Sicurezza dei sistemi informatici e diritto

Cenni alla disciplina giuridica su firme elettroniche e protezione dei dati personali

Seminario del Corso “Sicurezza dell'informazione LM” (Prof. Rebecca Montanari)

a.a. 2012/2013Claudia Cevenini

claudia.cevenini@unibo.it

Firme elettroniche e documenti informatici

3

Norme essenziali

Legge 15 marzo 1997, n. 59

Direttiva 1999/93/CE del 13 dicembre 1999

D.Lgs. 7 marzo 2005, n. 82

D.P.C.M. 30 marzo 2009

4

Legge 15 marzo 1997, n. 59

“Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge” (art. 15, c. 2). Validità e rilevanza giuridica degli strumenti informatici e telematici per:- formazione di atti, dati e documenti,- stipula di contratti,- archiviazione e trasmissione di documenti.

Lo stesso principio vale per la pubblica amministrazione e i privati.Specifici regolamenti hanno successivamente stabilito i criteri di applicazione.

5

La Direttiva Europea 1999/93/CE sulle firme elettroniche 1/2

Istituisce un quadro giuridico uniforme per le firme elettroniche e i servizi di certificazione.Intende agevolare l’uso delle firme elettroniche e contribuire al loro riconoscimento giuridico.

Non intende armonizzare le norme nazionali sulla conclusione e la validità dei contratti.Non pregiudica le norme nazionali o comunitarie sull’uso dei documenti.

6

La Direttiva Europea 1999/93/CE sulle firme elettroniche 2/2

Approccio aperto alle varie tecnologie e servizi che consentono di autenticare i dati in modo elettronico.

Nessuna autorizzazione preventiva per i servizi di certificazione.

Possono essere istituiti sistemi di accreditamento facoltativo.

Non può essere limitata la prestazione dei servizi di certificazione di altri Stati membri.

7

Firma elettronica e firma elettronica avanzata

Firma elettronica – dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzata come metodo di autenticazione.

Firma elettronica avanzata – firma elettronica connessa in maniera unica al firmatario, idonea ad identificarlo, creata con mezzi su cui questi ha controllo esclusivo; consente l’identificazione di ogni successiva modifica dei dati cui si riferisce.

8

Dati per la creazione e la verifica di una firma

Dati per la creazione di una firma = dati peculiari, come codici o chiavi crittografiche private, utilizzati dal firmatario per creare una firma elettronica.

Dati per la verifica di una firma = dati, come codici o chiavi crittografiche pubbliche, utilizzati per verificare una firma elettronica.

9

Dispositivi per la creazione e la verifica di una firma

Dispositivo per la creazione di una firma – software configurato o hardware usato per applicare i dati per la creazione di una firma.

Dispositivo per la creazione di una firma sicura – soddisfa ulteriori requisiti (allegato III alla direttiva).

Dispositivo di verifica di una firma - software configurato o hardware usato per applicare i dati di verifica della firma.

10

Certificato

Certificato – attestato elettronico che collega i dati di verifica della firma a una persona e ne conferma l’identità.

Certificato qualificato – certificato conforme ai requisiti di cui all'allegato I e fornito da un prestatore di servizi di certificazione che soddisfa i requisiti di cui all'allegato II alla direttiva.

11

Firme elettroniche avanzate: effetti giuridici

Le firme elettroniche avanzate basate su un certificato qualificato e generate mediante un dispositivo per la creazione di una firma sicura:

possiedono i requisiti legali delle firme autografe,

sono ammesse come prova in giudizio.

12

Firme elettroniche: effetti giuridici

Le firme elettroniche non possono essere considerate legalmente inefficaci e inammissibili come prove in giudizio solo a causa del fatto che sono:

in forma elettronica, o

non basate su un certificato qualificato, onon basate su un certificato qualificato rilasciato da un prestatore di servizi di certificazione accreditato, onon create da un dispositivo per la creazione di una firma sicura.

13

Il Codice dell’amministrazione digitale (CAD)

D.Lgs. 7 marzo 2005, n. 82.

