






Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
riassunto completo (esclusi cap. 7 e 8) del libro PRIVACY DIRITTO E SICUREZZA INFORMATICA
Tipologia: Sintesi del corso
1 / 11
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!







Il codice per la protezione dei dati personali è stato introdotto con il D.LGS 196/2003, in esso sono state inserite le norme relative alla legge 675/96 e ai successivi decreti legislativi e regolamenti nonchè norma basate sulla giurisprudenza dell'autorità del GARANTE e sono stati introdotti ex novo i codici deontologici relativi all'attività giornalistica, al trattamento dei dati per scopi storici e per scopi statistici e di ricerca scientifica. Una prima parte, relativa alle disposizioni generaloi contiene i principi cardine su cui si basa tutta la disciplina, in particolar modo il diritto alla protezione dei dati personali, il quale si rivlge al singolo individuo e non a categorie determinate di soggetti. Viene poi introdotto il principio il pricnipio di necessità del trattamento dei dati, volto a ridurre al minimo l'utilizzazione dei dati eprsonali, prevedendo che i sistemi informatici e i software siano configurati solo per il perseguimento delle finalità consentite. La seconda parte del codice è dedicata alla regolamentazione di specifici settori. La terza e ultima parte del codice è dedicata alla tutela dell'interessato. Tutela che può essere sia di natura amministrativa che giurisdizionale. Vengono individuate tre forme di TUTELA esperibili innanzi al GARANTE:
rilevante>, cioè dell'insieme di norme contenute nel codice, in materia di trattamento dei dati personali:
s'intende ugualmente solecitare un controllo da parte del Garante;
La figura cardine intorno alla quale ruota il meccanismo del trattamento dei dati personali è quella del TITOLARE , il quale esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Il titolare può essere una persona fisica o giuridica , morivo per cui, in caso di uno studio professionale, il titolare potrebbe essere sia lo studio nel suo complesso, indipendentemente dal fatto che sia uno studio uninominale o un'associazione di professionisti, sia il singolo professionista. Una volta individuato il titolare, figura assolutamente necessari nel trattamento dei dati in quanto CENTRO D'IMPUTAZIONE GIURIDICA di obblighi e di responsabilità, la legge attribuisce a questi precisi compiti, il primo dei quali è quello di STABILIRE FINALITA' E MODALITA' DEL TRATTAMENTO DEI DATI, ossia specificare per quale motivo ed in quale modo verrà effettuato il trattamento. Vanta AUTONOMIA DI SCELTA in merito ai tipi di dati da raccogliere e registrare, modalità con le quali si procederà all'aggiornamento, rettifica, finalità per le quali i dati potrebbero eventualmente essere comuncati a soggetti terzi. Le altre due figure previste dal Codice sono quelle del RESPONSABILE e dell'INCARICATO, caratteristica di queste figure è che devono sottostare alle direttive impartite dal titolare. Il RESPONSABILE fin dalla legge 675/96 non è un soggetto obbligatorio e necessario per il corretto trattamento dei dati, restando tali esclusivamente le figure del titolare e dell'incaricato del trattamento.Il responsabile è la persona fisica, la persona giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione o organismo preposti dal titolare al trattamento dei dati personali. La figura dell' INCARICATO identifica tutti i collaboratori, praticanti, dipendenti, e in genere qualsiasi soggetto che non sia dotato di quell'autonomia propria del titolare e che non abbia ricevuto una designazione a responsabile del trattamento da parte dle titolare. La differenza con la figura del titolare è che l'incaricato può essere solo una PERSONA FISICA. Le operazione di trattamento possono essere effettuate solo da
incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
La definizione di
A cià si aggiungono eventuali responsabilità penali.
