






Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
riassunto prof Pellerino università Salento
Tipologia: Appunti
1 / 11
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!







Le misure minime
Esaurita questa doverosa premessa, di carattere introduttivo, addentriamoci in un
contesto più strettamente giuridico ed osserviamo, da subito, che il Testo Unico sulla privacy affronta il tema della sicurezza al Titolo V della Parte Prima.
Due, in particolare, le misure di sicurezza che vengono in rilievo: quelle c.d.“minime” e quelle c.d.“idonee”.
Le prime, previste in via generale dagli artt.33 e ss. T.U., sono in concreto individuate dal disciplinare tecnico di cui al c.d.”allegato B” (che sostituisce il sistema delle “misure minime” del d.P.R. 318/99, ora abrogato, emanato in attuazione dell’art. della L.675/96) e sono volte ad assicurare un livello (appunto) minimo di protezione dei dati personali. Un livello al di sotto del quale non si può scendere: il mancato rispetto di dette misure, infatti, ai sensi dell’art. 169 T.U. costituisce reato, punito con l’arresto fino a 2 anni o con l’ammenda da 10.000 a 50.000 Euro.
Le misure minime si suddividono in 2 categorie, a seconda che il trattamento dei dati personali avvenga “con” o “senza” strumenti elettronici.
Per quanto concerne la prima ipotesi, va rilevato che l’art. 34 T.U. elenca ben otto misure minime. Nell’individuazione di esse, alcuni concetti ricorrono più di altri.
Sotto questo profilo, pare così opportuno segnalare la particolare attenzione che il Legislatore riserva alla nozione di “autenticazione informatica” (art.34, lett.a): la definizione è nuova (ossia sconosciuta alla L.675/96) e comprende i mezzi – siano essi programmi informatici o componenti hardware – deputati alla verifica ed alla convalidazione dell’identità di un dato soggetto.
E’una misura di particolare importanza, dato che essa, se correttamente posta in essere, garantisce il controllo di chi accede agli elaboratori. L’autenticazione informatica, infatti, ha il compito di verificare l’identità di chi andrà a trattare i dati personali, e di convalidarla dopo averla verificata.
Ciò è possibile grazie all’utilizzo delle c.d. “credenziali di autenticazione”, prescritte alla successiva lettera b) del medesimo art. 34, le quali consistono in quei “dati e dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica”.
Al di là della definizione poc’anzi citata (art.4, comma 3, lett.d)), va detto – semplificando – che le moderne tecnologie informatiche, per il riconoscimento dell’identità, adoperano i tradizionali codici di accesso e le parole chiave oppure altri dispositivi non mnemonici, i quali ultimi, peraltro, già oggi sono largamente utilizzati.
Nella moderna accezione del controllo degli accessi, pertanto, le credenziali sono costituite da qualcosa che il soggetto incaricato “conosce” (ad esempio: un codice identificativo o una parola chiave), “possiede” (ad esempio: una smart card, un token), oppure “è” (ad esempio: una caratteristica biometrica, come l’impronta di un dito, del volto, della retina).
Al punto 3 del Disciplinare Tecnico è espressamente previsto che ad ogni incaricato
dell’ambito del trattamento consentito.
L’individuazione dei singoli trattamenti consentiti (ad un soggetto, ad esempio, sarà permesso unicamente prendere visione dei dati, e non anche cancellarli o modificarli; un altro incaricato, invece, potrà aver accesso solo ai dati comuni, e non anche a quelli sensibili, ecc.) andrà a costituire il c.d. “profilo di autorizzazione” del singolo incaricato, profilo che sarà sottoposto a verfica almeno una volta all’anno (Punto 14 D.T.).
Correlata alla misura poc’anzi esaminata è, in un certo senso, quella prevista alla lettera successiva del medesimo art. 34, la lettera d).
