Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


INFORMATICA GIURIDICA, Appunti di Informatica Giuridica

Appunti lezioni A.A. 2022/2023 - GIPA

Tipologia: Appunti

2021/2022

Caricato il 01/07/2024

chicca.36
chicca.36 🇮🇹

3

(1)

7 documenti

1 / 32

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
INFORMATICA GIURIDICAPREAPPELLO 23 MAGGIO
LEZIONE 21/02/2023 - PALMIRANI
Compas e propublica non accettabili in Europa non accettabili, come super sorveglianza,
manipolazione tramite intelligenza artificiale mente persone.
Principio filter bubble classificare le persone sulla base dei propri interessi/in base alla cronologia delle
navigazioni. Sulla base della profilazione che le piatteforme fanno di una persona.
Cambridge analitica e la manipolazione della democrazia dei profili di Facebook classificati indecisi
politicamente per la Brexit e per Trump. Rete mondiale manipolazione votazioni e della rete politica.
New Digital Ethic
Luciano Floridi, Oxford Internet Institute
Siamo nella quarta rivoluzione industriale:
1.Telai meccanici
2.Macchine a vapore
3.Petrolio e automazione dei processi produttivi
4.Dati e conoscenza come nuove risorse per la quarta rivoluzione industriale
Caratteristiche della quarta rivoluzione industriale:
1.«infosfera»: Internet delle cose e stampante 3D creano la connessione fra reale e virtuale
definendo una nuova dimensione l’infosfera
2.«onlife»: non esiste più separazione fra online e offline, siamo iperconnessi
3.«hyperhistory»: grandi attori diversi dagli Stati scrivono le regole e la storia (e.g., Google,
Facebook)
4.«filterbubble»: siamo immersi in una costante profilazione che rende difficile uscire dalla bolla
che le piattaforme online ci costruiscono nell’infosfera
5.«ethicof infosfera»: l’etica si aggiunge al diritto per regolare l’introduzione delle tecnologie nella
società
CAMBRIDGE ANALITICA è stata una società di consulenza britannica il cui nome è divenuto
famoso in seguito a uno scandalo collegato alla gestione dei dati per influenzare le campagne
elettorali. Il metodo combinava l’interpretazione e l’analisi dei dati con la comunicazione strategica
per la campagna elettorale sfruttamento profilo psicologico degli utenti per individuarne la
personalità. Fondata nel 2013 da Alexander Nix con sede a Londra. Nel 2014 e’ stata coinvolta in
44 campagne elettorali statunitensi2016 elezione Trump accusa di aver utilizzato i dati di
milioni di utenti di Facebook per creare pubblicità politiche per influenzare le opinioni degli
elettoriZuckerberg ha confermato tutto.
INTERNET E LA “SOCIETA’ DELLA CONOSCENZA” condivisa
DATI/INFORMAZIONI + ESPERIENZA conoscenza
INTERNET OF THINGS questa espressione coniata nel 1999 da Kevin Ashton, estende agli
oggetti del mondo reale la capacità di raccogliere, elaborare e scambiare dati in rete tipiche dei
computer. Consente di migliorare il monitoraggio, controllo e automazione. Beneficia degli sviluppi
nei campi di elettronica e comunicazione wireless.
Gli oggetti che ne fanno parte sono termostati, elettrodomestici, impianti produttivi, automobili in
grado di connettersi a una rete per elaborare dati e scambiare informazioni con altri oggetti. Le tre
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20

Anteprima parziale del testo

Scarica INFORMATICA GIURIDICA e più Appunti in PDF di Informatica Giuridica solo su Docsity!

INFORMATICA GIURIDICA  PREAPPELLO 23 MAGGIO

LEZIONE 21/02/2023 - PALMIRANI

 Compas e propublica non accettabili in Europa non accettabili, come super sorveglianza, manipolazione tramite intelligenza artificiale mente persone. Principio filter bubble  classificare le persone sulla base dei propri interessi/in base alla cronologia delle navigazioni. Sulla base della profilazione che le piatteforme fanno di una persona. Cambridge analitica e la manipolazione della democrazia dei profili di Facebook classificati indecisi politicamente per la Brexit e per Trump. Rete mondiale manipolazione votazioni e della rete politica.

New Digital Ethic

Luciano Floridi, Oxford Internet Institute

Siamo nella quarta rivoluzione industriale: 1.Telai meccanici 2.Macchine a vapore 3.Petrolio e automazione dei processi produttivi 4.Dati e conoscenza come nuove risorse per la quarta rivoluzione industriale Caratteristiche della quarta rivoluzione industriale: 1.«infosfera»: Internet delle cose e stampante 3D creano la connessione fra reale e virtuale definendo una nuova dimensione l’infosfera 2.«onlife»: non esiste più separazione fra online e offline, siamo iperconnessi 3.«hyperhistory»: grandi attori diversi dagli Stati scrivono le regole e la storia (e.g., Google, Facebook) 4.«filterbubble»: siamo immersi in una costante profilazione che rende difficile uscire dalla bolla che le piattaforme online ci costruiscono nell’infosfera 5.«ethicof infosfera»: l’etica si aggiunge al diritto per regolare l’introduzione delle tecnologie nella società CAMBRIDGE ANALITICA è stata una società di consulenza britannica il cui nome è divenuto famoso in seguito a uno scandalo collegato alla gestione dei dati per influenzare le campagne elettorali. Il metodo combinava l’interpretazione e l’analisi dei dati con la comunicazione strategica per la campagna elettorale sfruttamento profilo psicologico degli utenti per individuarne la personalità. Fondata nel 2013 da Alexander Nix con sede a Londra. Nel 2014 e’ stata coinvolta in 44 campagne elettorali statunitensi2016 elezione Trump accusa di aver utilizzato i dati di milioni di utenti di Facebook per creare pubblicità politiche per influenzare le opinioni degli elettoriZuckerberg ha confermato tutto. INTERNET E LA “SOCIETA’ DELLA CONOSCENZA” condivisa DATI/INFORMAZIONI + ESPERIENZA  conoscenza INTERNET OF THINGS questa espressione coniata nel 1999 da Kevin Ashton, estende agli oggetti del mondo reale la capacità di raccogliere, elaborare e scambiare dati in rete tipiche dei computer. Consente di migliorare il monitoraggio, controllo e automazione. Beneficia degli sviluppi nei campi di elettronica e comunicazione wireless. Gli oggetti che ne fanno parte sono termostati, elettrodomestici, impianti produttivi, automobili in grado di connettersi a una rete per elaborare dati e scambiare informazioni con altri oggetti. Le tre