Intende fornire un quadro normativo coerente per l’impiego delle nuove tecnologie nella pubblica amministrazione.

E’ entrato in vigore il 1° gennaio 2006.

Si applica alle Pubbliche Amministrazioni

Le disposizioni relative a documenti informatici, firme elettroniche, pagamenti informatici, libri e scritture si applicano anche ai privati.

14

Firma elettronica

“L’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica”.

15

Firma elettronica avanzata

“Insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che a) consentono l'identificazione del firmatario del documento, b) garantiscono la connessione univoca al firmatario, c) sono creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, d) sono collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati”.

16

Firma elettronica qualificata

“Un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma”.

17

Certificato qualificato 1/2I certificati qualificati devono contenere almeno le seguenti informazioni:

• indicazione che si tratta di un certificato qualificato;• numero di serie o altro codice identificativo;• nome, ragione o denominazione sociale del certificatore e

Stato di stabilimento;• nome, cognome o pseudonimo e C.F. del titolare;• dati per la verifica della firma (chiave pubblica)

corrispondenti ai dati per la creazione della firma in possesso del titolare;

• termine iniziale e finale di validità;• firma elettronica del certificatore, realizzata in conformità

alle regole tecniche ed idonea a garantire l'integrità e la veridicità di tutte le informazioni contenute nel certificato medesimo.

18

Certificato qualificato 2/2

Su richiesta del titolare il certificato qualificato può contenere ulteriori informazioni:

• qualifiche specifiche del titolare (es. appartenenza a ordini professionali, poteri di rappresentanza);

• limiti d’uso del certificato;• limiti di valore degli atti unilaterali e dei contratti

per i quali il certificato può essere usato, ove applicabili.

19

Firma digitale 1/2

“Un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento informatico o di un insieme di documenti informatici”.

20

Firma digitale 2/2La FD deve riferirsi in modo univoco a un solo soggetto e al documento (o insieme di documenti) cui è apposta o associata. Integra e sostituisce sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere a ogni fine previsto dalla normativa vigente.Per generare la FD deve essere impiegato un certificato qualificato non scaduto, non revocato o sospeso al momento della firma.Dal certificato qualificato devono risultare la validità, gli estremi del titolare e del certificatore ed eventuali limiti d’uso.

21

Firma autenticata 1/2

F elettronica o F elettronica avanzata può essere autenticata da un notaio o altro pubblico ufficiale autorizzato. Può essere acquisita digitalmente la sottoscrizione autografa o qualsiasi F elettronica avanzata.La F autenticata integra e sostituisce l'apposizione di sigilli, punzoni, timbri, contrassegni e marchi di qualsiasi genere ad ogni fine previsto dalla normativa vigente (=come la FD).

22

Firma autenticata 2/2Autenticazione (= cosa fa il pubblico ufficiale):accertamento dell’identità personale del firmatario;accertamento della validità dell'eventuale certificato elettronico; accertamento che il documento sottoscritto non è contrario all’ordinamento giuridico;attestazione che la firma è stata apposta in sua presenza. Se al documento informatico autenticato deve essere allegato altro documento formato in originale su altro tipo di supporto, il pubblico ufficiale può allegare copia informatica autenticata dell'originale.

23

Documento informatico“La rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti”.

Il documento informatico, la memorizzazione su supporto informatico e la trasmissione con strumenti telematici conformi alle regole tecniche sono validi e rilevanti agli effetti di legge, ai sensi delle disposizioni del codice.

L'idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità.

24

Conservazione ed esibizione di documenti

Gli obblighi di conservazione e di esibizione di documenti previsti dalla legislazione vigente si intendono soddisfatti a tutti gli effetti di legge a mezzo di documenti informatici, se le procedure utilizzate sono conformi alle regole tecniche.

25

Documento informatico sottoscritto 1/2

Il documento informatico sottoscritto con FIRMA ELETTRONICA dal punto di vista probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.

