la sicurezza informatica dal punto di vista del diritto

Transcript

I rischi legati al trattamento dei dati e gli
adempimenti obbligatori per le aziende
STUDIO LEGALE SAVINO, Via Monte Santo 14 – Roma
Email: [email protected] - Telefono: 06-3728446
Studio Legale Savino
[email protected]
Legge 547/93
“Modificazioni ed integrazioni alle norme del
codice penale e del codice di procedura penale
in tema di criminalità informatica”
Modifica, integra, sia il codice penale che
quello di procedura penale, in materia di
crimini informatici.
Introduce valore giuridico ad una serie di
condotte illecite realizzate, con e su
elaboratori elettronici, che in precedenza
non trovavano alcuna copertura normativa
(es. frode informatica, concetto di domicilio
informatico)
[email protected]
D. LGS. 231/01
“Disciplina della responsabilità amministrativa delle persone
giuridiche, delle società e delle associazioni anche prive di
personalità giuridica”
Introduce nel ns ordinamento un nuovo regime di
responsabilità
degli
enti,
derivante
dalla
commissione (anche tentata) di determinati reati
nell’interesse o a vantaggio degli enti stessi.
“Societas delinquere non potest”
L’obiettivo è quello di colpire il patrimonio degli
enti e quindi l’interesse economico dei soci che
hanno tratto un vantaggio dalla commissione di
determinati reati da parte delle persone fisiche che
rappresentano l’ente o che operano per l’ente.
[email protected]
D. LGS. 196/03
"Codice in materia di protezione dei dati
personali"
Il D. Lgs. 196/03 è un codice e costituisce il
c.d testo unico sulla privacy, che sostituisce
la legge n. 675/96 ed il Dpr 318/98, etc.
Esso obbliga a custodire e controllare i dati
personali (sensibili e giudiziari) mediante
l'adozione di misure di sicurezza idonee a
prevenire il rischio di perdita dei dati, di
accesso non autorizzato o di trattamento
non consentito.
[email protected]
Legge sulla
privacy
(D.Lgs.
196/2003)
Tutela della
riservatezza
Tutela dei dati
personali
Tutela dei dati
sensibili e/o
giudiziari
[email protected]
D. LGS. 82/05 e s.m.i.
“Codice dell'amministrazione digitale”
Il Codice dell'Amministrazione Digitale ha
raccolto ed organizzato in un unico contesto
normativo le principali norme già esistenti in
materia di informatizzazione amministrativa
(per es. le norme sulla firma digitale e sui
certificatori, già presenti sul D.P.R. n.
445/2000
“testo
unico
sulla
documentazione
amministrativa“)
allo
scopo di favorire l’implementazione e l’utilizzo
dei sistemi informatici nei rapporti sussistenti
tra la p.a. ed i cittadini.
[email protected]
Gli standard di sicurezza
Sono metodologie elaborate con lo scopo di
favorire e di migliorare il livello di sicurezza
dei sistemi informatici.
In alcuni casi è possibile ottenere anche
una certificazione da apposite istituzioni
abilitate a rilasciarla (utile, per es. a
negoziare condizioni di polizza vantaggiose
sul rischio derivante dalla sicurezza
informatica).
[email protected]
IL DIRITTO DELLA
SICUREZZA INFORMATIVA
FISICA O METAFISICA
del “dato”?
[email protected]
10
 
 
In informatica per dato s’intende: “Elemento
costitutivo dell‘informazione, rappresentazione in
forma convenzionale di un fatto, di un concetto,
di un oggetto o di una situazione, suscettibile di
trattamento per mezzo di macchine”.
Es.: il nome o il formato di un file, la data di
edizione di un volume, una transazione di
commercio elettronico, il titolo di un libro, una
cella di Excel, un'immagine, il numero di abitanti
di una città, il numero di accessi a un sito web.
Fonte: www.ilsapere.it
[email protected]
 
 
LA DEFINIZIONE KANTIANA
Il valore del “dato” come elemento originario.
 
