Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


privacy diritto e sicurezza informatica PERRI, Sintesi del corso di Informatica Giuridica

riassunto completo (esclusi cap. 7 e 8) del libro PRIVACY DIRITTO E SICUREZZA INFORMATICA

Tipologia: Sintesi del corso

2015/2016

Caricato il 28/01/2016

MaryB-
MaryB- 🇮🇹

4.3

(67)

21 documenti

1 / 11

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
CODICE PRIVACY d.lgs 196/2003
Il codice per la protezione dei dati personali è stato introdotto con il D.LGS 196/2003, in esso
sono state inserite le norme relative alla legge 675/96 e ai successivi decreti legislativi e
regolamenti nonchè norma basate sulla giurisprudenza dell'autorità del GARANTE e sono
stati introdotti ex novo i codici deontologici relativi all'attività giornalistica, al trattamento dei
dati per scopi storici e per scopi statistici e di ricerca scientica.
Una prima parte, relativa alle disposizioni generaloi contiene i principi cardine su cui si basa
tutta la disciplina, in particolar modo il diritto alla protezione dei dati personali, il quale si
rivlge al singolo individuo e non a categorie determinate di soggetti.
Viene poi introdotto il principio il pricnipio di necessità del trattamento dei dati, volto a
ridurre al minimo l'utilizzazione dei dati eprsonali, prevedendo che i sistemi informatici e i
software siano congurati solo per il perseguimento delle nalità consentite.
La seconda parte del codice è dedicata alla regolamentazione di specici settori.
La terza e ultima parte del codice è dedicata alla tutela dell'interessato. Tutela che può
essere sia di natura amministrativa che giurisdizionale. Vengono individuate tre forme di
TUTELA esperibili innanzi al GARANTE:
1. RECLAMO CIRCOSTANZIATO, con cui si denuncia una violazione della <disciplina
rilevante>, cioè dell'insieme di norme contenute nel codice, in materia di trattamento
dei dati personali:
2. la SEGNALAZIONE, con la quale, nel caso non sia possibile presentare un reclamo,
s'intende ugualmente solecitare un controllo da parte del Garante;
3. il RICORSO, con il quale si fanno valere gli specici diritti dell'interessato.
TRATTAMENTO DEI DATI PERSONALI
La gura cardine intorno alla quale ruota il meccanismo del trattamento dei dati
personali è quella del TITOLARE, il quale esercita un potere decisionale del tutto
autonomo sulle nalità e sulle modalità del trattamento, ivi compreso il prolo della
sicurezza. Il titolare può essere una persona sica o giuridica, morivo per cui, in caso di
uno studio professionale, il titolare potrebbe essere sia lo studio nel suo complesso,
indipendentemente dal fatto che sia uno studio uninominale o un'associazione di
professionisti, sia il singolo professionista.
Una volta individuato il titolare, gura assolutamente necessari nel trattamento dei dati
in quanto CENTRO D'IMPUTAZIONE GIURIDICA di obblighi e di responsabilità, la legge
attribuisce a questi precisi compiti, il primo dei quali è quello di STABILIRE FINALITA' E
MODALITA' DEL TRATTAMENTO DEI DATI, ossia specicare per quale motivo ed in quale
modo verrà eettuato il trattamento. Vanta AUTONOMIA DI SCELTA in merito ai tipi di
dati da raccogliere e registrare, modalità con le quali si procederà all'aggiornamento,
rettica, nalità per le quali i dati potrebbero eventualmente essere comuncati a
soggetti terzi.
Le altre due gure previste dal Codice sono quelle del RESPONSABILE e
dell'INCARICATO, caratteristica di queste gure è che devono sottostare alle direttive
impartite dal titolare.
Il RESPONSABILE n dalla legge 675/96 non è un soggetto obbligatorio e necessario
per il corretto trattamento dei dati, restando tali esclusivamente le gure del titolare e
dell'incaricato del trattamento.Il responsabile è la persona sica, la persona giuridica, la
pubblica amministrazione o qualsiasi altro ente, associazione o organismo preposti dal
titolare al trattamento dei dati personali.
La gura dell'INCARICATO identica tutti i collaboratori, praticanti, dipendenti, e in
genere qualsiasi soggetto che non sia dotato di quell'autonomia propria del titolare e
che non abbia ricevuto una designazione a responsabile del trattamento da parte dle
titolare. La dierenza con la gura del titolare è che l'incaricato può essere solo una
PERSONA FISICA. Le operazione di trattamento possono essere eettuate solo da
pf3
pf4
pf5
pf8
pf9
pfa