26

Documento informatico sottoscritto 2/2

Il documento informatico sottoscritto con FIRMA ELETTRONICA AVANZATA, QUALIFICATA O DIGITALE formato nel rispetto delle regole tecniche, che garantiscano l'identificabilità dell'autore, l'integrità e l'immodificabilità del documento, ha l'efficacia prevista dall'articolo 2702 del codice civile (= scrittura privata).

L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria.

27

Attenzione al certificato!

L'apposizione a un documento informatico di una firma digitale o altro tipo di firma elettronica qualificata basata su un certificato elettronico revocato, scaduto o sospeso equivale a mancata sottoscrizione! La revoca o la sospensione, comunque motivate, hanno effetto dal momento della pubblicazione, salvo che il revocante, o chi richiede la sospensione, non dimostri che essa era già a conoscenza di tutte le parti interessate.

28

La validità nel tempo del documento informatico

Il documento cartaceo, una volta formato, non richiede ulteriori interventi per mantenere la sua validità e rilevanza giuridica.

La conservazione del documento informatico sottoscritto necessita della marcatura temporale.

Ciò permette la continuità nel tempo degli effetti giuridici del documento informatico, anche oltre il limite della validità della chiave di sottoscrizione.

29

Rilevanza della marcatura temporale

Attribuisce data ed ora certa al documento informatico.

Prova l’anteriorità della sottoscrizione rispetto alla revoca o sospensione del certificato.

Permette di estendere l’efficacia del documento informatico.

30

CertificatoriAttività dei certificatori stabiliti in Italia o in altro Stato membro dell'Unione europea:- è libera,- non richiede autorizzazione preventiva. Qualora emettano certificati qualificati, i certificatori, i loro legali rappresentanti, i loro amministratori devono avere i requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche. Ai certificatori qualificati e accreditati con sede in altri Stati membri dell'Unione europea non si applicano le norme del Codice e le regole tecniche ma si applicano le rispettive norme di recepimento della direttiva 1999/93/CE.

31

Certificatori qualificatiI certificatori che rilasciano certificati qualificati devono:dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria per svolgere attività di certificazione;utilizzare personale dotato di competenze specifiche (es. gestionali, tecnologiche, firme elettroniche, sicurezza);applicare procedure gestionali e amministrative adeguate;utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni, che garantiscano la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti a livello europeo e internazionale; adottare adeguate misure contro la contraffazione dei certificati, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle chiavi private nei casi in cui il certificatore generi tali chiavi.

32

Accreditamento certificatori presso Agenzia per l'Italia digitaleSi tratta del riconoscimento di requisiti del livello più elevato in termini di qualità e sicurezza.

Funziona su base volontaria.

Requisiti necessari: forma di società di capitali, con capitale minimo per esercitare attività bancaria (=6,3 milioni di € per le SpA); requisiti tecnici, di solidità finanziaria e di onorabilità in capo ai soggetti preposti all’amministrazione.

I certificatori accreditati sono iscritti in un elenco pubblico.

33

Agenzia per l'Italia digitale

Ex Ente Nazionale per la Digitalizzazione della Pubblica Amministrazione http://www.digitpa.gov.it/Accompagna le amministrazioni nel processo di innovazione tecnologica, mettendo a disposizione le proprie competenze tecniche, nel settore delle tecnologie dell'informazione e della comunicazione con un ruolo di consulenza e proposta verso le PA.DigitPA svolge funzioni di natura progettuale, tecnica e operativa, per il coordinamento e il governo dei progetti di innovazione, di redazione di regole tecniche e standard.L'Ente opera secondo le direttive e sotto la vigilanza del Ministro per la pubblica amministrazione e l'innovazione, con autonomia tecnica e funzionale, amministrativa, contabile, finanziaria e patrimoniale.

34

Certificatori accreditati in altri Stati membri

Il valore giuridico delle firme elettroniche qualificate e delle firme digitali basate su certificati qualificati rilasciati da certificatori accreditati in altri Stati membri dell'Unione europea ai sensi dell'articolo 3, paragrafo 2, della direttiva 1999/93/CE è equiparato a quello previsto per le firme elettroniche qualificate e per le firme digitali basate su certificati qualificati emessi dai certificatori accreditati.

