Sicurezza dei sistemi informatici e...

74
Sicurezza dei sistemi informatici e diritto Cenni alla disciplina giuridica su firme elettroniche e protezione dei dati personali Seminario del Corso “Sicurezza dell'informazione LM” (Prof. Rebecca Montanari) a.a. 2013/2014 Claudia Cevenini [email protected]

Transcript of Sicurezza dei sistemi informatici e...

Sicurezza dei sistemi informatici e diritto

Cenni alla disciplina giuridica su firme elettroniche e protezione dei dati personali

Seminario del Corso “Sicurezza dell'informazione LM” (Prof. Rebecca Montanari)

a.a. 2013/2014Claudia Cevenini

[email protected]

Firme elettroniche e documenti informatici

Concetti di base

4

Il concetto di documento

L’ordinamento giuridico italiano non prevede una definizione di “documento” in generale.

Dottrina: “oggetto corporale che reca una serie di segni tracciati direttamente dall’uomo o da apparati predisposti dall’uomo, volti a conferirgli una portata rappresentativa” (Irti, Sul concetto giuridico di documento).

Elemento materiale (res signata), elemento immateriale (contenuto).

Il codice civile disciplina alcuni tipi di documento: atti pubblici (2699-2701), scritture private (2702-2708), riproduzioni meccaniche (2719).

5

Scrittura privata

Art. 2702 c.c. Efficacia della scrittura privata.

“La scrittura privata fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritta, se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è legalmente considerata come riconosciuta.”

6

La sottoscrizione autografa

Scrittura di pugno del nome e cognome in calce a un documento.

Funzioni:

indicativa (identificazione della persona che sottoscrive),

dichiarativa (assunzione della paternità del documento),

probatoria (prova dell’autenticità del documento).

7

Atto pubblico

Art. 2699 c.c. Atto pubblico.

“L’atto pubblico è il documento redatto, con le richieste formalità, da un notaio o da altro pubblico ufficiale autorizzato ad attribuirgli pubblica fede nel luogo dove l’atto è formato.”

8

Riproduzioni meccaniche

Art. 2712 c.c. Riproduzioni meccaniche.

“Le riproduzioni fotografiche, informatiche o cinematografiche, le registrazioni fonografiche e, in genere, ogni altra rappresentazione meccanica di fatti e di cose formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime.”

9

Il documento elettronico o informatico

Un documento formato e memorizzato mediante computer, come i documenti cartacei, dovrebbe essere:

inalterabile,

conservabile,

accessibile a distanza di tempo,

imputabile a un soggetto determinato,

riconosciuto giuridicamente.

10

Come garantire queste caratteristiche ai documenti informatici?

Strumento tecnico → firma elettronica (provvista di determinate caratteristiche).

Strumento giuridico → riconoscimento della validità e rilevanza giuridica di firme elettroniche e documenti informatici da parte del legislatore.

La disciplina giuridica

12

Norme essenziali

Legge 15 marzo 1997, n. 59

Direttiva 1999/93/CE del 13 dicembre 1999

D.Lgs. 7 marzo 2005, n. 82

D.P.C.M. 22 febbraio 2013 (G.U. n. 117 del 21 maggio 2013)

13

Legge 15 marzo 1997, n. 59

“Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge” (art. 15, c. 2). Validità e rilevanza giuridica degli strumenti informatici e telematici per:- formazione di atti, dati e documenti,- stipula di contratti,- archiviazione e trasmissione di documenti.

Lo stesso principio vale per la pubblica amministrazione e i privati.Specifici regolamenti hanno successivamente stabilito i criteri di applicazione.

14

La Direttiva Europea 1999/93/CE sulle firme elettroniche 1/2

Istituisce un quadro giuridico uniforme per le firme elettroniche e i servizi di certificazione.Intende agevolare l’uso delle firme elettroniche e contribuire al loro riconoscimento giuridico.

Non intende armonizzare le norme nazionali sulla conclusione e la validità dei contratti.Non pregiudica le norme nazionali o comunitarie sull’uso dei documenti.

15

La Direttiva Europea 1999/93/CE sulle firme elettroniche 2/2

Approccio aperto alle varie tecnologie e servizi che consentono di autenticare i dati in modo elettronico.

Nessuna autorizzazione preventiva per i servizi di certificazione.