Anteprima parziale del testo

Scarica privacy diritto e sicurezza informatica PERRI e più Sintesi del corso in PDF di Informatica Giuridica solo su Docsity!

CODICE PRIVACY d.lgs 196/

Il codice per la protezione dei dati personali è stato introdotto con il D.LGS 196/2003, in esso sono state inserite le norme relative alla legge 675/96 e ai successivi decreti legislativi e regolamenti nonchè norma basate sulla giurisprudenza dell'autorità del GARANTE e sono stati introdotti ex novo i codici deontologici relativi all'attività giornalistica, al trattamento dei dati per scopi storici e per scopi statistici e di ricerca scientifica. Una prima parte, relativa alle disposizioni generaloi contiene i principi cardine su cui si basa tutta la disciplina, in particolar modo il diritto alla protezione dei dati personali, il quale si rivlge al singolo individuo e non a categorie determinate di soggetti. Viene poi introdotto il principio il pricnipio di necessità del trattamento dei dati, volto a ridurre al minimo l'utilizzazione dei dati eprsonali, prevedendo che i sistemi informatici e i software siano configurati solo per il perseguimento delle finalità consentite. La seconda parte del codice è dedicata alla regolamentazione di specifici settori. La terza e ultima parte del codice è dedicata alla tutela dell'interessato. Tutela che può essere sia di natura amministrativa che giurisdizionale. Vengono individuate tre forme di TUTELA esperibili innanzi al GARANTE:

1. RECLAMO CIRCOSTANZIATO , con cui si denuncia una violazione della <disciplina

rilevante>, cioè dell'insieme di norme contenute nel codice, in materia di trattamento dei dati personali:

2. la SEGNALAZIONE , con la quale, nel caso non sia possibile presentare un reclamo,

s'intende ugualmente solecitare un controllo da parte del Garante;

3. il RICORSO , con il quale si fanno valere gli specifici diritti dell'interessato.

TRATTAMENTO DEI DATI PERSONALI

La figura cardine intorno alla quale ruota il meccanismo del trattamento dei dati personali è quella del TITOLARE , il quale esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Il titolare può essere una persona fisica o giuridica , morivo per cui, in caso di uno studio professionale, il titolare potrebbe essere sia lo studio nel suo complesso, indipendentemente dal fatto che sia uno studio uninominale o un'associazione di professionisti, sia il singolo professionista. Una volta individuato il titolare, figura assolutamente necessari nel trattamento dei dati in quanto CENTRO D'IMPUTAZIONE GIURIDICA di obblighi e di responsabilità, la legge attribuisce a questi precisi compiti, il primo dei quali è quello di STABILIRE FINALITA' E MODALITA' DEL TRATTAMENTO DEI DATI, ossia specificare per quale motivo ed in quale modo verrà effettuato il trattamento. Vanta AUTONOMIA DI SCELTA in merito ai tipi di dati da raccogliere e registrare, modalità con le quali si procederà all'aggiornamento, rettifica, finalità per le quali i dati potrebbero eventualmente essere comuncati a soggetti terzi. Le altre due figure previste dal Codice sono quelle del RESPONSABILE e dell'INCARICATO, caratteristica di queste figure è che devono sottostare alle direttive impartite dal titolare. Il RESPONSABILE fin dalla legge 675/96 non è un soggetto obbligatorio e necessario per il corretto trattamento dei dati, restando tali esclusivamente le figure del titolare e dell'incaricato del trattamento.Il responsabile è la persona fisica, la persona giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione o organismo preposti dal titolare al trattamento dei dati personali. La figura dell' INCARICATO identifica tutti i collaboratori, praticanti, dipendenti, e in genere qualsiasi soggetto che non sia dotato di quell'autonomia propria del titolare e che non abbia ricevuto una designazione a responsabile del trattamento da parte dle titolare. La differenza con la figura del titolare è che l'incaricato può essere solo una PERSONA FISICA. Le operazione di trattamento possono essere effettuate solo da

incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.

DEONTOLOGIA E SEGRETO PROFESSIONALE

La definizione di più accolta in dottrina è quella che la identifica come 'il complesso delle regole di condotta che devono essere rispettate nell'attività professionale'. Il DOVERE di riservatezza è anche un DIRITTO E' un dovere poichè è la tutela del segreto cui l'avvocato è comunque tenuto sia per l'attività giudiziale che per quella stragiudiziale nei confronti dei clienti es ex clienti, nonchè di coloro che si siano rivolti all'avvocato senza poi formalizzare l'incarico. E' un diritto poichè l'avvocato non può essere obbligato a testimoniare su quanto ha conosciuto per ragione del proprio ministero, ufficio o professione. Tale diritto/dovere è sempre stato visto come un corollario del principio generale di fedeltà nell'esercizio della funzione difensiva, nei rapporti con la parte assistita e coi parenti di quest'ultimo, e anche nella condotta che deve essere mantenuta dall'avvocato anche successivamente il termine del mandato. Tale princiio generale viene tradizionalmente fatto coincidere con le previsioni contenute nell'art 24 della Cost. in tema di diritto alla difesa, e nell'art 35 del CODICE DEONTOLOGICO FORENSE che richiama il rapporto di fiducia tra la parte e il suo difensore. Per l legislatore la VIOALZIONE DEL SEGRETO PROFESSIONALE consiste nel fatto di <chiunque, avendo notizia, per ragioni del proprio stato o ufficio o della propria professione di un segreto, lo rivela, enza giusta causa, o lo impiega a proprio o altrui profitto, è punito se col fatto puù derivare NOCUMENTO, con la reclusione o con la multa da 30 a 516 euro>. Con il termine nocumento ci si riferisce a qualunque danno ingiusto di natura patrimoniale o non. La ratio dell'incriminazione viene ravvisata nella tutela della libertà e sicurezza dei rapporti intimi professionali, determinati dalla necessità o quasi-necessità di un soggetto di ricorrere alle prestazioni di categorie di soggetti qualificati per la cura di suoi interessi. Questo ci consente di distinguere la figura del rapporto intimi professionale, il quale soggiace alla NECESSITA' del cliente professionista, rispetto ad un rapporto confidenziale che si basa invece su quell'intuitu personae che ci porta a considerare un determinato soggetto come affidabile. La violazione del segreto professionale porta ad una sanzione di natura penale sulla base dell'art 622 c.p. La violazione di un semplice segreto confidenziale porta solo ai profili di risarcimenot ex art 2043 c.c. Sono ESCLUSE dall'alveo del segreto professionale le notizie riguardanti i TERZI, seppure apprese per bocca del cliente. In particolare appare interessante un caso che ha interessato il CONSIGLIO DELL'ORDINE DI VERONA, in quanto l'oggetto dell'esposto al consiglio era la presentazione da parte del difensore della DOCUMENTAZIONE BANCARIA INERENTE LA CONTROPARTE in due processi civili per l aseparazione, senza avere prima acquisito il CONSENSO. questo integrava, a detta dell'attore una VIOLAZIONE DELLA NORMATIVA SULLA PRIVACY. Contro queste accusa l'avvocato si difendeva precisando che la documentazione era stata fornita dal cliente, il quale ne era in possesso in quantoconiuge. Ma soprattutto, che il possesso di quei documenti era legittimo in quanto anteriore alla separazione della moglie e FINALIZZATO a dimostrare IN GIUDIZIO alcuni prelievi dal conto corrente in comune cointestato e poi versati su altro conto intestato solo all'attore. Il consiglio dell'ordine rileva che il diritto di difesa giusiziale deve PREVALERE su quello di riservatezza in quanto norma di rango costituzionale (art 24), ma

A cià si aggiungono eventuali responsabilità penali.