35

Compiti dei certificatori 1/2

Identificare con certezza il richiedenteRilasciare e rendere pubblico il certificatoIndicare ulteriori requisiti nel certificato qualificato (es. limiti d'uso e di valore, appartenenza a un albo)Pubblicare tempestivamente revoca e sospensione del certificatoAssicurare la precisa determinazione di data e ora di rilascio, sospensione e revoca del certificato

36

Compiti dei certificatori 2/2

Non copiare né conservare le chiavi di firma del richiedente.

Predisporre tutte le informazioni utili ai richiedenti su mezzi di comunicazione durevoli.

Garantire il corretto funzionamento e la continuità del sistema e comunicare immediatamente a DigitPA e agli utenti eventuali malfunzionamenti, interruzione, sospensione del servizio stesso.

37

Responsabilità dei certificatori 1/2I certificatori che rilasciano un certificato qualificato o che garantiscono al pubblico l’affidabilità del certificato, se non provano di avere agito senza colpa o dolo, sono responsabili dei danni arrecati a chi ha fatto ragionevole affidamento su:• esattezza e completezza delle informazioni necessarie per verificare la firma;• garanzia che al momento del rilascio del certificato il firmatario detenesse i dati per la creazione della firma corrispondenti ai dati per la verifica;• garanzia che i dati per la creazione e per la verifica della firma funzionino in modo complementare (se entrambi generati dal certificatore);• adempimento degli obblighi di legge.

38

Responsabilità dei certificatori 2/2

I certificatori che rilasciano un certificato qualificato o che garantiscono al pubblico l’affidabilità del certificato sono responsabili dei danni derivanti da mancata o non tempestiva registrazione della revoca o della sospensione del certificato, a meno che non provino di avere agito senza colpa.

I certificatori non sono responsabili dell’uso di un certificato che ecceda eventuali limiti d’uso o di valore, se riconoscibili da parte dei terzi e chiaramente evidenziati nel certificato.

39

Obblighi del titolare

Il titolare del certificato:

- deve assicurare la custodia del dispositivo di firma;

- deve adottare tutte le misure organizzative e tecniche idonee a evitare danno ad altri; - è tenuto a utilizzare personalmente il dispositivo.

40

Obblighi del certificatore

Il certificatore deve adottare tutte le misure organizzative e tecniche idonee ad evitare danno a terzi.Il certificatore è responsabile della identificazione del soggetto che richiede il certificato qualificato di firma, anche se l’attività è delegata a soggetti terzi.

41

Le regole tecniche

D.P.C.M. 30 marzo 2009.

“Regole tecniche in materia di generazione, apposizione e verifica delle firme digitali e validazione temporale dei documenti informatici”.

(Gazz. Uff. 6 giugno 2009, n. 129).

42

Attenzione!!!Macroistruzioni e codici eseguibili

Il documento informatico sottoscritto con firma digitale NON produce gli effetti giuridici previsti dal Codice se contiene macroistruzioni o codici eseguibili in grado di modificare gli atti, i fatti o i dati rappresentati nel documento stesso.

(art. 3, c. 3 reg. tecn.)

43

Tipi di chiavi

Chiavi di sottoscrizione (per la generazione e verifica delle firme apposte o associate ai documenti informatici). Chiavi di certificazione (per la generazione e verifica delle firme apposte o associate ai certificati qualificati, alle liste di revoca e sospensione, o per la sottoscrizione dei certificati relativi a chiavi di marcatura temporale).Chiavi di marcatura temporale (per la generazione e verifica delle marche temporali).(art. 4, c. 4 reg. tecn.)

44

Conservazione delle chiaviE’ vietato duplicare la chiave privata e i dispositivi che la contengono.Il titolare di una coppia di chiavi deve:conservare la chiave privata e il dispositivo che la contiene con la massima diligenza, per garantirne integrità e riservatezza, secondo le indicazioni del certificatore;conservare le informazioni di abilitazione all’uso della chiave privata separatamente dal dispositivo che contiene la chiave;richiedere immediatamente la revoca dei certificati qualificati se il dispositivo risulta difettoso o se ne ha perduto il possesso o se ha il dubbio che sia stato utilizzato da persone non autorizzate.(art. 7 reg. tecn.)