Per quanto riguarda l'obbligo di informativa contenuto nel codice Deontologico bisogna chiarire che differisce da quello contenuto nel codice Privacy, poichè nel primo si prevede che l'avvocato sia tenuto ad informare chiaramente il proprio assistito in merito all caratteristiche della controversia e delle attività da espletare nonchè dei possibili esiti della vicenda. Nel secondo caso invece l'obbligo concerne esclusivamente informazioni in merito alle finalità e modalità del trattamento dei dati.
5.1 La nozione di sicurezza e diritto Per delineare un quadro sufficientemente completo in tema di sicurezza informatica bisogna tenere conto sia delle sollecitazioni provenienti dal mondo tecnico-informatico, sia da quelle provenienti dal mondo giuridico. Purtroppo però, il nostro ordinamento usa la parola "sicurezza" senza che il legislatore se ne sia mai davvero occupato, non dandone cosi alcuna definizione univoca. L'unica definizione sufficientemente chiara oggi presente è contenuta all'interno di una norma UNI (ente italiano di unificazione), nella quale si afferma, in primis, la natura progettuale della sicurezza e in secundis la sua rilevanza economica. Secondo tale norma "La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui l'azienda dispone e necessita per garantirsi un'adeguata capacità concorrenziale nel breve, medio e lungo periodo”. Se tale definizione è in effetti la più completa, risulta comunque mancare di alcuni elementi, tra cui, l'individuazione dei target di sicurezza che un sistema informatico deve porsi in materia di sicurezza. Per questi elementi, di fondamentale importanza fu l'intervento della commissione europea, la quale iniziò col definire il concetto di "rete" come un sistema in grado si conservare, elaborare e veicolare i dati. A ciò seguì l'individuazione delle caratteristiche che la rete deve presentare al fine di rispondere ai requisiti di sicurezza:
5.2.1 Problemi correlati alle installazioni predefinite dei sistemi operativi e delle applicazioni Tale problema nasce dal fatto che la maggior parte dei software contengono script o programmi di installazione che rendono le procedure di installazione sempre più rapide possibile, abilitando però, di default, le funzioni ritenute più importanti dal creatore del programma. Per permettere ciò però, gli script, installano più componenti di quelli necessari all'utente, evitando cosi di porre domande complesso allo stesso. Se ciò, da un lato, è una comodità, dall'altro, è una delle principali cause di vulnerabilità dei sistemi in quanto
l'utente, non utilizzando questi software, non svolge degli aggiornamenti sulle patch di sicurezza degli stessi i quali risultano quindi essere dei programmi non aggiornati che possono essere utilizzati da intrusi per ottenere il controllo del sistema. Solo per i sistemi operativi poi, tali installazioni predefinite corrispondono all'apertura di porte del sistema all'insaputa dell'utente. Per ciò che attiene alle applicazioni, le installazioni predefinite contengono programmi o script idonei ad abilitare funzioni aggiuntive ma non necessarie all'utente portando cosi alla possibilità di subire attacchi.
5.2.2 Insicurezza dei dati a causa di account senza password o con password deboli Molti sistemi usano le password come prima ed unica linea di difesa dai tentativi di autenticazione non autorizzati, a cui si aggiunge poi la facilità di ottenere gli user ID degli stessi sistemi. Da ciò deriva come la password deve quindi detenere certi elementi necessari volti a garantire la sicurezza del sistema, ma in alcune ipotesi ciò non avviene in quanto vengono, ad esempio, utilizzate password facili, password direttamente riconducibili all'utente o, ancora peggio, vi sono sistemi che non usano password. È quindi consigliabile verificare con cadenza periodica tutti gli account aventi password deboli o predefinite ed eliminare, se possibile, tutti quegli account senza password e quelli c.d. incorporati o predefiniti (Guest).