Per quanto riguarda l'obbligo di informativa contenuto nel codice Deontologico bisogna chiarire che differisce da quello contenuto nel codice Privacy, poichè nel primo si prevede che l'avvocato sia tenuto ad informare chiaramente il proprio assistito in merito all caratteristiche della controversia e delle attività da espletare nonchè dei possibili esiti della vicenda. Nel secondo caso invece l'obbligo concerne esclusivamente informazioni in merito alle finalità e modalità del trattamento dei dati.

Cap. 5 - Le basi della sicurezza giuridica e informatica

5.1 La nozione di sicurezza e diritto Per delineare un quadro sufficientemente completo in tema di sicurezza informatica bisogna tenere conto sia delle sollecitazioni provenienti dal mondo tecnico-informatico, sia da quelle provenienti dal mondo giuridico. Purtroppo però, il nostro ordinamento usa la parola "sicurezza" senza che il legislatore se ne sia mai davvero occupato, non dandone cosi alcuna definizione univoca. L'unica definizione sufficientemente chiara oggi presente è contenuta all'interno di una norma UNI (ente italiano di unificazione), nella quale si afferma, in primis, la natura progettuale della sicurezza e in secundis la sua rilevanza economica. Secondo tale norma "La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui l'azienda dispone e necessita per garantirsi un'adeguata capacità concorrenziale nel breve, medio e lungo periodo”. Se tale definizione è in effetti la più completa, risulta comunque mancare di alcuni elementi, tra cui, l'individuazione dei target di sicurezza che un sistema informatico deve porsi in materia di sicurezza. Per questi elementi, di fondamentale importanza fu l'intervento della commissione europea, la quale iniziò col definire il concetto di "rete" come un sistema in grado si conservare, elaborare e veicolare i dati. A ciò seguì l'individuazione delle caratteristiche che la rete deve presentare al fine di rispondere ai requisiti di sicurezza:

  1. disponibilità: s'intende la capacità del sistema informatico di rendere sempre disponibili i dati a chi ha titolo per trattarli. 2)autenticazione: connesso al primo requisito è quindi lo strumento dell'autenticazione che permette al sistema di riconoscere i soggetti che potranno trattare i dati e quali no. Oggi, i principali mezzi di autenticazione sono le password, sistemi biometrici e smart card.
  2. integrità: è inerente alla fungibilità del dato e si riferisce al fatto che questo dovrà essere sempre disponibile e in forma integra;
  3. riservatezza: il dato dovrà essere accessibile solo a chi è appositamente autorizzato a fruirne. La scienza dell'information security è poi andata oltre, individuando infatti, altri due obbiettivi, ossia:
  4. verificabilità:capacità del sistema di riconoscere e collocare temporalmente i trattamenti avvenuti sui dati e di accertarne la responsabilità; 2)reattività:capacità del sistema di rispondere ad atti o fatti potenzialmente dannosi. Da ciò ricaviamo come la disciplina della sicurezza abbia risvolti sia in materia pratica che giuridica.