componenti fondamentali sono: things (dispositivi), network (rete), cloud (server remoti). Il fatto si essere connessi alla rete, rende i dispositivi vulnerabili alle minacce cyber. LEZIONE 28/02/2023 - PALMIRANI Regolazione dei nomi di dominio prime sentenze anni ’90 iscrivono il nome di dominio a meri strumenti tecnici necessari alla gestione della rete internet (Bari ’96 e Firenze 2000). Negli anni successivi si adotta per analogia istituti giuridici gia’ esistenti  marchio atipico (Bergamo 2003). Armani vs Armanicaso A cosa serve informatica giuridica formata da 2 anime: la prima e’ il diritto informatico e 1 informatica in senso stretto. Ha un metodo diverso dal diritto positivo classico perche’ lavora con una metodologia “ex ante” che cerca di analizzare i problemi analizzando i rischi e soppesandoli con le opportunità. Non aspetta che i fenomeni emergano nella società ma cerca di anticipare i rischi per regolarli. La regolazione deve essere neutrale rispetto alla tecnica in uso per evitare che le norme diventino vecchie presto. Principio di non abbondare di norme, istituti per essere risparmiosi di norme perche’ la tentazione è di fare una nuova legge per ogni nuova tecnica che compare. Informatica giuridica e’ un disciplina giovane ma i fondamenti teorici si trovano in Leibniz, sia giurista che matematica che logico che filoso, modellare le regole del diritto tramite la logica matematica. Ha osservato che tutti i comandi sono descritti in questo modo se succede qualcosa ne succede anche qualcos’altro principio del nesso causale. L’anima previsionale  anni ‘ qualche giurista ha pensato che mettendo dentro una macchina tutte le sentenze, arriva un caso simile e si calcola quanto è la percentuale di probabilità che succeda. Diffusa soprattutto nei paesi di common law. Anima documentaria  anni ’50 e ’60 creare banche dati con tutte le leggi e aggiornarle con la versione ultima della legge. Filone in cui l’Italia spicca per la banca dati piu’ ampia (cassazione da ’70 fino ad oggi) Italia colpita negli anni ’70 dal terrorismo e anni dopo dalla mafia necessità di norme aggiornate velocemente.  Normattiva  portale norme gratuite.  Gazzetta ufficiale  tutte online dal 2009 per promuovere la trasformazione digitale in ogni pagina è firmata digitalmente.  Sentenze cassazioneE-justice  portale europeo della giustizia sentenze piu’ importanti d’Europa  CURIA  corte europea di giustizia ogni sentenza ha un codice univoco per navigare la sentenza nel web URL PERMANENTE  link che non si cancellano -Caso americano di sentenza annullata perche’ il link non naviga per un errore tecnico Anima gestionale anni ’ Nascono i primi personal computer Negli anni 2000 oltre alla rete normale (client/server)  dialogo con un server che deve tutelare il cliente in base al fatto che si sia europei o meno in quanto in Europa vige la protezione dei dati personali. Alcuni servizi hanno il metodo peer-- to – peer che non hanno un unico server comunica con il server a seconda del tipo di dialogo che deve fare con gli altri, evitando di passare attraverso un'unica macchina per evitare di essere tracciati. La conversazione è crittografata, si possono sapere gli orari ma non il contenuto dei messaggi perche’ segreto (WhatsApp); i vocali e le immagini non sono crittografate a parte un’opzione specifica. Uno dei primi servizi era quello per scaricare illegalmente musica. I computer sparsi nel mondo diventano dei server o dei client da cui prendere qualcosa deposito nel computer altrui di materiali con rischi.