5.2.3 Problemi di sicurezza causati da backup inesistenti o incompleti Un backup è uno strumento necessario per rimediare ad un eventuale disastro informatico, ma per fare ciò, questo deve quantomeno essere aggiornato e funzionante. Accade spesso però che si creino backup senza definire policy e procedure per il ripristino dei dati ed, eventuali errori progettuali di questo tipo vengono ad essere individuati solo troppo tardi, ossia, solo dopo che i dati sono già stati distrutti o danneggiati da aggressori. Un altro problema è dato dalla scarsa protezione fisica dei supporti di backup. I supporti infatti, contengono l stesse informazione presenti sui server, per cui devono essere necessariamente protetti mediante procedure che non permetto l'accesso ai dati in esso contenuti, se non a soggetti predeterminati.
5.2.4 Problemi di sicurezza causati da file sharing, instant messaging e numero elevato di porte aperte Sia gli utenti che gli intrusi, si connettono ai sistemi tramite delle porte lasciate aperte. Perciò, più saranno le porte aperte, più possibilità verranno offerte a chi voglia collegarsi. È importante perciò, lasciare aperte solo il minor numero di porte necessarie affinché il sistema funzioni. Purtroppo però, negli ultimi anni, i pc hanno conosciuto un sempre maggior proliferare di programmi di file sharing e di istant messaging, programmi che aprono delle porte nel nostro sistema attraverso le quali scambiare file, senza che però l'utente possa realmente controllare cosa stia inviando o ricevendo. Per questo è bene adottare un divieto espresso di installazione di software di file sharing. I software di istant messaging sono poi meno pericolosi di quelli di file sharing ma ciò nonostante è comunque da notare come, in alcuni casi, sono stati alla base di alcune violazioni di sicurezza e infezioni degli strumenti informatici. Ne è quindi raccomandabile l'utilizzo limitato al solo esercizio lavorativo e non per lo scambio di file.
5.2.5. Problemi di sicurezza dovuti a log inesistenti o non completi Un principio base della sicurezza recita :"l'ideale è prevenire, ma investigare è un dovere". Il semplice fatto che vi sia del traffico rende infatti i sistemi vulnerabili a tentativi d'accesso e dobbiamo poi ricordare come ogni settimana vengano scoperte nuove vulnerabilità. Una volta che si è subita una aggressione diviene necessario investigare e per fare ciò sono necessari i file log (si intendono qui file su cui:1-avviene la registrazione cronologica delle operazioni mano a mano che vengono eseguite; 2-si intendono i file su cui tali registrazioni sono effettuate). La registrazione di tali file quindi, deve essere effettuata con regolarità e
8.1. protezione dei dati in rete mediante servizi e protocolli Il principale canale per lo scambio di dati via internet è di certo la posta elettronica. Tale corrispondenza, se da un lato porta molti vantaggi, dall’altro si caratterizza per un basso grado di sicurezza; I messaggi sono infatti manipolabili e falsificabili. È poi anche possibile intercettare i messaggi e modificarli. In generale quindi, a rischio è la certezza del contesto, che si può riassumere nei seguenti punti:
8.6. Accessibilità dei dati in rete: le protezioni software e hardware Per la protezione dei dati in contesti multi-utente tutti i sistemi operativi contemplano un primo meccanismo di controllo degli accessi attivo localmente. Molto spesso questo meccanismo può anche fungere da sistema di autenticazione per connessioni remote. Oltre a questa si possono adottare anche altre soluzioni come la crittografia forte o che implementano meccanismi di autenticazione più sofisticati. Uno di questi è il sistema Kerberos.