Possono essere istituiti sistemi di accreditamento facoltativo.

Non può essere limitata la prestazione dei servizi di certificazione di altri Stati membri.

16

Firma elettronica e firma elettronica avanzata

Firma elettronica – dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici e utilizzata come metodo di autenticazione.

Firma elettronica avanzata – firma elettronica connessa in maniera unica al firmatario, idonea ad identificarlo, creata con mezzi su cui questi ha controllo esclusivo; consente l’identificazione di ogni successiva modifica dei dati cui si riferisce.

17

Firma elettronica avanzata: effetti giuridici

Le firme elettroniche avanzate basate su un certificato qualificato e generate mediante un dispositivo per la creazione di una firma sicura:

possiedono i requisiti legali delle firme autografe,

sono ammesse come prova in giudizio.

18

Firma elettronica: effetti giuridici

Le firme elettroniche non possono essere considerate legalmente inefficaci e inammissibili come prove in giudizio solo a causa del fatto che sono:

in forma elettronica, o

non basate su un certificato qualificato, onon basate su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato, onon create da un dispositivo per la creazione di una firma sicura.

19

Il Codice dell’amministrazione digitale (CAD)

D.Lgs. 7 marzo 2005, n. 82 (pubblicato nel Suppl. Ord. 93/L alla G.U. n. 112 del 16 maggio 2005).

Intende fornire un quadro normativo coerente per l’impiego delle nuove tecnologie nella pubblica amministrazione.

E’ entrato in vigore il 1° gennaio 2006.

Il Codice si applica alle pubbliche amministrazioni.

Le disposizioni relative a documenti informatici, firme elettroniche, pagamenti informatici, libri e scritture si applicano anche ai privati.

20

Firma elettronica

“L’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”.

21

Identificazione informatica

“La validazione dell'insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l'individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell'accesso”.

22

Firma elettronica avanzata

“Insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”.

23

Firma elettronica qualificata

“Un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma”.

24

Certificato qualificato 1/2I certificati qualificati devono contenere almeno le seguenti informazioni:

• indicazione che si tratta di un certificato qualificato;• numero di serie o altro codice identificativo;• nome, ragione o denominazione sociale del certificatore e

Stato di stabilimento;• nome, cognome o pseudonimo e C.F. del titolare;• dati per la verifica della firma (chiave pubblica)

corrispondenti ai dati per la creazione della firma in possesso del titolare;

• termine iniziale e finale di validità;• firma elettronica del certificatore, realizzata in conformità

alle regole tecniche e idonea a garantire l'integrità e la veridicità di tutte le informazioni contenute nel certificato medesimo.

25

Certificato qualificato 2/2

Su richiesta del titolare il certificato qualificato può contenere ulteriori informazioni:

• qualifiche specifiche del titolare (es. appartenenza a ordini professionali, poteri di rappresentanza);

• limiti d’uso del certificato;• limiti di valore degli atti unilaterali e dei contratti

per i quali il certificato può essere usato, ove applicabili.

26

Firma digitale 1/2

“Un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.

27

Firma digitale 2/2

La FD deve riferirsi in modo univoco a un solo soggetto e al documento (o insieme di documenti) cui è apposta o associata. Integra e sostituisce sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere a ogni fine previsto dalla normativa vigente.Per generare la FD deve essere impiegato un certificato qualificato non scaduto, non revocato o sospeso al momento della firma.Dal certificato qualificato devono risultare la validità, gli estremi del titolare e del certificatore ed eventuali limiti d’uso.

28

Firma autenticata 1/2

F elettronica o F elettronica avanzata può essere autenticata da un notaio o altro pubblico ufficiale autorizzato. Può essere acquisita digitalmente la sottoscrizione autografa o qualsiasi F elettronica avanzata.La F autenticata integra e sostituisce l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente (=come la FD).

29

Firma autenticata 2/2Autenticazione (= cosa fa il pubblico ufficiale):accertamento dell’identità personale del firmatario;accertamento della validità dell'eventuale certificato elettronico; accertamento che il documento sottoscritto non è contrario all’ordinamento giuridico;attestazione che la firma è stata apposta in sua presenza. Se al documento informatico autenticato deve essere allegato altro documento formato in originale su altro tipo di supporto, il pubblico ufficiale può allegare copia informatica autenticata dell'originale.