5.2.1 Problemi correlati alle installazioni predefinite dei sistemi operativi e delle applicazioni Tale problema nasce dal fatto che la maggior parte dei software contengono script o programmi di installazione che rendono le procedure di installazione sempre più rapide possibile, abilitando però, di default, le funzioni ritenute più importanti dal creatore del programma. Per permettere ciò però, gli script, installano più componenti di quelli necessari all'utente, evitando cosi di porre domande complesso allo stesso. Se ciò, da un lato, è una comodità, dall'altro, è una delle principali cause di vulnerabilità dei sistemi in quanto

l'utente, non utilizzando questi software, non svolge degli aggiornamenti sulle patch di sicurezza degli stessi i quali risultano quindi essere dei programmi non aggiornati che possono essere utilizzati da intrusi per ottenere il controllo del sistema. Solo per i sistemi operativi poi, tali installazioni predefinite corrispondono all'apertura di porte del sistema all'insaputa dell'utente. Per ciò che attiene alle applicazioni, le installazioni predefinite contengono programmi o script idonei ad abilitare funzioni aggiuntive ma non necessarie all'utente portando cosi alla possibilità di subire attacchi.

5.2.2 Insicurezza dei dati a causa di account senza password o con password deboli Molti sistemi usano le password come prima ed unica linea di difesa dai tentativi di autenticazione non autorizzati, a cui si aggiunge poi la facilità di ottenere gli user ID degli stessi sistemi. Da ciò deriva come la password deve quindi detenere certi elementi necessari volti a garantire la sicurezza del sistema, ma in alcune ipotesi ciò non avviene in quanto vengono, ad esempio, utilizzate password facili, password direttamente riconducibili all'utente o, ancora peggio, vi sono sistemi che non usano password. È quindi consigliabile verificare con cadenza periodica tutti gli account aventi password deboli o predefinite ed eliminare, se possibile, tutti quegli account senza password e quelli c.d. incorporati o predefiniti (Guest).

5.2.3 Problemi di sicurezza causati da backup inesistenti o incompleti Un backup è uno strumento necessario per rimediare ad un eventuale disastro informatico, ma per fare ciò, questo deve quantomeno essere aggiornato e funzionante. Accade spesso però che si creino backup senza definire policy e procedure per il ripristino dei dati ed, eventuali errori progettuali di questo tipo vengono ad essere individuati solo troppo tardi, ossia, solo dopo che i dati sono già stati distrutti o danneggiati da aggressori. Un altro problema è dato dalla scarsa protezione fisica dei supporti di backup. I supporti infatti, contengono l stesse informazione presenti sui server, per cui devono essere necessariamente protetti mediante procedure che non permetto l'accesso ai dati in esso contenuti, se non a soggetti predeterminati.

5.2.4 Problemi di sicurezza causati da file sharing, instant messaging e numero elevato di porte aperte Sia gli utenti che gli intrusi, si connettono ai sistemi tramite delle porte lasciate aperte. Perciò, più saranno le porte aperte, più possibilità verranno offerte a chi voglia collegarsi. È importante perciò, lasciare aperte solo il minor numero di porte necessarie affinché il sistema funzioni. Purtroppo però, negli ultimi anni, i pc hanno conosciuto un sempre maggior proliferare di programmi di file sharing e di istant messaging, programmi che aprono delle porte nel nostro sistema attraverso le quali scambiare file, senza che però l'utente possa realmente controllare cosa stia inviando o ricevendo. Per questo è bene adottare un divieto espresso di installazione di software di file sharing. I software di istant messaging sono poi meno pericolosi di quelli di file sharing ma ciò nonostante è comunque da notare come, in alcuni casi, sono stati alla base di alcune violazioni di sicurezza e infezioni degli strumenti informatici. Ne è quindi raccomandabile l'utilizzo limitato al solo esercizio lavorativo e non per lo scambio di file.

5.2.5. Problemi di sicurezza dovuti a log inesistenti o non completi Un principio base della sicurezza recita :"l'ideale è prevenire, ma investigare è un dovere". Il semplice fatto che vi sia del traffico rende infatti i sistemi vulnerabili a tentativi d'accesso e dobbiamo poi ricordare come ogni settimana vengano scoperte nuove vulnerabilità. Una volta che si è subita una aggressione diviene necessario investigare e per fare ciò sono necessari i file log (si intendono qui file su cui:1-avviene la registrazione cronologica delle operazioni mano a mano che vengono eseguite; 2-si intendono i file su cui tali registrazioni sono effettuate). La registrazione di tali file quindi, deve essere effettuata con regolarità e

  1. sistemi a cifratura ibrida.