8.6.2. Firewall I sistemi di controllo degli accessi non possono dare particolari garanzie su ciò che transita su di una connessione aperta. Inoltre, un sistema di crittazione, non mette in realtà, un server, al riparo da eventuali attacchi o rischi. Sarà infatti opportuno un utilizzo combinato di diversi sistemi, uno dei quali risulta essere l’adozione di firewall. Un firewall oggi, non è altro che un sistema che controlla tutto ciò che entra e tutto ciò che esce dalla rete a cui è abbinato usando una tecnica d’ispezione denominata stateful inespection: esso consiste nel comprare tutti i dati in transito con profili di sicurezza predefiniti per garantire il fatto che tutto ciò che transita attraverso il firewall sia autorizzato. Il firewall lavora in modo semplice: esamina i pacchetti di dati che transitano tra server e client. Regola fondamentale dello stesso poi, è quello per cui tutto ciò che non è espressamente permesso è proibito. I compiti più attribuibili ad un firewall si possono cosi sintetizzare: 1) assicurarsi che se un’azione non abilitata, tutti i tentativi di perseguirla falliscano; 2) registrare eventi sospetti; 3) avvertire i responsabili del sistema; 4)creare statistiche d’accesso. Anche tale sistema però, se adottato con impostazioni troppo lascive, non produrrà gli effetti desiderati. Si potranno allora adottare soluzioni più drastiche come la totale inibizione dei flussi di traffico costituiti da datagrams. A prescindere dalla configurazione di base, ogni system administrator potrà adottare soluzioni anche molto diversificate, tenendo conto delle esigenze e della complessità della rete.
9.2. La sicurezza informatica nel D.Lgs. 196/ Nasceva la necessità di costituire un corpus normativo inerente la disciplina della tutela dei dati personali. Detta necessità si è sostanziata con la delega al governo con l’art.1, comma 4 della legge 127/01, mediante il quale si sarebbe emanato “un testo unico delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali
e delle disposizioni connesse, coordinandovi le norme vigenti ed apportando alle medesime le integrazioni e modificazioni necessarie al predetto coordinamento per assicurarne la migliore attuazione”. Nel tempo, si è pervenuti al D.Lgs. 30 giugno 2003 n. 196, denominato “Codice in materia di protezione dei dati personali”. Un aspetto importante di questo testo normativo sono le misure minime di sicurezza. con tale codice, infatti, il legislatore da per acquistate ed implementate le misure minime di sicurezza in precedenza contenute nel D.P.R. 318/99. Le misure minime di sicurezza trovano luogo nel codice, all’allegato B.
9.3. Misure idonee e misure minime di sicurezza Una fondamentale distinzione che solleva accesi dibattiti è quella tra
9.4. Disciplina delle misure minime di sicurezza Il regime attuale di sicurezza dei dati personali è dettato dall’art. 31 del D.Lgs. 196/03 , per il quale “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”. Tali misure si caratterizzano che devono essere aggiornate con cadenza almeno biennale, per mezzo di successivi regolamenti.
9.5. La sanzione per omessa adozione delle misure minime di sicurezza L’art. 169 del D.Lgs. 196/03 riguarda le eventuali sanzioni previste per chi omette di adottare le misure minime di sicurezza. in particolare è prevista una sanzione penale del seguente tenore: Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a
essendovi tenuto”, lascia intendere che di tale reato risponde il titolare, il responsabile e l’incaricato, in quanto soggetti tenuti all’adozione delle misure stesse. Caratteristica di ciò, poi, è il fatto che tali sanzioni possono essere irrogate non nel momento di un reato ormai consumato, ma essa mira a sanzionare le condotte anche solo omissive di adozione delle misure minime di sicurezza. Ulteriori riflessioni merita il 2° comma dell’art. 169 che predispone un’ipotesi di estinzione del reato. Esso infatti recita che : “All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è
e autorizzazione. Questa è una distinzione ben conosciuta dai professionisti della sicurezza, in quanto la previsione di una doppia verifica consente una migliore gestione e sicurezza dei dati. Scopo dell’autenticazione è, infatti, esclusivamente quello di accertare l’identità del soggetto che vuole accedere all’elaboratore, mentre, l’autorizzazione invece consente ad un soggetto il trattamento dei dati o di quella porzione di dati che il suo profilo gli consente di trarre. Ciò spiega il perché di tecniche di autenticazione biometriche, quali credenziali di autenticazione, in quanto difficilmente riproducibile. Il disciplinatore tecnico contiene ben specificate le caratteristiche che devono possedere i sistemi di autenticazione e autorizzazione, arrivando anche ad indicare nel dettaglio le caratteristiche della parola chiave. All’art. 34 poi, sono descritte le procedure di gestione delle credenziali di autenticazione (come la sua modificazione al primo accesso o la scadenza automatica semestrale delle credenziali). Una modalità di gestione riguarda ad esempio, anche la formazione del singolo elaboratore che, se formato correttamente, deve ad esempio essere formato astenendosi dal lasciare la propria postazione per un periodo più o meno prolungato senza che il sistema possa essere protetto, ad esempio, tramite apposito screen saver.