45

Periodo di validità dei certificati

Il certificatore determina il periodo di validità dei certificati qualificati anche in funzione della robustezza crittografica delle chiavi.

Il certificatore custodisce le informazioni relative ai certificati qualificati per un periodo di almeno 20 anni dalla data di emissione del certificato.(art. 15 reg. tecn.)

46

Revoca e sospensione del certificato qualificato

Se la chiave privata o il dispositivo sono compromessi, il certificatore è tenuto a revocare o sospendere il certificato.E’ necessario specificare data e ora di pubblicazione nella lista di revoca/sospensione.Revoca può avvenire:su iniziativa del certificatore,su richiesta del titolare,su richiesta del terzo interessato da cui derivano i poteri di firma del titolare.(artt. 16 e 24 reg. tecn.)

47

Accesso ai certificati

Le liste dei certificati revocati e sospesi devono essere rese pubbliche.

I certificati qualificati possono essere resi accessibili al pubblico su richiesta del titolare, o comunicati a terzi nei casi consentiti dal titolare (sempre nel rispetto del D.Lgs. 30 giugno 2003, n. 196 = Codice privacy).

Le liste possono essere utilizzate solo per le finalità di applicazione delle norme sulla verifica e validità della firma digitale.

(art. 30 reg. tecn.)

48

Riferimenti temporali opponibili a terzi

I riferimenti temporali realizzati in conformità alle regole tecniche sono opponibili ai terzi.Le pubbliche amministrazioni possono usare come sistemi di validazione temporale:il riferimento temporale contenuto nella segnatura di protocollo;il riferimento temporale ottenuto attraverso la procedura di conservazione dei documenti;il riferimento temporale ottenuto attraverso l’utilizzo di posta certificata.(art. 37 reg. tecn.)

49

Regole per la validazione temporale

La validazione temporale di un documento informatico avviene mediante la generazione e l’applicazione di una marca temporale alla sua impronta.Le marche temporali sono generate da un sistema di validazione temporale.(art. 43 reg. tecn.)

50

Chiavi di marcatura temporale

Ogni coppia di chiavi di marcatura temporale deve essere univocamente associata a un sistema di validazione temporale.Per motivi di sicurezza occorre limitare il numero di marche temporali generate con la stessa coppia di chiavi = le chiavi di m.t. devono essere sostituite, e deve essere emesso un nuovo certificato, dopo non più di tre mesi di utilizzazione, a prescindere dal loro periodo di validità e senza revocare il certificato.

(art. 45 reg. tecn.)

51

Registrazione delle marche temporali

Tutte le marche temporali generate da un sistema di validazione devono essere conservate in un apposito archivio digitale non modificabile per un periodo non inferiore a 20 anni (o per un periodo più lungo su richiesta dell’interessato).

La marca temporale è valida per l’intero periodo di conservazione.

(art. 49 reg. tecn.)

52

Valore della firma digitale nel tempo

La firma digitale, anche se è scaduto, revocato o sospeso il relativo certificato qualificato del sottoscrittore, è valida se alla stessa è associabile un riferimento temporale opponibile ai terzi che colloca la generazione di detta firma digitale in un momento precedente alla sospensione, scadenza o revoca del suddetto certificato.

(art. 51 reg. tecn.)

La protezione dei dati personali

54

Testo normativo di riferimento

Codice in materia di protezione dei dati personali(D. Lgs. 30 giugno 2003, n. 196)

In vigore dal 1° gennaio 2004.

Ha abrogato la L. 675/96 e altre disposizioni in materia di dati personali.

55

A quali trattamenti si applica il Decreto?

Ai trattamenti elettronici, cartacei o manuali.

A tutti i trattamenti di dati personali: - effettuati da soggetti stabiliti nello Stato, o in un luogo soggetto alla sovranità dello Stato (anche su dati detenuti all’estero),- o da soggetti extra europei che impiegano strumenti localizzati nello Stato (eccezione: semplice transito dei dati nell’Unione Europea).