Questa misura di sicurezza è finalizzata ad una periodica revisione delle autorizzazioni per il trattamento dei dati, nonché delle operazioni consentite agli addetti alla manutenzione ed agli addetti alla gestione degli strumenti hardware e software. La lista degli incaricati ed i relativi profili di autorizzazione – viene precisato al punto 15 del Disciplinare – può essere redatta anche per classi omogenee di incarico.
Particolarmente significativa, poi, è l’indicazione contenuta alla lettera e) dell’art 34.
La norma, che prescrive la protezione degli strumenti elettronici e dei dati da accessi non consentiti e programmi maligni, tende ad impedire che i dati siano trattati illecitamente (ossia in spregio delle prescrizioni di legge), che si verifichino accessi non consentiti nonché azioni distruttive causate da virus, worm e, in generale, da ogni altro codice pericoloso per l’integrità e la confidenzialità del dato stesso.
Sotto questo profilo è importante notare che ogni accesso al sistema informatico compiuto da soggetti non autorizzati è considerato “accesso abusivo”. Detta violazione, perciò, potrà essere posta in essere non solo da persone estranee all’impresa/studio professionale (come, ad esempio, un hacker), ma anche – e più frequentemente – dai dipendenti stessi, che accedono a determinati dati per i quali non possiedono profilo di autorizzazione e di incarico.
Evidentemente, capire come avviene un attacco è di fondamentale importanza per prevenire l’attacco stesso. Non è questa la sede per una disamina, seppur frettolosa, dell’argomento. Basti sul punto sapere che l’attacco viene di norma preceduto da alcune azioni “preparatorie”, articolate in 2 componenti: la prima comportamentale, la seconda tecnica.
La parte comportamentale si avvale di tecniche operative definite di “ingegneria sociale” (social engineering) e di fatto consiste nel reperire informazioni sul bersaglio da colpire sfruttando la naturale propensione delle persone a rispondere a domande dirette ed impreviste, ad aiutare qualcuno che sembra in difficoltà o, all’opposto, che ricopre una carica di prestigio.
La seconda componente, di natura prettamente tecnica, viene invece detta di “ricerca dell’impronta” (footprint). L’hacker, prima di sferrare l’attacco al target, deve infatti raccogliere le necessarie informazioni sull’architettura del sistema, ed in particolare
sulla protezione della struttura.
I soggetti che connettano il proprio sistema informatico alla rete Internet, quindi, devono proteggersi (in una rete ben protetta, infatti, solo le aggressioni più sofisticate
Per altro verso, giova osservare che gli attacchi sono favoriti, oltre che dalle possibili debolezze delle misure di sicurezza poste a protezione del sistema, anche dalle vulnerabità del software.
E’noto, infatti, che il software contiene molto spesso dei “bug” (letteralmente “insetto”), ossia delle imperfezioni. Alcune di esse sono innocue; altre, invece, facilitano gli attacchi informatici.
Consapevoli di ciò, pertanto, mano a mano che dette vulnerabilità vengono individuate, i produttori del software interessato rilasciano appositi programmi – detti patch (“pezza”) - volti ad ovviare al malfunzionamento dell’applicativo stesso. Il punto 17 del D.T. ci ricorda che è buona norma ricercare frequentemente gli aggiornamenti dei programmi impiegati; detta operazione, in ogni caso, va effettuata almeno una volta all’anno.
Le misure di sicurezza non potevano escludere dall’ambito delle loro previsioni la criticità più ricorrente per i sistemi informatici, rappresentata dall’azione dei c.d. “virus” e loro derivati (script virus, stealth virus, worm, trojan horse), genericamente accomunati sotto l’etichetta di “malware”, parola anglosassone derivante dalla crasi tra “malicious” e “software”.
La “periodicità minima di aggiornamento” di programmi anti-virus (fissata dalla legge in sei mesi: cfr. punto 16 D.T.) è però motivo di ilarità, dato che – come noto a chiunque abbia un minimo di dimestichezza con apparecchiature informatiche – se un software antivirus non viene aggiornato almeno giornalmente esso non è realmente efficace.
