare del trattamento Studio Legale Savino [email protected] Il Furto d’identità si consuma mediante compimento di 2 fasi realizzative: 1) La ricerca e l’impossessamento indebito di informazioni personali riguardanti un dato soggetto 2) L’utilizzo di tali informazioni per creare una sorta di “clone” e compiere azioni, spesso illecite, attribuendone la paternità al reale titolare delle informazioni (sostituzione di persona) Studio Legale Savino [email protected] DATI ANAGRAFICI (nome, cognome, luogo e data di nascita, indirizzo, n. di telefono) CODICE FISCALE NUMERO CARTA DI CREDITO ESTREMI C/C BANCARIO ULTERIORI INFO: (luogo di lavoro, targa automobilistica nomi dei genitori e nome dei figli, nomi di eventuali animali domestici, etc.) Studio Legale Savino [email protected] CLOUD COMPUTING Il cloud computing consiste nella condivisione e/o conservazione di dati e/o applicazioni su server di proprietà o gestiti da terzi ai quali si accede tramite rete internet (nuvole private, pubbliche e ibride) VANTAGGI: costi, efficienza, politiche di sicurezza e responsabilità (a cura del cloud provider) business continuity, etc. RISCHI: riservatezza dei dati e sicurezza delle informazioni. Studio Legale Savino [email protected] I rischi legati alle nuove forme di trattamento dei dati sulle “nuvole” I Principali Rischi: 1) Riservatezza/accesso abusivo (criminali informatici, competitors, dipendenti infedeli, etc. ) 2) Integrità/conservazione (esattezza, conservazione e recuperabilità) 3) Disponibilità/cancellazione (rispetto del principio di pertinenza e non eccedenza del trattamento) Studio Legale Savino [email protected] CRITICITA’ Le maggiori criticità legate al claud compunting sono: Ubicazione dei dati - in violazione del codice privacy e dalle direttive europee - in data center residenti in paesi lontani extracomunitari (alcuni provider stanno cercando superare il problema collocandoli in acque internazionali) Il contratto di servizi cloud. Non esiste una tipologia standard (causa mista) e, pertanto, chi ha maggiore forza contrattuale “detta legge” (di solito abbondano clausole vessatorie e dislaimer di responsabilità per i provider) Studio Legale Savino [email protected] CONSIDERAZIONI CONCLUSIVE Un approccio corretto per le aziende: la “due diligence legale sulla sicurezza” La due diligence (dovuta diligenza) legale sulla sicurezza è una metodologia volta alla valutazione di un’impresa in termini di corrispondenza e di adeguamento alle normative vigenti ed agli adempimenti obbligatori da esse previste. Studio Legale Savino [email protected] La contrattualistica aziendale (dipendenti, clienti, fornitori, collaboratori, p.a. etc.) Salute e sicurezza dei lavoratori sui luoghi di lavoro e rischio di incidenti rilevanti Rapporti con la pubblica amministrazione (concessioni ed autorizzazioni) Adozione di un modello di organizzazione, gestione e controllo (D. Lgs.231/01) Studio Legale Savino [email protected] Accertamento circa gli adempimenti previsti dal D. Lgs. 196/03, al fine di evitare le pesanti sanzioni, anche di natura penale. Con particolare riguardo alla individuazione delle figure preposte al trattamento dei dati (responsabile, incaricati, amministratore di sistema), alla all’informativa relativa da nomina rendere a di tutti essi gli in forma scritta, interessati (clienti, dipendenti, fornitori, etc.), alla realizzazione di un documento illustrativo sulla sicurezza che preveda idonei procedure nel rispetto delle misure di sicurezza minime ed idonee. Studio Legale Savino [email protected] Proprietà intellettuale e industriale (analisi dei brevetti e delle licenze, dei marchi e della loro registrazione, etc.) Analisi delle risorse umane utilizzate per l’esercizio delle proprie attività (lavoratori subordinati, collaboratori a progetto, etc. etc. … etc …. etc … etc … Studio Legale Savino [email protected] Studio Legale Savino [email protected] STUDIO LEGALE SAVINO ROMA VIA MONTE SANTO 14 [email protected] Tel. 06-3728446 Studio Legale Savino [email protected]