 Anni ’80 terminali intelligentiLAN (local area network – area geografica limitata), WAN (wide area network – grandi dimensioni, introdotta nell’80), MAN (metropolitan area network – area metropolitana)  Anni ‘90/2000: sistemi distribuiti; connessione di reti sub-locali; internet; reti virtuali protette. DISPOSITIVI DI UNA RETE:  Host macchina dotata di capacità di elaborazione che eroga servizi agli utenti collegati tramite terminali.  Terminali dispositivi attraverso i quali gli utenti accedono ai servizi forniti dall’host  Nodi qualsiasi dispositivo sulla rete (anche stampanti)  Linee di comunicazione dispositivi che consentono la comunicazione fra tutti i dispositivi della rete. DISPOSITIVI DI CONNESSIONE FRA RETI:Ripetitore dispositivo hardware che collega due tronconi di rete trasmettendo i segnali elettricicreazione reti che coprono grandi lunghezze  Bridge dispositivo che consente di connettere piu’ sottoreti e ripartire il traffico tra queste  Router dispositivo deputato all’instradamento migliore dei pacchetti di dati  Gateway dispositivo che collega reti aventi architetture e protocolli diversi. MEZZI DI TRASMISSIONE DATI: la velocità di trasmissione si misura in baud rate, numero di bit per secondo (bps)  Doppino telefonico cavi di rame usati per comunicazioni telefoniche  Cavo coassiale cavo per comunicazioni telefoniche/segnale televisivo  Fibra ottica mezzo per trasmissione veloce di dati  Onde elettromagnetiche per trasmissione dati su brevi distanze (onde) o lunghe (satellite – velocità luce). PROTOCOLLO ISO-OSI è un modello concettuale che definisce il modo in cui le reti inviano i dati dal mittente al destinatario. Unico protocollo fra diverse tipologie di rete. Formato da 7 livelli , ognuno rappresenta uno strato astratto e sono:  Fisicogestisce dispositivi hardware per la comunicazione  Linkgestisce funzioni trasferimento pacchetti a livello fisico  Networkgestione instradamento pacchetto e ricomposizione in caso di ricezione  Trasportogestisce assegnazione del pacchetto al destinatario  Sessionegarantisce che le applicazioni possano aprire una sessione di dialogo per scambiarsi i pacchetti  Presentazionegestisce la conversione dei pacchetti nel formato adeguato  Applicazionegestisce i servizi di rete e li fornisce direttamente all’utente tramite apposite applicazioni ESEMPIOINVIO FILE AD UN DBMS (software gestione di basi dati):

INTERNET è la connessione di reti locali distribuite in tutto il mondo. I nodi comunicano attraverso un protocollo standard TCP/IP composta da famiglie di protocolli. Si basa sulla commutazione di pacchetto in opposizione alla commutazione di circuito. È una rete a maglia (tutti i nodi sono collegati tra loro e ciascuno di essi riesce a raggiungere un altro attraverso un solo passaggio) con un’organizzatrice ai vertici gerarchica. È attualmente gestito da Internet Society , con contributi pubblici e privati. Inizialmente, i calcolatori della rete Internet avevano sistema operativo Unix. I servizi internet, quindi, sono nati integrati in quel sistema operativo e sono sempre disponibili; successivamente si e’ sempre piu’ diffuso l’uso di internet anche a, di fuori del sistema operativo. I PROTOCOLLI DI INTERNET , che sono un insieme di regole utilizzate dalle due macchine per scambiare informazioni e specifica cosa deve essere comunicato, in che modo e quando, furono sviluppati in ambiente ARPANET, la prima rete negli anni ’70. Internet divenne la quinta essenza della libertà di espressione e il luogo dove ogni individuo puo’ esprimersi, agire, essere. Divenne anche il luogo dove nascono le prime correnti di pensiero legate al software freeware (caratterizzato dalla gratuità, ma che ha diritti limitati. Non è detto che possa essere condiviso/modificato da chi intende usarlo) e al concetto di open source (software disponibile in forma di codice sorgente senza costo aggiuntivi, quindi l’utente puo’ modificarlo in base alle sue esigenze – ES. OpenOffice, Mozilla). Negli anni ’50 fu inviato nello spazio lo Sputnik; negli anni ’60 si inventa la commutazione a pacchetto, l’ipertesto e mouse, si installa il primo nodo di rete di comunicazione basata sul protocollo NCP (prima TCP/IP). Nel ’70 nasce il primo servizio di posta elettronica distribuita in rete e nasce protocollo TCP/IP. Nell’80 arrivano i primi virus, gli host in rete sono numerosi e viene introdotto il meccanismo del DNS (i server traducono richieste di nomi in indirizzi IP). Nel ’90 si inizia a costruire il primo browser WWW, nasce l’e-commerce. NASDAQ è la prima borsa al mondo esclusivamente elettronica ed è un paniere che include titoli relativi ad aziende USA e straniere che non siano holding, società finanziarie, banche o compagnie di investimento. I settori maggiormente rappresentati sono quello tecnologico, delle telecomunicazioni e del commercio. DAL PROGETTO MILITARI ALL’E-COMMERCE:  Prima fase 1970 progetto militare Arpanet  Seconda fase1990 le università prendono possesso di Arpanet e creano internet  Terza fase2001 internet arriva nel mondo tramite l’e-commerce – bolla speculativa e crisi economica  Quarta faseoggiseconda era dell’e-commerce dopo la bolla speculativa economica  Quinta fasesemantic web e web 2.

Internet è una rete basata sulla connessione gerarchica d diversi strati, anche se a struttura libera. Nello strato piu’ basso di hanno i PC, workstation, computer, i quali sono connessi ai Internet Server Provider che forniscono l’accesso locale ad internet. Quelli locali sono connessi con quelli regionali, i quali a loro volta sono collegati con quelli nazionali detti NSP (national service provider) che sono i fornitori nazionali di accesso a internet. I vari NSP sono collegati fra loro da NAP (network access point), ossia un dispositivo hardware di rete che consente ad altri dispositivi di connettersi a una rete collegata. LEZIONE 07/03/2023 - SAPIENZA PROTEZIONE DEI DATI PERSONALI 1890Warren e Brandeis  concetto di privacy come “diritto ad essere lasciati soli” (right to be let alone)protezione dei confronti della propria riservatezza fisica (no informazioni personali) capirono per un avvenimento della stampa, l’essere umano con l’avvento delle tecnologie, non aveva piu’ uno spazio per lui ma potevano essere inclusi altri soggetti. Alcuni paparazzi avevano iniziato a fare foto a personaggi e non c’era una tutela nell’ordinamento per i soggetti che subivano questo comportamento. Privacy = riservatezza. 1950riconoscimento normativo. Il consiglio d’Europa (organizzazione di diritto internazionale) sancisce all’art.8 della convenzione il seguente diritto: “ ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza ” maggiore circolazione di informazioni. 2000  riconoscimento da parte del diritto europeo nella carta dei diritti fondamentali dell’UE all’art. Diritto alla privacy OGGI  non è piu’ solo in senso fisico ma anche:  Mentaleformazione del pensiero ( influencer marketing = sfruttamento influencer, manipolazione pensiero)  Decisionaleformazione decisioni ( Cambridge analytica determinazione decisioni parlamentari)  Informazionaleformazione nostra identità (social network circolazione dati, profilazione ) Privacy e protezione dei dati personali sono concetti che NON corrispondono del tutto, anche se largamente compatibiliconcetto di privacy è piu’ ampio. Il concetto di privacy informazionale riguarda anche un gruppo di persone, come collettività NON individualmente; mentre la protezione dei dati personali è solo individuale.