Un’ulteriore disposizione, prevista alla lettera f) dell’art.34 e ripresa in dettaglio ai punti 18 e 23 del Disciplinate Tecnico, riguarda l’obbligatorietà di effettuare, almeno ogni settimana, copie di back-up dei dati contenuti nei propri sistemi informatici. Il precetto – non contempato dalla L.675/96 – è senza dubbio importante, ma, a ben guardare, la previsione di legge poc’anzi citata appare “monca”, dato che la stessa dimentica di abbinare alla procedura di “salvataggio dei dati” la non meno necessaria procedura di verifica del “restore” dei dati, al fine di salvaguardare l’effettività di un
A questo punto, un’importante osservazione: se l’adeguamento alle “misure minime” implica l’assenza di responsabilità penali, tale adeguamento non è sufficiente per affrancarsi da responsabilità civile qualora l’evoluzione tecnologica renda disponibili accorgimenti ulteriori che soddisfino le misure dichiarate “idonee”.
Ciò perché – ai sensi dell’art. 15 T.U. – “chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c.”.
L’art. 2050 c.c., infatti, (norma alquanto rigorosa, dettata in tema di esercizio di attività pericolose) prevede che l’esercente l’attività pericolosa – e quindi, nel nostro caso, il titolare del trattamento - vada esente da responsabilità solo se riesca a dimostrare di aver adottato tutte le misure idonee ad evitare il danno. In caso contrario, ai sensi del 2°comma dell’art. 15 T.U., egli dovrà rispondere anche del danno non patrimoniale (come accaduto nel caso deciso dal Tribunale di Orvieto con sentenza 22.11.02 n. 254: fattispecie in tema di risarcimento dei danni morali sofferti da alcuni clienti di un Istituto bancario).
Come si evince facilmente, l’adeguamento alla previsione di legge poc’anzi citata (art. 2050 c.c.) è particolarmente difficoltoso. Secondo la giurisprudenza, infatti, può provare di aver adottato ogni misura idonea chi dimostri di aver rispettato “tutte le tecniche note” – anche solo astrattamente possibili – all’epoca del fatto (cfr. Tribunale di Milano, 19 novembre 1987, in Foro Italiano, 1988, I, 144).
Da altro punto di vista, è opportuno precisare che nell’ambito dei danni da risarcire non sarà incluso il solo pregiudizio patrimoniale (nelle note forme del “danno emergente” e “lucro cessante”), ma anche il danno morale, come si desume dall’inequivoco tenore dell’art.15 D.Lgs. 196/03.
L’espressa estensione al trattamento di dati personali della risarcibilità del danno non patrimoniale è sintomatica della particolare attenzione che il Legislatore ha voluto rivolgere ai danneggiati, dal momento che il danno che ricorre più frequentemente è proprio quello relativo alla sfera morale dell’individuo, di cui sarebbe stata altrimenti esclusa la risarcibilità (stante il precetto dell’art. 2059 c.c.).
Il titolare e il responsabile, perciò, oltre a quelle minime previste, devono anche adottare misure di prevenzione “idonee” a ridurre - per quanto possibile - i rischi, prevenibili e prevedibili, che incombono sui dati.
Riassumendo, l’impresa/lo studio professionale che operi on line, al fine di “ridurre i rischi”, dovrà:
a) osservare il livello di sicurezza minimo di legge (per evitare conseguenze penali);
b) approntare le misure di sicurezza ulteriori, che in base al caso concreto si potevano predisporre (altrimenti dovrà risarcire i danni eventualmente cagionati a terzi).
Conclusioni
Avviandoci a concludere, va notato che le sanzioni per chi ignori la legge ci sono, ed esse – specie in tema di omessa adozione delle misure minime – sono rigorose.
Mi sembra che già questo sia un motivo (un “buon”motivo) perché l’azienda/lo studio professionale prenda coscienza delle indicazioni di legge e vi si conformi.
I soggetti devono pertanto sì “proteggersi”, ma senza mai dimenticare che la sicurezza informatica sarà sempre una chimera finchè esisterà il fattore umano, l’anello più debole della catena.