Secondo Kant il “dato” è costituito da ciò che è presente
nell'oggetto e che noi percepiamo attraverso l'intuizione
sensibile. In senso più ampio è la sua rappresentazione a
un'esperienza reale o possibile, in cui il legame con la
sensibilità è essenziale
 
Binomio di materialità ed esperienza sensoriale
FISICA E METAFISICA
 
[email protected]
DALLA FISICA ALLA METAFISICA: IL CORPO
ELETTRONICO
“Di chi é il corpo? Della persona interessata,
della sua cerchia familiare, di un Dio che l'ha
donato, di una natura che lo vuole inviolabile, di
un potere sociale che in mille modi se ne
impadronisce, di un medico o di un magistrato
che ne stabiliscono il destino?
E di quale corpo stiamo parlando?*”
* Prof. Stefano Rodotà
[email protected]
13
Qualunque informazione relativa a
persona fisica, (persona giuridica,
ente od associazione), identificati o
identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra
informazione,
ivi
compreso
un
numero di identificazione personale.
[email protected]
[email protected]
15
[email protected]
16
LA CONDIVISIONE DEL DATO
[email protected]
 
Conoscenza vuol dire saper usare le
informazioni.
 
Come si usano le informazioni?
Attraverso una corretta selezione ed
un’attenta valutazione, operando i giusti
collegamenti,
elaborando
in
maniera
sistemica ed aggregando i dati quando è
necessario
 
[email protected]
[email protected]
Sensibili
Comuni
Giudiziari
DATI
PERSONALI
[email protected]
Dati personali idonei a
rivelare:
l'origine razziale ed etnica,
le convinzioni religiose,
filosofiche o di altro genere,
le opinioni politiche,
l'adesione a partiti,
sindacati, associazioni od
organizzazioni a carattere
religioso, filosofico, politico o
sindacale,
nonché i dati personali
idonei a rivelare lo stato di
salute e la vita sessuale.
[email protected]
I dati personali idonei a rivelare
provvedimenti di cui all'articolo
3, comma 1, lettere da a) a o)
e da r) a u), del D.P.R. 14
novembre 2002, n. 313 in
materia di casellario giudiziale,
di anagrafe delle sanzioni
amministrative dipendenti da
reato e dei relativi carichi
pendenti, o la qualità di
imputato o di indagato ai sensi
degli articoli 60 e 61 del codice
di procedura penale.
[email protected]
la
modificazione,
la selezione,
l'estrazione, il
raffronto,
l'utilizzo,
l'interconnessio
ne
il blocco, la
comunicazion
e, la
diffusione, la
cancellazione
e la
distruzione di
dati.
concernenti la
raccolta, la
registrazione,
l'organizzazione
, la
conservazione,
l'elaborazione,
[email protected]
Dati
Personali
Trattamento
Attori
responsabili
[email protected]
ATTORI
TRATTAMENTO
DATI
[email protected]
IL CONCETTO DEL DIRITTO DELLA
SICUREZZA INFORMATICA
Il diritto della sicurezza informatica è quella
branca del diritto che ha ad oggetto
situazioni di illegittimità (civile, penale ed
amministrativa) compiute su di un sistema
informatico (fine) o tramite le risorse
informatiche (mezzo).
Principale obbiettivo è la protezione dei dati
(di
sistema,
personali,
aziendali,
di
business, etc.)
[email protected]
[email protected]
[email protected]
Tutela
Amministrativa:Garante
Tutela giurisdizionale:
Giudice Ordinario
[email protected]
Per il risarcimento dei
danni l’unica forma di
tutela ammessa è
quella davanti al
Giudice Ordinario
[email protected]
Responsabilità Penale
Misure di sicurezza (art. 169)
Detenzione
Multa
[email protected]
CONCETTO DI IDONEITÀ E VALUTAZIONE DEL RISCHIO
  Parametri
di scelta delle misure idonee:
◦  progresso tecnologico
◦  natura dei dati trattati
◦  specifiche caratteristiche del trattamento
Le misure di
sicurezza idonee
vengono
identificate a
seguito
dell’attività di
Analisi dei rischi
[email protected]
Danni per effetto di trattamento (art. 15)
Danno patrimoniale
Danno non patrimoniale
Art. 2050 c.c.
onere della prova a carico del
Titolare del trattamento
[email protected]
Il Furto d’identità si consuma mediante
compimento di 2 fasi realizzative:
1) La ricerca e l’impossessamento indebito di
informazioni personali riguardanti un dato
soggetto
2) L’utilizzo di tali informazioni per creare una sorta
di “clone” e compiere azioni, spesso illecite,
attribuendone la paternità al reale titolare delle
informazioni (sostituzione di persona)
[email protected]
 
 
 
 
 