30

Firma grafometrica 1/2

Qual è la validità legale delle firme apposte a mano su tablet (es per il pagamento con carta di credito presso esercizi commerciali)?Dal punto di vista legale, si tratta di una firma elettronica: il suo valore probatorio è quindi liberamente valutabile in giudizio.Il giudice dovrà tenere conto delle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità del documento sottoscritto.

31

Firma grafometrica 2/2Non è possibile stabilire a priori se si tratti di firma elettronica avanzata, occorre valutare caso per caso se ne possiede i requisiti. Es. verificare le caratteristiche del sistema per l'apposizione della firma, le modalità con è apposta la firma, le modalità di memorizzazione dei parametri biometrici della firma, la possibilità di verificare che il documento non abbia subito alterazioni dopo l’apposizione della firma, la possibilità per il firmatario di verificare e visualizzare ciò che ha sottoscritto. In presenza di questi requisiti, si tratterà di firma elettronica avanzata.

32

Documento informatico“La rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”.

Il documento informatico, la memorizzazione su supporto informatico e la trasmissione con strumenti telematici conformi alle regole tecniche sono validi e rilevanti agli effetti di legge, ai sensi delle disposizioni del codice.

L'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità.

33

Documento informatico sottoscritto 1/2

Il documento informatico sottoscritto con FIRMA ELETTRONICA dal punto di vista probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.

34

SentenzaValidità probatoria delle e-mail. Tribunale di Prato, decisione del 15/4/2011.La e-mail semplice (non PEC) è stata considerata inidonea a identificare univocamente il mittente e a provare la ricezione del messaggio da parte del destinatario.La e-mail è stata considerata documento informatico con firma elettronica, in quanto username e password sono dati utilizzati per l'identificazione informatica.

35

Documento informatico sottoscritto 2/2

Il documento informatico sottoscritto con FIRMA ELETTRONICA AVANZATA, QUALIFICATA O DIGITALE formato nel rispetto delle regole tecniche, che garantiscano l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento, ha l'efficacia prevista dall'articolo 2702 del codice civile (= scrittura privata).

L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria.

36

Attenzione al certificato!

L'apposizione a un documento informatico di una firma digitale o altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione! La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.

37

Copie cartacee didocumenti informatici

Le copie su supporto analogico (=cartaceo) di documento informatico, anche sottoscritto con firma elettronica avanzata, qualificata o digitale, hanno la stessa efficacia probatoria dell'originale da cui sono tratte se la loro conformità all'originale in tutte le sue componenti è attestata da un pubblico ufficiale a ciò autorizzato.Le copie e gli estratti su supporto analogico del documento informatico, conformi alle regole tecniche, hanno la stessa efficacia probatoria dell'originale se la loro conformità non è espressamente disconosciuta. Resta fermo, ove previsto l'obbligo di conservazione dell'originale informatico.

38

Copie informatiche di originali cartacei 1/2

Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico hanno la stessa efficacia probatoria degli originali da cui sono estratte, se la loro conformità è attestata da un notaio o da altro pubblico ufficiale a ciò autorizzato, con dichiarazione allegata al documento informatico e asseverata secondo le regole tecniche.Le copie per immagine su supporto informatico di documenti originali formati in origine su supporto analogico nel rispetto delle regole tecniche hanno la stessa efficacia probatoria degli originali da cui sono tratte se la loro conformità all'originale non è espressamente disconosciuta.

39

Copie informatiche di originali cartacei 2/2

Sostituiscono ad ogni effetto di legge gli originali formati in origine su supporto analogico.Con DPCM possono essere individuate particolari tipologie di documenti analogici originali unici per le quali, in ragione di esigenze di natura pubblicistica, resta l'obbligo della conservazione dell'originale analogico oppure, in caso di conservazione ottica sostitutiva, la loro conformità all'originale deve essere autenticata da un notaio o da altro pubblico ufficiale a ciò autorizzato con dichiarazione da questi firmata digitalmente ed allegata al documento informatico.