56

Esclusioni dall’ambito di applicazione del Codice privacy

Sono esclusi dall’ambito di applicazione del Codice (= non si applica il Codice) i trattamenti effettuati da persone fisiche per fini esclusivamente personali che non prevedano la diffusione di dati o la loro comunicazione sistematica.

ATTENZIONE!!! Nonostante l’esclusione, a questi trattamenti si applicano le norme sulla responsabilità e misure idonee di sicurezza dei dati previste dal Codice.

57

Principio di necessità

Sistemi informativi e programmi informatici devono essere configurati in modo da ridurre al minimo l’impiego di dati personali.

Il trattamento deve essere escluso se le stesse finalità possono essere perseguite con dati anonimi o con modalità che consentano l’identificazione solo in caso di necessità.

58

Come devono essere trattati i dati?I dati personali devono essere :a) trattati in modo lecito e corretto;b) raccolti e registrati per scopi determinati, espliciti e legittimi;c) esatti e (se necessario) aggiornati;d) pertinenti, completi e non eccedenti gli scopi;e) conservati in modo da permettere l’identificazione dell’interessato per un tempo non superiore al necessario.

ATTENZIONE!! Se i dati sono trattati in violazione della legge non possono essere utilizzati.

59

Informativa 1/2Interessato deve essere preventivamente informato, per iscritto o oralmente, su:a) finalità e modalità del trattamento;b) natura obbligatoria o facoltativa del conferimento dei dati;c) conseguenze del rifiuto di fornire i dati;d) soggetti (o categorie di soggetti) a cui i dati possono essere comunicati o che possono venirne a conoscenza; eventuale ambito di diffusione;e) diritti che può esercitare;f) estremi identificativi del titolare (evtl. del responsabile).

60

Informativa 2/2Se i dati sono raccolti presso un terzo, l’interessato deve ricevere l’informativa al momento della registrazione dei dati o prima della loro comunicazione, se prevista.

Eccezioni (informativa non è dovuta se): a) dati trattati in base a obbligo derivante da legge, regolamento o normativa comunitaria;b) dati trattati per investigazioni difensive, o per tutelare un diritto in giudizio;c) fornire l’informativa richiede un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato, o è impossibile.

61

Consenso

Trattamento effettuato da parte di privati ed enti pubblici economici è subordinato al consenso espresso dell’interessato. Soggetti pubblici non sono tenuti a chiedere il consenso (sono previste eccezioni in campo sanitario).C. può riguardare il trattamento nel suo complesso o solo alcune operazioni.C. è valido se: - libero, - riferito a uno specifico trattamento, - documentato per iscritto, - informato.

62

Dati sensibili

“Dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.

63

Trattamento dei dati sensibili

Per il trattamento di dati sensibili sono necessari: - consenso dell’interessato manifestato in forma scritta;- autorizzazione del Garante.

Il Garante emana autorizzazioni generali valide per determinate categorie di titolari o di trattamenti, es. Trattamenti dei dati sensibili nei rapporti di lavoro, oppure da parte di investigatori privati, oppure da parte di liberi professionisti, ecc.

64

Responsabilità

Chi tratta dati personali è responsabile dei danni causati a terzi per effetto del trattamento secondo l’art. 2050 c.c.

Si libera dalla responsabilità solo se prova di avere adottato tutte le misure idonee ad evitare il danno.

Si tratta della disciplina dettata per l’esercizio di attività pericolose.

65

Sicurezza dei dati e dei sistemi 1/2

Obblighi di sicurezza

Nel custodire e controllare i dati devono essere adottate idonee e preventive misure di sicurezza per ridurre al minimo i rischi di distruzione o perdita (anche accidentale) dei dati, accesso non autorizzato, trattamento non consentito o non conforme agli scopi.

Nel predisporre le misure di sicurezza occorre tenere conto di: progresso tecnico, natura dei dati, caratteristiche del trattamento.