La protezione dei dati personali è il controllo da parte di un individuo, delle informazioni che lo riguardano. Avviene tramite:  diritti fondamentali degli individui  principi e regole per l’utilizzo dei dati personali  autorità di controllo e monitoraggio con potere sanzionatorio. Diritto internazionale  1981 consiglio d’Europa interviene con una convenzione sulla protezione delle persone rispetto al trattamento automatizzato dei dati a carattere personale (convenzione 108normativa superata oggi) per la prima volta sancisce i 3 elementi prima indicati. Diritto europeo  1995  parlamento e consiglio europeo è stata interamente sostituita, ma fu il primo atto europeo che interviene con regole a cui tutte le categorie interessate (stakeholder) devono rispettare. Diritto europeo  2000  art.8 carta dei diritti fondamentali dell’UE  sancita l’esistenza di un diritto alla protezione dei dati personali:

  1. ogni individuo ha diritto alla protezione dei dati che lo riguardano;
  2. i dati devono essere trattati secondo principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha diritto ad accedere ai dati raccolti e ottenerne la rettifica
  3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente. Quali sono le norme oggi? Livello europeoGDPR  general data protection regulation del 2016 diventato pienamente efficace nel 2018 che ha sostituito la direttiva del ’95. Italia codice privacy o decreto legislativo 196 del 2003modificato nel 2018 per implementare il GDPRmodificato nel 2021 con il decreto Capienze poi convertito in legge. GDPRelementi essenziali: formato da 99 articoli  dopo il preambolo, inizia con una serie di:  Definizioni  Soggetti  Principi inerenti al trattamento dei dati personali  Fondamenti sulla liceità del trattamento  Diritti dell’interessato  Sanzioni e mezzi di ricorso DEFINIZIONI E CATEGORIE FONDAMENTALI : un dato è una striglia composta da un codice binario (serie di 0 e 1) elaborata dalle macchine che in base ad una serie di algoritmi ci restituiscono qualcosa. In relazione all’individuo:  Dato personale  legato ad una persona fisica  Speciali categorie di dati (sensibili )  Dato anonimoDato anonimizzatoDato pseudonimizzatoDataset misti (personali e non personali, legati indissolubilmente) Dati personali semplici, speciali categorie di dati e pseudonimizzati Dati non personalianonimi e anonimizzati

FONTE DEL DATO :

Dato fornito dato personale trasmesso dall’interessato stesso (persona a cui sono associati i dati)  Dato osservato dato personale raccolto in seguito all’osservazione del comportamento dell’utente.  Dato derivato dato personale ottenuto a partire da un altro dato, utilizzando un metodo deterministico e certo (se..allora...| cittadini italiani sono anche europei)  Dato inferito dato personale ottenuto a partire da altri dati utilizzando metodi probabilistici e potenzialmente incerti (se…probabilmente...)sono dati personali Nel 2019 il consiglio d’Europa ha stabilito che si ha la necessità di regolare i dati inferiti perche’ influenzano comportanti e si ha il rischio di manipolazione e discriminazione rischi per l’autodeterminazione informativa. Art. 4 GDPR TRATTAMENTO qualsiasi operazione o insieme di operazioni compiute con/senza l’ausilio di processi automatizzati e applicati ai dati personali o insieme ad essi, come: adattamento, estrazione, elaborazione, diffusione, comunicazione , ecc.. TRATTAMENTI NON COPERTI (inter alia = tra l’altro):  effettuati da persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico  effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni pensali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse. COMUNICAZIONEnumero determinato di destinatarie-mail DIFFUSIONEnumero indeterminato di destinatarisocial FIGURE ESSENZIALI:  interessato del trattamento  Gli interessati minori sono soggetti ad un’autorità piu’ stringente. Sotto i 15 anni è necessario il consenso parentale. Le persone giuridiche NON sono soggette al trattamento.  titolare del trattamento persona fisica e giuridica che determina le finalità del trattamento. Puo’ assegnare specifiche istruzioni ad altri soggetti giuridici. Assume e deve rispettare gli obblighi. Può essere soggetto alle sanzioni. contitolari trattamento  2 o piu’ titolari determinano congiuntamente le finalità e i mezzi e che regolano mediante accordo interno giuridicamente valido le rispettive responsabilità. Si ha una responsabilità solidale  responsabile trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare. È una figura eventuale ma in pratica diffusa. Il titolare sorveglia ed istruisce il responsabile (accountability). È necessario un atto di nomina (art.28 GDPR) che puo’ essere un contratto, ma deve avere necessariamente forma scritta. Puo’ nominare un sub-responsabile. ATTO DI NOMINA responsabile trattamento deve contenere:

 materia disciplinata  durata trattamento  natura trattamento  finalità trattamento  tipo di dati personali  categorie di interessati  obblighi e diritti del titolare del trattamento  persona autorizzata trattamento(incaricato) chiunque agisca sotto l’autorità del titolare del trattamento ed effettui operazioni materiali di trattamento. È una figura eventuale ma diffusa. Deve essere istruito dal titolare o dal responsabile ed opera sotto la sua responsabilità. Non sono richieste forme particolari per la nomina. L’incarico puo’ avvenire all’interno di un atto giuridico vincolante (es. contratto lavoro).  data protection officer (DPO ) responsabile per la protezione dei dati personali, è il soggetto che coadiuva il titolare negli adempimenti connessi alle norme sulla tutela dei dati personali (consulente privacy interno al titolare). Deve essere designato in alcuni casi (art.37 GDPR):  il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (es. unibo);  i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;  il trattamento riguarda, su larga scala, dati appartenenti alla categoria dei dati particolari o relativi a condanne penali e reati casi di particolare rischio. Per tutti gli altri la nomina NON è obbligatoria. CARATTERISTICHE DPO (art.37-38 GDPR):  Deve essere indipendente dal titolare  Non deve avere un conflitto di interessi  Riferisce solo ai vertici gerarchici  Possiede elevate qualità professionali in materia  Funge da punto di contatto con l’autorità di controllo e con gli interessati, perche’ e’ il frontdesk dei dati personali. COMPITI DPO (art.39 GDPR):  Informare e fornire consulenza sul trattamento  Sorveglia l’osservanza del GDPR, in quanto collabora con le organizzazioni  Fornisce se richiesto un parere alla valutazione di impatto sulla protezione dei dati (valutazione del rischio)  Collabora con l’autorità di controllo, in caso di ispezioni o verifiche.

- autorità di controllo  garante per la protezione dei dati personali/garante privacy è un’autorità pubblica che si occupa della sorveglianza dell’applicazione del GDPR e delle alte norme poste a tutela dei dati personali. Sono 4 membri eletti dalla camera e dal senato. Viene eletto un presidente e il mandato ha una durata di 7 anni. COMPITI:  pareri su proposte di atti normativi e amministrativi; partecipa ai lavori parlamentari (audizioni); stimola il lavoro.  Prescrive misure da adottare nell’ambito di alcuni trattamenti tramite linee guida (scuola, videosorveglianza) per tutti i paesi dell’UE.  Ingiunge ammonizioni di conformità’ del trattamento; irrora sanzioni  Coinvolge e informa la cittadinanza  Partecipa ai lavori del comitato europeo per la protezione dei dati personali (ES. green pass, app immuni).

  1. Il trattamento è necessario per adempiere ad un obbligo legale in capo al titolareil titolare deve essere soggetto ad un obbligo giuridico (situazione giuridica) che gli impone di trattare i dati. ( ES. trattamenti finalizzati all’applicazione di imposte – Agenzia Entrate )
  2. Il trattamento è necessario per la salvaguardia di interessi vitali ES : intervento vigile del fuocotrattamento indirizzo di casa del chiamante. Casi di emergenza , dove l’interessato non potrebbe essere in grado di prestare il consenso)
  3. Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di essi ES. comune o università che hanno finalità istituzionali bilanciamento in favore di un interesse pubblico ES. magistratura. Il trattamento puo’ essere utilizzato anche da un atto amministrativo generale.
  4. Il trattamento è necessario per il perseguimento del legittimo interesse del titolare o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato he richiedono la protezione dei dati, in particolare se l’interessato è un minore a condizione che il legittimo interesse non prevalgaesercizio di bilanciamento da parte del titolare. ES. attività cybersecurity. CONDIZIONI DI LEGITTIMITA’ PER CATEGORIE SPECIALI DI DATI:  Consenso esplicito interessato  Interesse vitale interessato caso emergenze  Dati personali sono resi manifestamente pubblici dall’interessato orientamento sessuale  Trattamento è necessario accertare, esercitare o difendere un diritto in sede giudiziaria  Interesse pubblico rilevante  Motivi di interesse nel settore sanità pubblica covid  Archiviazione nel pubblico interesse di ricerca scientifica o storica o a fini statistici. DIRITTI DELL’INTERESSATO: Diritti conoscitivi:  Diritto informativa il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni in forma concisa, trasparente, intelligibile e facilmente accessibile con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate ai minori. Sono fornite per iscritto o con altri mezzi, ma anche oralmente se richiesto dall’interessato. Diritto conoscitivo EX ANTE (prima dell’inizio del trattamento/raccolta informazioni). Contenuto informativa privacy: identità e dati contatto titolare trattamento; dati di contatto del DPO; finalità trattamento, ossia la base giuridica; legittimi interessi perseguiti dal titolare del trattamento; eventuali destinatari o categorie di destinatari; ove applicabile, intenzione del titolare di trasferire a un paese terzo. Per garantire un trattamento corretto e trasparente, il titolare indica anche: il periodo di conservazione; i diritti degli interessati; se basato sul consenso, bisogna indicare esplicitamente la possibilità di revoca del consenso; diritto di proporre reclami all’autorità garante; esistenza di processo decisionale automatizzato, compresa la profilazione.  Diritto accesso art. 15  l’interessato ha il diritto di ottenere dal titolare del trattamento: conferma che vi sia in corso un trattamento dei dati; di ottenere l’accesso ai dati perdonali e ad alcune informazioni. Diritto conoscitivo EX POST (= dopo inizio trattamento). Il contenuto è uguale al diritto di informativa. Comma 3Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento, in caso di ulteriori copie, il titolare puo’ addebitare un contributo spese ragionevole basato sui costi amministrativi. Le informazioni sono fornite in un formato elettronico di uso comune.  Diritto comunicazione di una violazione di dati Diritti di controllo partecipazione attiva interessato che puo’ azionarli tramite azioni positive:  Diritto di rettifica e integrazione art. 16 l’interessato ha il diritto di ottenere dal titolare: la rettifica dei dati personali inesatti che lo riguardano sena ingiustificato ritardo; l’integrazione dei dati personali incompleti. Il titolare deve comunicare: ai destinatari la rettifica o integrazione; all’interessato, i destinatari. ES. sentenza Google Spain  sentenza della corte di giustizia europea disciplina prima del GDPR. Il signor Gonzalez fu condannato per bancarotta e anni dopo legge cercando il suo nome su Google un giornale spagnolo che parla della sua vicenda giudiziaria, ormai