40

Trasmissione del documento informatico

Il documento informatico inviato telematicamente si intende:- spedito dal mittente se inviato al proprio gestore;- consegnato al destinatario se reso disponibile all’indirizzo elettronico da questi dichiarato, nella casella di posta elettronica del destinatario messa a disposizione dal gestore.I documenti trasmessi da chiunque ad una PA con qualsiasi mezzo telematico o informatico, idoneo ad accertarne la provenienza, soddisfano il requisito della forma scritta e la loro trasmissione non deve essere seguita da quella del documento originale.

41

Tutela della segretezza

Per gli atti, dati e documenti inviati telematicamente è prevista una tutela di segretezza analoga a quella della corrispondenza cartacea.

Gli addetti alla trasmissione non hanno il diritto di prendere cognizione del loro contenuto, di effettuare copie o cedere informazioni a terzi.

I dati sono di proprietà del mittente finché non pervengono al destinatario.

42

Compiti dei certificatori 1/2Identificare con certezza il richiedenteRilasciare e rendere pubblico il certificatoIndicare ulteriori requisiti nel certificato qualificato (es. limiti d'uso e di valore, appartenenza a un albo)Rispettare le regole tecnicheFornire informazioni sulla proceduraPubblicare tempestivamente revoca e sospensione del certificatoAssicurare la precisa determinazione di data e ora di rilascio, sospensione e revoca del certificato

43

Compiti dei certificatori 2/2

Non copiare né conservare le chiavi di firma del richiedente.

Predisporre tutte le informazioni utili ai richiedenti su mezzi di comunicazione durevoli.

Garantire il corretto funzionamento e la continuità del sistema e comunicare immediatamente a DigitPA e agli utenti eventuali malfunzionamenti, interruzione, sospensione del servizio stesso.

44

Le regole tecniche

D.P.C.M. 22 febbraio 2013.

“Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”.

(Gazz. Uff. 21 maggio 2013, n. 117).

45

Documento informatico

Le regole tecniche definiscono le 'caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità del documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale.

46

Macroistruzioni e codici eseguibili

Il documento informatico sottoscritto con firma elettronica qualificata o digitale NON soddisfa il requisito di immodificabilià del documento, se contiene macroistruzioni o codici eseguibili o altri elementi tali da attivare funzionalità che possono modificare gli atti, i fatti o i dati rappresentati.

(art. 3, c. 3 reg. tecn.)

47

Conservazione delle chiaviE’ vietato duplicare la chiave privata e i dispositivi che la contengono.Il titolare di una coppia di chiavi deve:conservare la chiave privata e il dispositivo che la contiene con la massima diligenza, per garantirne integrità e riservatezza, secondo le indicazioni del certificatore;conservare le informazioni di abilitazione all’uso della chiave privata separatamente dal dispositivo che contiene la chiave;richiedere immediatamente la revoca dei certificati qualificati se il dispositivo risulta difettoso o se ne ha perduto il possesso o se ha il dubbio che sia stato utilizzato da persone non autorizzate.

48

Revoca e sospensione del certificato qualificato

Se la chiave privata o il dispositivo sono compromessi, il certificatore è tenuto a revocare o sospendere il certificato.E’ necessario specificare data e ora di pubblicazione nella lista di revoca/sospensione.Revoca può avvenire:su iniziativa del certificatore,su richiesta del titolare,su richiesta del terzo interessato da cui derivano i poteri di firma del titolare.

49

Chiavi di marcatura temporale

Ogni coppia di chiavi di marcatura temporale deve essere univocamente associata a un sistema di validazione temporale.Per motivi di sicurezza occorre limitare il numero di marche temporali generate con la stessa coppia di chiavi = le chiavi di m.t. devono essere sostituite, e deve essere emesso un nuovo certificato, dopo non più di tre mesi di utilizzazione, a prescindere dal loro periodo di validità e senza revocare il certificato.

50

Valore della firma digitale nel tempo

Le firme elettroniche qualificate e digitali, anche se è scaduto, revocato o sospeso il relativo certificato qualificato del sottoscrittore, sono valide se alle stesse è associabile un riferimento temporale opponibile ai terzi che colloca la generazione di detta firma digitale in un momento precedente alla sospensione, scadenza o revoca del suddetto certificato.

La protezione dei dati personali

52

Testo normativo di riferimento

Codice in materia di protezione dei dati personali(D. Lgs. 30 giugno 2003, n. 196)

In vigore dal 1° gennaio 2004.