Chiunque pensi che i prodotti da soli offrano “vera sicurezza” si sta cullando nella sua illusione.
La sicurezza non è un prodotto, ma un processo: è pertanto un’attività fatta di risorse e di persone, che riguarda la sfera organizzativa e non solo quella tecnica.
E’indubbio che tutto ciò richieda uno sforzo, che spesso viene visto con sfavore dagli operatori. Tuttavia credo che siano maturi i tempi perché l’azienda/ lo studio professionale possa capire che la tutela della sicurezza non è un valore antagonista alle esigenze di mercato.
La privacy, insomma, da “costo” deve essere vista come “risorsa”: è questo il salto culturale che oggi ci attende. La scommessa, in altre parole, è passare da un’interpretazione pedante e formalistica della privacy all’impostazione di una politica integrata in tema di sicurezza. E’ – credetemi – una scommessa vincente e, tra l’altro, molto remunerativa, dato che l’adottare politiche di riservatezza dei dati rappresenta un valore aggiunto al proprio prodotto o servizio. Una ragione in più, dunque, per adoperarsi in questo senso.
Le misure di sicurezza da adottare nel trattamento dei dati personali sono stabilite nel Titolo V, intitolato " Sicurezza dei dati e dei sistemi " del Decreto legislativo 30 giugno 2003 n. 196, ovvero del "Codice in materia di protezione dei dati personali". Il Ttitolo V è suddiviso in due capi, il capo I, dedicato alle "Misure di sicurezza" ed il capo II, dedicato alle "Misure minime di sicurezza".
In estrema sintesi, gli obblighi fondamentali in materia di sicurezza nel trattamento dei dati personali sono due:
1 - L'obbligo generale di ridurre al minimo i rischi relativi al trattamento di dati personali.
L'obbligo generale di ridurre al minimo i rischi relativi al trattamento di dati personali è previsto dall' Art. 31 del Codice in materia di protezione dei dati personali. Detto articolo, intitolato "Obblighi di sicurezza", dispone che: " I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione
" Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. "
Quanto al trattamento effettuato senza l'utilizzo di strumenti elettronici , l' Art. 35 del codice prevede che: " Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati. "
Le misure minime da adottare sono dunque indicate negli artt. 34 e 35 del Codice
e, le modalità per adottarle sono analiticamente descritte nelle 29 regole contenute
nell’Allegato B) del medesimo Codice.
Ai sensi dell'art. 34, comma 1, lett. g) del Codice e della regola 19 dell'Allegato B), anche la redazione di un " Documento Programmatico sulla sicurezza " è una delle " misure minime " da adottare da parte del titolare del trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici.
La definzione di "dati sensibili" offerta dal legislatore, tuttavia, è solo in apparenza ed in teoria ben definita ma, nella pratica, rende di fatto necessario o, comunque, certamente consigliabile a chiunque gestisca una qualsiasi attività che comporti il trattamento di dati personali, di adottare sempre le misure minime previste dalla legge.
Infatti, ai sensi dell'Art. 4, lettera d), del Codice sono definiti dati sensibili: " i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita
sessuale ." (Es. Basti pensare al carattere multiculturale della nostra società per
comprendere la facilità con la quale anche un nome o il dato relativo al luogo di
nascita possano rappresentare ipotesi di dati "idonei a rivelare l'origine raziale
ed etnica").
E' inoltre fondamentale sottolineare che, ai sensi dell' Art. 196 del Codice,
l’ omessa adozione delle misure minime , costituisce anche reato , punibile
con l’arresto sino a due anni o l’ammenda da 10 mila euro a 50 mila euro.
Per mitigare tale severa disposizione, la legge prevede comunque la possibilità
di estinzione del reato attraverso l'istituto del "ravvedimento operoso"
consentito a chi, una volta accertato il reato, adempie comunque puntualmente
alle prescrizioni impartite dal Garante ed effettua un pagamento in sede
amministrativa.