Cap. 8 - La sicurezza dei dati in transito e dei flussi di dati

8.1. protezione dei dati in rete mediante servizi e protocolli Il principale canale per lo scambio di dati via internet è di certo la posta elettronica. Tale corrispondenza, se da un lato porta molti vantaggi, dall’altro si caratterizza per un basso grado di sicurezza; I messaggi sono infatti manipolabili e falsificabili. È poi anche possibile intercettare i messaggi e modificarli. In generale quindi, a rischio è la certezza del contesto, che si può riassumere nei seguenti punti:

  • Certezza dell’autore del messaggio
  • Certezza che il messaggio arrivato sia identico a quello inviato
  • Certezza che il messaggio sia stato inviato da chi è realmente il suo autore
  • Certezza del destinatario del messaggio I meccanismi che permettono di riacquistare alcune le certezze necessarie sono quelli forniti dalle tecniche di crittografia a chiave pubblica. Per questo sono molti i programmi che usano tecniche di questo tipo. Il più noto è il PGP, divenuto lo standard per la crittografia nei sistemi di posta elettronica.

8.6. Accessibilità dei dati in rete: le protezioni software e hardware Per la protezione dei dati in contesti multi-utente tutti i sistemi operativi contemplano un primo meccanismo di controllo degli accessi attivo localmente. Molto spesso questo meccanismo può anche fungere da sistema di autenticazione per connessioni remote. Oltre a questa si possono adottare anche altre soluzioni come la crittografia forte o che implementano meccanismi di autenticazione più sofisticati. Uno di questi è il sistema Kerberos.

8.6.2. Firewall I sistemi di controllo degli accessi non possono dare particolari garanzie su ciò che transita su di una connessione aperta. Inoltre, un sistema di crittazione, non mette in realtà, un server, al riparo da eventuali attacchi o rischi. Sarà infatti opportuno un utilizzo combinato di diversi sistemi, uno dei quali risulta essere l’adozione di firewall. Un firewall oggi, non è altro che un sistema che controlla tutto ciò che entra e tutto ciò che esce dalla rete a cui è abbinato usando una tecnica d’ispezione denominata stateful inespection: esso consiste nel comprare tutti i dati in transito con profili di sicurezza predefiniti per garantire il fatto che tutto ciò che transita attraverso il firewall sia autorizzato. Il firewall lavora in modo semplice: esamina i pacchetti di dati che transitano tra server e client. Regola fondamentale dello stesso poi, è quello per cui tutto ciò che non è espressamente permesso è proibito. I compiti più attribuibili ad un firewall si possono cosi sintetizzare: 1) assicurarsi che se un’azione non abilitata, tutti i tentativi di perseguirla falliscano; 2) registrare eventi sospetti; 3) avvertire i responsabili del sistema; 4)creare statistiche d’accesso. Anche tale sistema però, se adottato con impostazioni troppo lascive, non produrrà gli effetti desiderati. Si potranno allora adottare soluzioni più drastiche come la totale inibizione dei flussi di traffico costituiti da datagrams. A prescindere dalla configurazione di base, ogni system administrator potrà adottare soluzioni anche molto diversificate, tenendo conto delle esigenze e della complessità della rete.

9.2. La sicurezza informatica nel D.Lgs. 196/ Nasceva la necessità di costituire un corpus normativo inerente la disciplina della tutela dei dati personali. Detta necessità si è sostanziata con la delega al governo con l’art.1, comma 4 della legge 127/01, mediante il quale si sarebbe emanato “un testo unico delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali

e delle disposizioni connesse, coordinandovi le norme vigenti ed apportando alle medesime le integrazioni e modificazioni necessarie al predetto coordinamento per assicurarne la migliore attuazione”. Nel tempo, si è pervenuti al D.Lgs. 30 giugno 2003 n. 196, denominato “Codice in materia di protezione dei dati personali”. Un aspetto importante di questo testo normativo sono le misure minime di sicurezza. con tale codice, infatti, il legislatore da per acquistate ed implementate le misure minime di sicurezza in precedenza contenute nel D.P.R. 318/99. Le misure minime di sicurezza trovano luogo nel codice, all’allegato B.