10.2. Le “altre” misure di sicurezza e quelle “ulteriori” per il trattamento dei dati sensibili e giudiziari Ulteriore capo del disciplinare tecnico è intitolato “altre misure di sicurezza”, e contiene ulteriori prescrizioni, fondamentali per il trattamento dei dati personali, effettuato con strumenti elettronici. Ad esempio, il punto 15 reca la redazione della lista degli incaricati ad aggiornare almeno annualmente, per classi omogenee di incarico e dei relativi profili di autorizzazione. Il punto 16 riguarda invece la protezione dai virus informatici le ulteriori disposizioni contenute nel capo in esame, concernono l’aggiornamento dei programmi per elaboratore, volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne i difetti, che dovrà essere effettuato annualmente, o nel caso di dati sensibili o giudiziari, semestralmente, con la predisposizione di procedure che facilitano il disaster recovery. Una parte del disciplinare tecnico è dedicato alla individuazione di ulteriori misure in caso di trattamento di dati sensibili o giudiziari. Una di queste misure è l’adozione di un firewall in grado di analizzare tutto ciò che entra e che esce. Ulteriore attenzione è posta per la distruzione dei supporti rimovibili, o delle informazioni in essi contenuti, in quanto la non corretta cancellazione può permettere il recupero dei dati. Per impedire ciò, sarà opportuno adottare apposite procedure di wiping, consistenti nella cancellazione, scrittura e riscrittura di porzioni del supporto. Ulteriori misure sono espressamente previste per le professioni sanitarie
10.3. La responsabilità in caso di outsourcing È abbastanza comune il ricorso ad aziende o soggetti esterni alla propria struttura, al fine di provvedere all’adeguamento delle misure di sicurezza. A tal fine, i punti 25 e 26 prevedono delle apposite misure di tutela e garanzia. Secondo il dettato di legge, infatti, bisognerà richiedere a questi soggetti esterni, la redazione di un documento nel quale saranno illustrate le operazioni effettuate sul sistema, nonché la conformità conseguente all’operato del fornitore. Secondo l’art. 29 del codice però, grava sul titolare l’obbligo di vigilanza rispetto al lavoro dei responsabili. Bisogna far notare come sul titolare gravi anche un obbligo di valutazione circa le capacità dell’outsourcer. Esso deve essere designato tra soggetti che per esperienza, capacità e affidabilità forniscano idonea garanzia. Viene allora da chiedersi se in capo a questo soggetto possa configurarsi una eventuale responsabilità. La risposta è positiva perché con apposita delega di funzioni, è possibile trasferire la responsabilità dal soggetto propriamente responsabile, ovvero il titolare, al delegato. Perché tale trasferimento di responsabilità possa avvenire in modo completo è necessario che ricorrano alcuni presupposti: 1) atto formale mediante il quale viene designato il soggetto delegato; 2) dimensioni dell’azienda; 3) idoneità del soggetto a svolgere determinate funzioni o mansioni; 4) assunzione della posizione di garanzia da parte del soggetto
delegato; 5) autonomia del soggetto delegato una volta ricevute le disposizioni ed accetto l’incarico.
10.5. L’art. 180 del Codice e l’entrata in vigore dell’allegato B Merita attenzione l’art. 180 del codice, che regola il passaggio dalla disciplina delle misure minime di sicurezza contenute nel d.p.r. 318/99, a quella contenuta nel codice. Inoltre il termine finale entro al quale queste devono essere implementate era il 30 giugno 2004.