conclusa. Chiede la rimozione al giornale che si rifiuta in quanto hanno diritto di cronaca; successivamente chiede a Google che si rifiuta anch’esso sostenendo di non effettuare operazioni di trattamento e non potere intervenire sui contenuti del sito del giornale. Il caso arriva alla corte di giustizia europea stabilisce che è necessario un bilanciamento tra la libertà di manifestazione del pensiero; di iniziativa economica e la tutela dei dati personali. Soluzione: diritto alla DEINDICIZZAZIONE  l’interessato ha diritto di richiedere a Google la rimozione del link che associa il proprio nome a una notizia; la notizia è soggetta ad un vaglio di pubblico interesse da parte di Google. Se ritiene che non sia piu’ pertinente secondo criteri temporali, geografici, di notorietà; la pagina sul sito NON viene cancellata.  Diritto alla cancellazione ( o oblio ) l’interessato ha diritto di ottenere al titolare la cancellazione dei dati e il titolare ha l’obbligo di cancellarli. ES. se non sono piu’ necessari alle finalità per le quali sono raccolti; i dati personali sono stati trattati illecitamente; i dati devono essere cancellati per adempiere un obbligo giuridico. ECCEZIONI : esercizio del diritto alla libertà di espressione e informazione; adempimento obbligo giuridico; motivi di interesse pubblico nel settore della sanità pubblica; a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici; per accertamento, esercizio o difesa. Se il titolare ha reso pubblici i dati, è obbligato a cancellare anche la versione pubblica. ES. cancellazione dati giornale online che ha trasferito quei dati a un altro sito, deve informare gli altri dell’avvenuta cancellazione. CANCELLAZIONEè un diritto dell’interessato ma anche misura di sicurezza. Esistono tecniche informatiche che consistono nella incisione del disco piu’ e piu’ volte fino a cancellare fisicamente i dati (erosione). Secondo il GARANTE PRIVACY non è solo un diritto dell’interessato ma anche una misura di sicurezza quando dispositivi elettronici vengono smarriti. Cancellare un file spostandolo nel cestino non elimina il contenuto del disco ma classifica solo il file come non piu’ accessibile. Per la cancellazione sicura delle informazioni si può’ ricorrere a programmi informatici come “ file shredder ” che provvedono, una volta che l’utente abbia eliminato dei file, a scrivere ripetutamente nelle aree vuote dl disco sequenze casuali di cifre binarie (da 7 a 35) in modo da ridurre le probabilità di recupero delle informazioni.  Diritto alla limitazione del trattamento art. 18 interruzione temporanea applicabile a tutti i trattamenti in presenza di certe condizioni. L’interessato non ha l’onere di dimostrare particolari requisiti.  Diritto di opposizione art. 21 interruzione permanente applicabile solo ai trattamenti effettuati nell’esecuzione di un pubblico interesse o per legittimo interesse del titolare (registro opposizioni). Motivi connessi alla sua situazione particolare.  Diritto alla portabilità art. 2  l’interessato ha diritto di ricevere un formato strutturato, di uso comune e leggibile da dispositivo automatico che lo riguardano forniti a un titolare del trattamento e il diritto di trasmettere tali dati a un altro titolare senza impedimenti. Qualora il trattamento si basi sul consenso o su un contratto OPPURE il trattamento sia effettuato con mezzi automatizzati. Modalità: l’interessato ha diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile. Sono inclusi anche i dati osservati, NO dati inferiti. LIMITAZIONI : non ledere diritti e libertà altrui; non applicabile a trattamenti compiuti per l’esecuzione di un compito di interesse pubblico. L’espressione “forniti da” si riferisce a dati personali relativi ad attività compiute dall’interessato o derivanti dall’osservazione del suo comportamento, con esclusione dei dati derivanti dalla successiva analisi. STRUTTURATO  organizzati in uno schema rigido, predefinito, in metadati. USO COMUNE formi aperti di impiego comune o facilmente reperibile LEGGIBILE DA DISPOSITIVO AUTOMATICO interoperabile = comprensibile da diversi sistemi + comprensibile dai sistemi, cioe’ processabile ed elaborabile (no PDF, non consente elaborazione) PROFILAZIONE  e’ qualsiasi forma di trattamento automatizzato che consente nell’utilizzo di dati personali per valutare determinati aspetti personali relativi a una persona fisica per analizzare o prevedere aspetti riguardanti il rendimento professionale, situazione economica, salute. ES: solvibilità banca e capacità posto di lavoro. ECCEZIONI : prestato consenso esplicito o che sia