9.3. Misure idonee e misure minime di sicurezza Una fondamentale distinzione che solleva accesi dibattiti è quella tra

  • misure minime di sicurezza - e le c.d. misure idonee di sicurezza. Dal punto di vista tecnico risulta che misura di sicurezza in sé, debba essere sia minima che idonea e perciò, molti studiosi hanno ritenuto questa distinzione inattuabile. Per i giuristi invece, tale distinzione non è di poco conto. La mancata adozione di misure minime infatti, fa sorgere in capo a “chiunque essendovi dovuto”, delle responsabilità penali, mentre, l’omissione di misure idonee, da parte di “chiunque cagiona danno ad altri” fa sorgere unicamente un obbligo risarcitorio. Di fondamentale importanza è poi l’art. 31 del D.Lgs. 196/03, che chiarisce ulteriormente la differenza tra misure minime e idonee. A ben vedere, infatti, tra le due ricorre solo un’assonanza, relativa alla necessità di adozione preventiva delle stesse. Per ciò che attiene alle misure idonee di sicurezza, esse vengono individuate sulla base di diversi fattori:
  1. progresso tecnico;
  2. natura dei dati oggetto di trattamento;
  3. specifiche caratteristiche del trattamento. Ulteriore differenza è che limitatamente alle misure idonee, si è preferito adottare quella che si potrebbe definire una sorta di updating automatico, in modo che queste siano sempre aggiornate alle nuove scoperte tecnologiche, mentre, per le misure minime si è prevista una puntuale identificazione da parte del legislatore, che ha portato cosi al formarsi di una definitiva elencazione delle misure.

9.4. Disciplina delle misure minime di sicurezza Il regime attuale di sicurezza dei dati personali è dettato dall’art. 31 del D.Lgs. 196/03 , per il quale “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”. Tali misure si caratterizzano che devono essere aggiornate con cadenza almeno biennale, per mezzo di successivi regolamenti.

9.5. La sanzione per omessa adozione delle misure minime di sicurezza L’art. 169 del D.Lgs. 196/03 riguarda le eventuali sanzioni previste per chi omette di adottare le misure minime di sicurezza. in particolare è prevista una sanzione penale del seguente tenore: Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a

cinquantamila euro. si tratta quindi di un reato proprio, in quanto l’incipit di “chiunque,

essendovi tenuto”, lascia intendere che di tale reato risponde il titolare, il responsabile e l’incaricato, in quanto soggetti tenuti all’adozione delle misure stesse. Caratteristica di ciò, poi, è il fatto che tali sanzioni possono essere irrogate non nel momento di un reato ormai consumato, ma essa mira a sanzionare le condotte anche solo omissive di adozione delle misure minime di sicurezza. Ulteriori riflessioni merita il 2° comma dell’art. 169 che predispone un’ipotesi di estinzione del reato. Esso infatti recita che : “All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è

e autorizzazione. Questa è una distinzione ben conosciuta dai professionisti della sicurezza, in quanto la previsione di una doppia verifica consente una migliore gestione e sicurezza dei dati. Scopo dell’autenticazione è, infatti, esclusivamente quello di accertare l’identità del soggetto che vuole accedere all’elaboratore, mentre, l’autorizzazione invece consente ad un soggetto il trattamento dei dati o di quella porzione di dati che il suo profilo gli consente di trarre. Ciò spiega il perché di tecniche di autenticazione biometriche, quali credenziali di autenticazione, in quanto difficilmente riproducibile. Il disciplinatore tecnico contiene ben specificate le caratteristiche che devono possedere i sistemi di autenticazione e autorizzazione, arrivando anche ad indicare nel dettaglio le caratteristiche della parola chiave. All’art. 34 poi, sono descritte le procedure di gestione delle credenziali di autenticazione (come la sua modificazione al primo accesso o la scadenza automatica semestrale delle credenziali). Una modalità di gestione riguarda ad esempio, anche la formazione del singolo elaboratore che, se formato correttamente, deve ad esempio essere formato astenendosi dal lasciare la propria postazione per un periodo più o meno prolungato senza che il sistema possa essere protetto, ad esempio, tramite apposito screen saver.