Ha abrogato la L. 675/96 e altre disposizioni in materia di dati personali.

53

A quali trattamenti si applica il Decreto?

Ai trattamenti elettronici, cartacei o manuali.

A tutti i trattamenti di dati personali: - effettuati da soggetti stabiliti nello Stato, o in un luogo soggetto alla sovranità dello Stato (anche su dati detenuti all’estero),- o da soggetti extra europei che impiegano strumenti localizzati nello Stato (eccezione: semplice transito dei dati nell’Unione Europea).

54

Esclusioni dall’ambito di applicazione del Codice privacy

Sono esclusi dall’ambito di applicazione del Codice (= non si applica il Codice) i trattamenti effettuati da persone fisiche per fini esclusivamente personali che non prevedano la diffusione di dati o la loro comunicazione sistematica.

ATTENZIONE!!! Nonostante l’esclusione, a questi trattamenti si applicano le norme sulla responsabilità e misure idonee di sicurezza dei dati previste dal Codice.

55

Principio di necessità

Sistemi informativi e programmi informatici devono essere configurati in modo da ridurre al minimo l’impiego di dati personali.

Il trattamento deve essere escluso se le stesse finalità possono essere perseguite con dati anonimi o con modalità che consentano l’identificazione solo in caso di necessità.

56

Come devono essere trattati i dati?I dati personali devono essere :a) trattati in modo lecito e corretto;b) raccolti e registrati per scopi determinati, espliciti e legittimi;c) esatti e (se necessario) aggiornati;d) pertinenti, completi e non eccedenti gli scopi;e) conservati in modo da permettere l’identificazione dell’interessato per un tempo non superiore al necessario.

ATTENZIONE!! Se i dati sono trattati in violazione della legge non possono essere utilizzati.

57

Informativa 1/2Interessato deve essere preventivamente informato, per iscritto o oralmente, su:a) finalità e modalità del trattamento;b) natura obbligatoria o facoltativa del conferimento dei dati;c) conseguenze del rifiuto di fornire i dati;d) soggetti (o categorie di soggetti) a cui i dati possono essere comunicati o che possono venirne a conoscenza; eventuale ambito di diffusione;e) diritti che può esercitare;f) estremi identificativi del titolare (evtl. del responsabile).

58

Informativa 2/2Se i dati sono raccolti presso un terzo, l’interessato deve ricevere l’informativa al momento della registrazione dei dati o prima della loro comunicazione, se prevista.

Eccezioni (informativa non è dovuta se): a) dati trattati in base a obbligo derivante da legge, regolamento o normativa comunitaria;b) dati trattati per investigazioni difensive, o per tutelare un diritto in giudizio;c) fornire l’informativa richiede un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato, o è impossibile.

59

Consenso

Trattamento effettuato da parte di privati ed enti pubblici economici è subordinato al consenso espresso dell’interessato. Soggetti pubblici non sono tenuti a chiedere il consenso (sono previste eccezioni in campo sanitario).C. può riguardare il trattamento nel suo complesso o solo alcune operazioni.C. è valido se: - libero, - riferito a uno specifico trattamento, - documentato per iscritto, - informato.

60

Dati sensibili

“Dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.

61

Trattamento dei dati sensibili

Per il trattamento di dati sensibili sono necessari: - consenso dell’interessato manifestato in forma scritta;- autorizzazione del Garante.

Il Garante emana autorizzazioni generali valide per determinate categorie di titolari o di trattamenti, es. Trattamenti dei dati sensibili nei rapporti di lavoro, oppure da parte di investigatori privati, oppure da parte di liberi professionisti, ecc.

62

Responsabilità

Chi tratta dati personali è responsabile dei danni causati a terzi per effetto del trattamento secondo l’art. 2050 c.c.

Si libera dalla responsabilità solo se prova di avere adottato tutte le misure idonee ad evitare il danno.

Si tratta della disciplina dettata per l’esercizio di attività pericolose.

63

Sicurezza dei dati e dei sistemi 1/2

Obblighi di sicurezza

Nel custodire e controllare i dati devono essere adottate idonee e preventive misure di sicurezza per ridurre al minimo i rischi di distruzione o perdita (anche accidentale) dei dati, accesso non autorizzato, trattamento non consentito o non conforme agli scopi.