ARCHITETTURA DI COMUNICAZIONE TCP/IP è basato su 5 livelli. I protocolli piu’ significativi per il successo sono: TCPlivello transport del protocollo ISO-OSI e gestisce il trasporto dei messaggi e controlla il flusso dei dati; IPè a livello network e gestisce l’instradamento dei pacchetti. Crackerhackeraggio per motivi economici con l’intenzione di fare un danno; l’hacker invece, è legato all’attivismo (ES. attacco contro adidas e Nike, perche’ avevano dislocato in India la cucitura dei palloni affidata ai bambini; contro Nestle perche’ aveva regalato latte in polvere scaduto in Africa). PROTOCOLLI APPLICATIVI DEL VII LIVELLO (dal basso verso l’alto) all’inizio del protocollo TCPIP erano 7, ma le case costruttrici hanno deciso di semplificarequesto è il quinto: servizi di internet:  Scambio per corrispondenza elettronica (SMTP per e-mail)  Collegamento a computer remoti, in modalità terminale (TELNET, SSH, TERMINAL SERVICE (per Windows)  Accesso al file system di un server remoto e trasferimento di file (FTP per fare download)  Gruppi di discussione (MAILING LIST, USENET)  Conversazione scritta in tempo reale (IRC, SKYPE, MSN, ICQ (chat e telefonate)  Navigazione ipertestuale (HTTP del WWW) Modalità asincrona quando a un’azione corrisponde un’interazione NON immediata. Es. e-mail Modalità sincronaquando ad un’azione corrisponde un’interazione immediata. Es. chat; streaming, giochi online. La maggio parte usa al piattaforma client/server DIVERSO da peer to peer (chat, skype)necessitano di solito di un’interazione sincrona. POSTA ELETTRONICA permette di scambiare messaggi tra gli utilizzatori della rete. Si basa su 2 protocolli: SMTP e POP È nata insieme a internet. La posta elettronica e’ fragile ed e’ nata come una sovrapposizione di strumenti nel tempo. Primo modello anni 70/80, poi è stato aggiunto un altro pezzo che recapita la mail nel client del destinatario (POP). È nata per il testo, no immagini e filmati. Puo’ avere forti manipolazioni o alterazioni. Tradizionalmente si hanno 2 protocolli:  SMTP trasferisce i messaggi da un host all’alto (centro di smistamento) PROTOCOLLO SPEDIZIONEPOP trasferisce messaggi al destinatario (postino) PROTOCOLLO RICEZIONE L’evoluzione ha aggiunto:  IMAP protocollo che consente la gestione della casella di posta in remoto. Si usa quando non si ha una postazione fissa per evitare di avere caselle su piu’ PC  HTTP posta via web  MIME protocollo sovrapposto all’SMTP per inviare allegati multimediali.

HEADER DI UN MESSAGGIO  è l’intestazione del messaggio stesso e contiene le informazioni relative alla vita dell’email, dal momento in cui viene inviata fino all’accettazione da parte del server del destinatario, oltre alle informazioni che riguardano l’autore del messaggio stesso. Le informazioni obbligatorie sono: mittente, destinatari, destinatari in Cc, data e oggetto. La lettura dell’header puo’ aiutare a capire se la mail ha avuto origine da un mittente affidabile o uno spammer. Comportamenti scorretti:  Flamming  usare toni polemici, critici, logorroici approfittando del mascheramento indotto dal mezzo tecnologico (anche social).  Boombing invio di una mole massiccia di posta ad un server o ad una casella e-mail provocando la caduta del servizio o del server (usata da hacker e attivisti) metodo per fare spegnere le macchine da remoto.  Invio di virus, worm (fanno vedere un verme digitale che mangia tutti i tuoi file), cavalli di troia (viene installato con una cosa positiva, ha un timer non immediato perche’ senno’ si capisce il collegamento, dove parte l’attacco), rootkit, malwareInvio di e-mail con identificativi falsiPhishing  metodo per estorcere credenziali direttamente alle vittime con il metodo dell’ingannoazione di convincimento della vittima stessa, soprattutto con metodi psicologici. Tecnica di ingegneria sociale che mira al furto d’identità attuato mediante i piu’ svariati mezzi per poter carpire dati riservati (es. gerarchia, lusinghe per donne) e per poterli usare per commettere illeciti o reati.  Spamming mail non desiderata. 2 tipi:  Junk mail  invio di posta non sollecitata (es. cartomante)  Spamming  invio di messaggi non sollecitati di natura prevalentemente commerciale mediante anche telefono e sms. Vengono inviati grandi quantità, reiterati, da mittente spesso sconosciuto o falsificato. Deriva da Spam, carne in scatola usata per la fornitura dell’esercito americano, che dagli anni 70 diventò il simbolo dei campi di battagli in Vietnam dopo che è passato l’esercito americanolascia l’idea che la posta indesiderata sia come il guscio della scatoletta dopo la vittoria. Deriva da sitcomti spinge con insistenza ad acquistare ciò che non vuoi. Non tutta è illegale; lo e’ nei sistemi giuridici chiamati opt-in  l’Europa per la privacy ha questo regime, vuol dire che in Europa si puo’ usare i dati personali delle persone solo dopo il consenso (contratti piattaforme) o per una base giuridica ( art.13 direttiva 2002/50/CE ). DIVERSO dal regime americano, coreano e giapponese dell’opt-out , per tutelare il mercato libero e la concorrenza tra imprese, dove il destinatario deve agire al fine di essere espulso dalle liste di invio.