DATI ANAGRAFICI (nome, cognome, luogo e data di
nascita, indirizzo, n. di telefono)
CODICE FISCALE
NUMERO CARTA DI CREDITO
ESTREMI C/C BANCARIO
ULTERIORI INFO: (luogo di lavoro, targa automobilistica
nomi dei genitori e nome dei figli, nomi di eventuali animali
domestici, etc.)
[email protected]
CLOUD COMPUTING
 
Il cloud computing consiste nella condivisione e/o
conservazione di dati e/o applicazioni su server di
proprietà o gestiti da terzi ai quali si accede
tramite rete internet (nuvole private, pubbliche e
ibride)
 
VANTAGGI: costi, efficienza, politiche di sicurezza
e responsabilità (a cura del cloud provider)
business continuity, etc.
 
RISCHI: riservatezza dei dati e sicurezza delle
informazioni.
[email protected]
I rischi legati alle nuove forme di
trattamento dei dati sulle “nuvole”
I Principali Rischi:
1) Riservatezza/accesso abusivo (criminali
informatici, competitors, dipendenti infedeli, etc. )
2) Integrità/conservazione (esattezza,
conservazione e recuperabilità)
3) Disponibilità/cancellazione (rispetto del
principio di pertinenza e non eccedenza del
trattamento)
[email protected]
CRITICITA’
Le maggiori criticità legate al claud compunting
sono:
 Ubicazione dei dati - in violazione del codice
privacy e dalle direttive europee - in data center
residenti in paesi lontani extracomunitari (alcuni
provider stanno cercando superare il problema
collocandoli in acque internazionali)
 Il contratto di servizi cloud. Non esiste una
tipologia standard (causa mista) e, pertanto, chi ha
maggiore forza contrattuale “detta legge” (di solito
abbondano clausole vessatorie e dislaimer di
responsabilità per i provider)
[email protected]
CONSIDERAZIONI CONCLUSIVE
Un approccio corretto per le aziende: la “due
diligence legale sulla sicurezza”
La due diligence (dovuta diligenza) legale
sulla sicurezza è una metodologia volta alla
valutazione di un’impresa in termini di
corrispondenza e di adeguamento alle
normative vigenti ed agli adempimenti
obbligatori da esse previste.
[email protected]
  La
contrattualistica aziendale (dipendenti,
clienti, fornitori, collaboratori, p.a. etc.)
  Salute e sicurezza dei lavoratori sui luoghi
di lavoro e rischio di incidenti rilevanti
  Rapporti con la pubblica amministrazione
(concessioni ed autorizzazioni)
  Adozione di un modello di organizzazione,
gestione e controllo (D. Lgs.231/01)
[email protected]
 
Accertamento circa gli adempimenti previsti dal D. Lgs. 196/03,
al fine di evitare le pesanti sanzioni, anche di natura penale.
 
Con particolare riguardo alla individuazione delle figure preposte
al trattamento dei dati (responsabile, incaricati, amministratore di
sistema),
alla
all’informativa
relativa
da
nomina
rendere
a
di
tutti
essi
gli
in
forma
scritta,
interessati
(clienti,
dipendenti, fornitori, etc.), alla realizzazione di un documento
illustrativo sulla sicurezza che preveda idonei procedure nel
rispetto delle misure di sicurezza minime ed idonee.
[email protected]
  Proprietà
intellettuale e industriale (analisi
dei brevetti e delle licenze, dei marchi e
della loro registrazione, etc.)
  Analisi
delle risorse umane utilizzate per
l’esercizio delle proprie attività (lavoratori
subordinati, collaboratori a progetto, etc.
 
etc. … etc …. etc … etc …
[email protected]
[email protected]
STUDIO LEGALE SAVINO
ROMA VIA MONTE SANTO 14
[email protected]
Tel. 06-3728446
[email protected]

la sicurezza informatica dal punto di vista del diritto

Transcript

Documenti analoghi

avviso sostituzione farmacista

MONTE SAN SAVINO Film della Fenech: arriva la Hessler

Rif. INDIA_COMDG23122016

Per Savino del Bene record di fatturato

Dedicato ai REM che si sono sciolti... "Imitation of life"

regolamento premio 2016 - Comune di Monte San Savino

Monte San Savino: alla Giostratrice del Saracino Barbara Taiuti il

VISTO il DPR. 28 f - Accademia di Belle Arti

“SAPORI CHE ARRIVANO DA LONTANO” Ricette della cucina Araba