Nel predisporre le misure di sicurezza occorre tenere conto di: progresso tecnico, natura dei dati, caratteristiche del trattamento.

64

Sicurezza dei dati e dei sistemi 2/2

Misure MINIME di sicurezza (Allegato B al Codice)

I titolari del trattamento, nel rispetto degli obblighi generali di sicurezza, devono adottare le misure minime di sicurezza previste dalla legge, distinte a seconda che si tratti di:

- trattamento effettuato con strumenti elettronici;

- trattamento effettuato senza strumenti elettronici.

65

Misure minime di sicurezza 1/2Trattamento con strumenti elettroniciautenticazione informatica;procedure di gestione delle credenziali di autenticazione;sistema di autorizzazione;aggiornamento periodico dell’ambito di trattamento degli incaricati e addetti alla gestione o manutenzione degli strumenti elettronici;protezione degli strumenti elettronici e dei dati da trattamenti illeciti, accessi non consentiti, determinati software;procedure per gestione copie di sicurezza, ripristino della disponibilità dei dati e dei sistemi;cifratura o codici identificativi per trattamenti di dati idonei a rivelare stato di salute o vita sessuale da parte di organismi sanitari.

66

Misure minime di sicurezza 2/2

Trattamento senza strumenti elettronici

• aggiornamento periodico dell’ambito di trattamento degli incaricati e delle unità organizzative;

• procedure per idonea custodia di atti e documenti;

• procedure per conservare determinati atti in archivi ad accesso selezionato; identificazione degli incaricati.

67

Notificazione al Garante 1/2

In casi specifici il titolare deve notificare al Garante il trattamento di dati che intende effettuare. Alcuni esempi:trattamento di dati genetici, biometrici o che indicano la localizzazione geografica di persone od oggetti mediante reti di comunicazione elettronica; dati trattati con strumenti elettronici per definire il profilo o la personalità dell’interessato o analizzare abitudini o scelte di consumo o monitorare l’utilizzo di reti di comunicazione elettronica;

68

Notificazione al Garante 2/2

dati sensibili in banche di dati per selezione del personale per conto terzi, dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

69

Trasferimento di dati all’estero 1/2Verso Paesi terzi (=extra UE) il trasferimento di dati

è possibile se:

consenso espresso dell’interessato (manifestato per iscritto se dati sensibili);

t. necessario per eseguire obblighi di un contratto di cui è parte l’interessato, adempiere a richieste dell’interessato, per concludere o eseguire un contratto a favore dell’interessato;

t. necessario per salvaguardia di un interesse pubblico individuato per legge o regolamento;

t. necessario per salvaguardia della vita o incolumità fisica di un terzo;

70

Trasferimento di dati all’estero 2/2

t. necessario per investigazioni difensive o per tutelare un diritto in giudizio;t. effettuato in seguito a richiesta di accesso a documenti amministrativi o di estrazione di dati da pubblichi elenchi, registri, ecc. conoscibili da chiunque;t. necessario per scopi storici, statistici o scientifici;t. riguarda dati di persone giuridiche, enti o associazioni.

Inoltre, t. è possibile con l’autorizzazione del Garante.

71

Cessazione del trattamento

Quando cessa un trattamento i dati sono:– distrutti;– ceduti ad altro titolare per un trattamento

compatibile con gli scopi originari;– conservati per scopi personali (non

comunicati sistematicamente o diffusi);– conservati o ceduti per scopi storici,

statistici o di ricerca scientifica.

Se i dati sono ceduti in modo contrario alla normativa vigente, la cessione è priva di effetti.

72

Sanzioni 1/2

Violazioni amministrative:

-omessa o inidonea informativa (6.000-36.000 €) ;

-cessione illecita di dati (10.000-60.000 €) ;

-omessa o incompleta notificazione al Garante (20.000-120.000 €);

-omessa informazione o esibizione di documenti al Garante (10.000-60.000 €).

73

Sanzioni 2/2

Illeciti penali:

-trattamento illecito di dati a scopo di profitto o per causare danno ad altri;

-false dichiarazioni e notificazioni al Garante;

-omesse misure minime di sicurezza (Allegato B);

-inosservanza di provvedimenti del Garante.

74

Grazie per l'attenzione!

[email protected]