Convegno“La sicurezza del sistema informativo:       il ruolo e la responsabilità    dell’amministratore di sistema       ...
Agenda- assenza di una definizione normativa di sistemainformativo e di amministratore di sistema- ads pietra angolare del...
Sistema Informativo e Ads attori del sistema informativo:   -figure di processo   -figure applicative   -figure incaricate...
Ads e provvedimenti del Garante- L’Ads non è previsto in modo espresso nel Codice dellaprivacy (D.Lgs 196 del 2003)  - vie...
Ads e posta elettronica-Provvedimento: linee guida del Garante privacy per postaelettronica ed internet del 1 marzo 2007 “...
Ads e Continuità operativaDigitPa, Le nuove Linee Guida per il Disaster Recovery e ilpercorso di attuazione dell’articolo ...
Continuità operativa ed egovermentArt. 51 bis del CadLa continuità operativa è l’insieme di attività volte aminimizzare gl...
Chi sono gli amministratori di sistema?  Definizione contenuta nel provvedimento del Garante del                          ...
L’amministratore di sistema per il GaranteIl provvedimento offre una lettura sistemica dell’art. 34 delCodice privacy che ...
Perché sono importante gli AdS?nell’ ICT è un elemento essenziale della sicurezza :all’amministratore di sistema vengono c...
Non tutti sono ads!-non rientrano nella definizione di ADS i soggetti chesolo occasionalmente intervengono (p.es., per sco...
Pregi dell’intervento del Garante-Il Garante ha dato risalto all’ amministratore di sistemacome figura chiave nella gestio...
Limiti dell’intervento del Garante- provvedimento dal forte impatto ma di difficile attuazione con oneri e costi a carico ...
Misure organizzative, tecniche e giuridiche-Designazioni individuali degli ads previa valutazione dellecaratteristiche sog...
La designazione dell’ads (a)Le designazioni di amministratore di sistema deve avvenireprevia valutazione delle caratterist...
La designazione di Ads (b)-La designazione quale amministratore di sistema deveessere individuale e recare lelencazione an...
AdS: incaricato o responsabile dei dati-AdS può essere un responsabile o un incaricatose incaricato , il titolare e il res...
Titolare e Ads?-il titolare anche quando delega rimane sempre responsabileIl titolare deve potere provare:a) la corretta o...
Responsabilità ads-la responsabilità degli enti giuridici si trasmette agliamministratori qualora gli stessi non abbiano a...
Elenco degli amministratori di sistemaGli estremi identificativi delle persone fisiche amministratoridi sistema, con lelen...
Trasparenza interna Qualora lattività degli amministratori di sistema riguardianche indirettamente servizi o sistemi che t...
Ads e outsourcing (b)-servizi informatici: contratto di outsourcingper il Garante il provvedimento si applica solo ai tito...
Le registrazioni degli accessi (a)-qual è la finalità della registrazione dei file di log? La raccolta dei file di log ser...
Le registrazione degli accessi (b)-Gli eventi da registrare sono solo le autenticazioniinformatichela registrazione di log...
Sistemi di registrazione-Quali informazioni sono da registrare?Qualora il sistema di log adottato generi una raccolta dati...
No software costosi!!- il provvedimento non chiede in alcun modo che venganoregistrati dati sull’attività interattiva (com...
File log inalterabili: cosa fare?-Cosa deve fare il titolare?Se la funzionalità già disponibili nei più diffusi sistemiope...
Come salvare i log?Secondo il Garante le caratteristiche di mantenimentodell’integrità dei dati raccolti dai sistemi di lo...
1.Conservazione dei log-Come salvare i log?Il Garante prevede la possibilità ma non l’obbligo, che ititolari possano adott...
2. Conservazione log-Attenzione: si noti come il Garante non richieda un sistemaparticolare o massificato di data retentio...
Ispezione del Garante: software (a)Ispezione Garante presso Istituto Poligrafico verifiche sulsoftware della società di tr...
Ispezione del Garante: software (b)il software non assicura la completezza delle registrazioni(access log) dei file di log...
Verifica dell’attività-Loperato degli amministratori di sistema deve essereoggetto, con cadenza almeno annuale, di unattiv...
Responsabilità ads- responsabilità civile (attività pericolosa)- responsabilità penale- responsabilità amministrativa
Responsabilità per attività pericolosaart 2050 c.c. : Responsabilità per lesercizio diattività pericolose “ Chiunque cagio...
Codice penale e Ads-Abuso della qualità di operatore di sistema- accesso abusivo a sistema informatico o  telematico (art....
SanzioniSanzioni amministrative per inosservanza deiprovvedimenti emessi dal garante ai sensi dell’art. 154,lett.c ) del c...
Possibili scenari italici- legge sui professionisti senza’albo legge 4 gennaio2013, n.4 v. Associazione professionale nell...
Possibili scenari italici: il danno all’immagine?- Corte dei Conti ha condannato un funzionario dell’Agenziadelle Entrate ...
Possibili scenari europei- nuovo regolamento europeo in materia di protezionedei dati valorizza ulteriormente la figura de...
Prassi e audit corretti (a)a) Individuare le figure di amministratore di sistemasecondo i requisiti di esperienza, capacit...
Prassi corretta (b)- f) il titolare nel caso di esternalizzazione del servizio,deve conservare direttamente e specificatam...
Approfondimenti-Mauro Alovisio, Fabio Di Resta, Le responsabilità degli ads e leprescrizioni del Garante, in ICT Security,...
Associazione Csig Ivrea-Torino   Associazione indipendente senza finalità di lucro attiva dal    2005 interdisciplinare (...
Attività Csig di Ivrea-Torino   2012:Partecipazione ai lavori dell’agenda digitale di    Torino e alle consultazioni su m...
Prossime Tappe    -27 febbraio 2013 ore 18-20 presentazione presso CNA Torino    del libro del prof. Filippo Novario “ Co...
Come contattarci?   Rapporto con il territorio, Università , enti pubblici,    associazioni di imprese    come contattar...
   Il Centro Nexa su Internet e Società del Politecnico di Torino    (Dipartimento di Automatica e Informatica) fondato n...
nexa.polito.it/get-involved
Grazie per l’attenzione!!!             Avv. Mauro Alovisio slide edite con licenze creative commons 3.0per osservazioni e ...
Upcoming SlideShare
Loading in …5
×