  • Provvedimento del maggio 2003 del garante privacy spam illecito contro diritto d’autore. l’utilizzazione per scopi promozionali e pubblicitari è possibile solo se il soggetto cui si riferiscono ha manifestato in precedenza un consenso libero, specifico e informato. Questo vale anche se i messaggi sono inviati in automatico da un software. IN ITALIA:

HOME PAGEpagina iniziale sito web. Si basa su 3 standard fondamentali:

  1. HTTP (transfer)protocollo usato dai computer per comunicare in internet. protocollo stateless (senza memoria di stato), ciò significa che la connessione tra client e server viene chiusa ogni volta che viene soddisfatta una richiesta, per questo i parametri inseriti da una pagina all’altra si perdono. Ad ogni richiesta si attiva una connessione diversa di TCP/IP (non permanente); mentre la versione HTTP 1.1 rimane attaccata. Un modo per evitare la perdita di stato è l’uso di sessioni e cookies.
  2. HTML (markup)formato del documento per essere inserito nel web
  3. URL (uniform resource locator)schema di denominazione delle risorse internet per assegnare ad ogni documento un indirizzo univoco decreto legislativo 196 del 2003 URI (uniform resource identifier) e’ un indirizzo espresso attraverso una stringa di caratteri per identificare una risorsa fisica o astratta. La risorsa di cui si parla è un’entità e la sua collocazione

non si trova per forza all’interno di una rete. ES: ::= “:” <parte-specifica>.

Importante valore legale dei documenti digitali e quindi necessità di aver certezza del

diritto della navigazione dei link.

 Identificazione chiara dei documenti a prescindere dalla posizione fisica

 Persistenza del nome nel tempo perché costruito con caratteristiche oggettive e

statiche

 Accesso alle risorse indipendente dalla banca dati

 Interoperabilità tra banche dati differenti

URN (uniform resource name) è un URI che identifica una risorsa all’interno di un

namespace, ma non permette l’identificazione della posizione della risorsa stessa. ES:

::= "urn:" ":" -ES. URN IN NORMATTIVANIR + AUTORITA’ + TIPODOC + ESTREMI + ANNESSI -ES. URN RISORSE GIURIDICHE IN NORMATTIVAFORMATO DI URL PER REPERIRE DOCUMENTO WWW:  httpprotocollo di base del web, puo’ essere sottointeso  nome del dominioobbligatorio, è il nome di un computer permanentemente collegato in internet  percorso del filepercorso per reperire un file all’interno del computer  identificator del frammentoopzionale, indica il nome di una parte specifica del documento.  Dipende dalla posizione fisica del file. In Europa vi sono 2 standard per i documenti legislativi e le sentenze emanati con raccomandazioni del consiglio dell’UE:

  1. ELI (european legislation identifier) è un sistema per rendere disponibile online la legislazione in un formato standardizzato, in modo che possa essere accessibile, scambiata e riutilizzata oltre frontiera. E’ formto da blocchi informativi che si possono combinare diversament a seconda della tradizione giuridica (leggi collegate all cultura). ES: EU publications office / gazzetta ufficialeproblemi di trasparenza da parte del giurista perche’ viene usato l’anno di pubblicazione e non di emanazione.
  1. ECLI (european case law identifier)è stato creato allo scopo di facilitare il riferimento corretto e netto a sentenze in materia di diritto dell’UE emesse da organi giurisdizionali europei e nazionali. LEZIONE 28/03/2023 - SAPIENZA FINE PROTEZIONE DATI PERSONALI: misure di sicurezza e data breach o incidenti di sicurezza sui dati misure tecniche-organizzative:  Rilevanza del metodo informatico-giuridico  combinazione di elementi inscindibile dove il contenuto informatico è orientato verso quello giuridico.  Ruolo cruciale del DPOCybersecurity e misure di protezione fisica dei dispositiviMisure tecniche sempre appropriate al rischioRispetto dei diritti fondamentali Art. 32  si tiene conto dello stato dell’arte, dei costi di attuazione, della natura, oggetto e contesto del trattamento; rischio di varia probabilità e gravità per diritti e libertà di persone fisiche. Il titolare del trattamento e il responsabile devono mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. Rischio = probabilità x gravità Ruolo centrale del titolare a) Pseudonimizzazione e cifratura dei dati personali b) Capacità di assicurare su base permanente la riservatezza , integrità , disponibilità e resilienza dei sistemi c) Capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico disaster recovery (approccio adottato da un’organizzazione per ripristinare le funzionalità’ della propria infrastruttura IT in seguito ad eventi disastrosi naturali o causati dall’uomo). d) Procedura per testare , verificare e valutare regolarmente l’efficacia delle misure tecniche al fine di garantire la sicurezza. RISCHI : distruzione; perdita; modifica; divulgazione non autorizzata; accesso in modo accidentale o illegale. Registro delle attività del trattamento  tabella all’interno del quale indicare una serie di elementi che hanno a che vedere col trattamento. Ogni titolare e il suo rappresentante tengono un registro delle attività; svolte sotto la loro responsabilità. Contiene: nomi e dati di responsabile, titolare e DPO; finalità; destinatari; termini previsti per cancellazione; misure di sicurezza adottate. I SOGGETTI OBBLIGATI:  Imprese/organizzazioni con almeno 250 dipendenti  Titolari/ responsabili che effettuano trattamenti non occasionali  Titolare/responsabile che presentano un alto rischio  Titolare/responsabile che effettui trattamenti delle categorie particolari di dati o relativi a condanne penali e reati. DATA BREACH incidente di sicurezza sui dati o violazione dati personali. Violazione di sicurezza che comporta accidentalmente o in modo illecito, la distruzione, perdita o modifica di dati personali trasmessi o comunque trattati.