66

Sicurezza dei dati e dei sistemi 2/2

Misure MINIME di sicurezza (Allegato B al Codice)

I titolari del trattamento, nel rispetto degli obblighi generali di sicurezza, devono adottare le misure minime di sicurezza previste dalla legge, distinte a seconda che si tratti di:

- trattamento effettuato con strumenti elettronici;

- trattamento effettuato senza strumenti elettronici.

67

Misure minime di sicurezza 1/2Trattamento con strumenti elettroniciautenticazione informatica;procedure di gestione delle credenziali di autenticazione;sistema di autorizzazione;aggiornamento periodico dell’ambito di trattamento degli incaricati e addetti alla gestione o manutenzione degli strumenti elettronici;protezione degli strumenti elettronici e dei dati da trattamenti illeciti, accessi non consentiti, determinati software;procedure per gestione copie di sicurezza, ripristino della disponibilità dei dati e dei sistemi;cifratura o codici identificativi per trattamenti di dati idonei a rivelare stato di salute o vita sessuale da parte di organismi sanitari.

68

Misure minime di sicurezza 2/2

Trattamento senza strumenti elettronici

• aggiornamento periodico dell’ambito di trattamento degli incaricati e delle unità organizzative;

• procedure per idonea custodia di atti e documenti;

• procedure per conservare determinati atti in archivi ad accesso selezionato; identificazione degli incaricati.

69

Notificazione al Garante 1/2

In casi specifici il titolare deve notificare al Garante il trattamento di dati che intende effettuare. Alcuni esempi:trattamento di dati genetici, biometrici o che indicano la localizzazione geografica di persone od oggetti mediante reti di comunicazione elettronica; dati trattati con strumenti elettronici per definire il profilo o la personalità dell’interessato o analizzare abitudini o scelte di consumo o monitorare l’utilizzo di reti di comunicazione elettronica;

70

Notificazione al Garante 2/2

dati sensibili in banche di dati per selezione del personale per conto terzi, dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

71

Trasferimento di dati all’estero 1/2Verso Paesi terzi (=extra UE) il trasferimento di dati

è possibile se:

consenso espresso dell’interessato (manifestato per iscritto se dati sensibili);

t. necessario per eseguire obblighi di un contratto di cui è parte l’interessato, adempiere a richieste dell’interessato, per concludere o eseguire un contratto a favore dell’interessato;

t. necessario per salvaguardia di un interesse pubblico individuato per legge o regolamento;

t. necessario per salvaguardia della vita o incolumità fisica di un terzo;

72

Trasferimento di dati all’estero 2/2

t. necessario per investigazioni difensive o per tutelare un diritto in giudizio;t. effettuato in seguito a richiesta di accesso a documenti amministrativi o di estrazione di dati da pubblichi elenchi, registri, ecc. conoscibili da chiunque;t. necessario per scopi storici, statistici o scientifici;t. riguarda dati di persone giuridiche, enti o associazioni.

Inoltre, t. è possibile con l’autorizzazione del Garante.

73

Cessazione del trattamento

Quando cessa un trattamento i dati sono:– distrutti;– ceduti ad altro titolare per un trattamento

compatibile con gli scopi originari;– conservati per scopi personali (non

comunicati sistematicamente o diffusi);– conservati o ceduti per scopi storici,

statistici o di ricerca scientifica.

Se i dati sono ceduti in modo contrario alla normativa vigente, la cessione è priva di effetti.

74

Sanzioni 1/2

Violazioni amministrative:

-omessa o inidonea informativa (6.000-36.000 €) ;

-cessione illecita di dati (10.000-60.000 €) ;

-omessa o incompleta notificazione al Garante (20.000-120.000 €);

-omessa informazione o esibizione di documenti al Garante (10.000-60.000 €).

75

Sanzioni 2/2

Illeciti penali:

-trattamento illecito di dati a scopo di profitto o per causare danno ad altri;

-false dichiarazioni e notificazioni al Garante;

-omesse misure minime di sicurezza (Allegato B);

-inosservanza di provvedimenti del Garante.

76

Grazie per l'attenzione!

claudia.cevenini@unibo.it