10.2. Le “altre” misure di sicurezza e quelle “ulteriori” per il trattamento dei dati sensibili e giudiziari Ulteriore capo del disciplinare tecnico è intitolato “altre misure di sicurezza”, e contiene ulteriori prescrizioni, fondamentali per il trattamento dei dati personali, effettuato con strumenti elettronici. Ad esempio, il punto 15 reca la redazione della lista degli incaricati ad aggiornare almeno annualmente, per classi omogenee di incarico e dei relativi profili di autorizzazione. Il punto 16 riguarda invece la protezione dai virus informatici le ulteriori disposizioni contenute nel capo in esame, concernono l’aggiornamento dei programmi per elaboratore, volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne i difetti, che dovrà essere effettuato annualmente, o nel caso di dati sensibili o giudiziari, semestralmente, con la predisposizione di procedure che facilitano il disaster recovery. Una parte del disciplinare tecnico è dedicato alla individuazione di ulteriori misure in caso di trattamento di dati sensibili o giudiziari. Una di queste misure è l’adozione di un firewall in grado di analizzare tutto ciò che entra e che esce. Ulteriore attenzione è posta per la distruzione dei supporti rimovibili, o delle informazioni in essi contenuti, in quanto la non corretta cancellazione può permettere il recupero dei dati. Per impedire ciò, sarà opportuno adottare apposite procedure di wiping, consistenti nella cancellazione, scrittura e riscrittura di porzioni del supporto. Ulteriori misure sono espressamente previste per le professioni sanitarie

10.3. La responsabilità in caso di outsourcing È abbastanza comune il ricorso ad aziende o soggetti esterni alla propria struttura, al fine di provvedere all’adeguamento delle misure di sicurezza. A tal fine, i punti 25 e 26 prevedono delle apposite misure di tutela e garanzia. Secondo il dettato di legge, infatti, bisognerà richiedere a questi soggetti esterni, la redazione di un documento nel quale saranno illustrate le operazioni effettuate sul sistema, nonché la conformità conseguente all’operato del fornitore. Secondo l’art. 29 del codice però, grava sul titolare l’obbligo di vigilanza rispetto al lavoro dei responsabili. Bisogna far notare come sul titolare gravi anche un obbligo di valutazione circa le capacità dell’outsourcer. Esso deve essere designato tra soggetti che per esperienza, capacità e affidabilità forniscano idonea garanzia. Viene allora da chiedersi se in capo a questo soggetto possa configurarsi una eventuale responsabilità. La risposta è positiva perché con apposita delega di funzioni, è possibile trasferire la responsabilità dal soggetto propriamente responsabile, ovvero il titolare, al delegato. Perché tale trasferimento di responsabilità possa avvenire in modo completo è necessario che ricorrano alcuni presupposti: 1) atto formale mediante il quale viene designato il soggetto delegato; 2) dimensioni dell’azienda; 3) idoneità del soggetto a svolgere determinate funzioni o mansioni; 4) assunzione della posizione di garanzia da parte del soggetto

delegato; 5) autonomia del soggetto delegato una volta ricevute le disposizioni ed accetto l’incarico.

10.5. L’art. 180 del Codice e l’entrata in vigore dell’allegato B Merita attenzione l’art. 180 del codice, che regola il passaggio dalla disciplina delle misure minime di sicurezza contenute nel d.p.r. 318/99, a quella contenuta nel codice. Inoltre il termine finale entro al quale queste devono essere implementate era il 30 giugno 2004.