amministratori di sistema - alovisio

666 views
575 views

Published on

relazioni del convegno gratuito "I sistemi Informativi sanitari, tra agenda digitale, cloud e sicurezza"svoltosi a Torino il 22 febbraio 2013 e organizzato dalle associazioni senza finalità di lucro: Privacy Information Healthcare Manager e Centro Studi di informatica Giuridica di Ivrea-Torino in particolare gli interventi sul cloud, sulla dematerializzazione dei documenti; sulle novità del regolamento europeo in materia di privacy e sugli ads.

Published in: Technology

amministratori di sistema - alovisio

  1. 1. Convegno“La sicurezza del sistema informativo: il ruolo e la responsabilità dell’amministratore di sistema avv. Mauro Alovisio Fellow Nexa, socio APIHM Torino, 22 febbraio 2013
  2. 2. Agenda- assenza di una definizione normativa di sistemainformativo e di amministratore di sistema- ads pietra angolare del sistema informativo-aspetti positivi e limiti del provvedimento generale inmateria di ads del Garante Privacy del 24 novembre 2008- misure organizzative; misure tecniche misure giuridiche- impatto su aziende e casi concreti di ispezioni ( pianoispezioni 2013 focus sul fascicolo sanitario 2013)-le responsabilità e sanzioni
  3. 3. Sistema Informativo e Ads attori del sistema informativo: -figure di processo -figure applicative -figure incaricate dell’amministrazione di sistema (ads)-ads ruolo cardine: nella gestione della posta elettronica edinternet; policy di continuità operativa e disaster recovery;responsabilità della conservazione sostitutiva-la reintroduzione della figura dell’ads nel nostro ordinamentoha determinato un raccordo sinergico tra il Sistema 231(sulla responsabilità delle persone giuridiche) ed il Sistema diGestione Privacy” modello organizzativo
  4. 4. Ads e provvedimenti del Garante- L’Ads non è previsto in modo espresso nel Codice dellaprivacy (D.Lgs 196 del 2003) - viene citato nel provvedimento generale del Garantesulla posta elettronica ed internet del 1 marzo 2007- viene introdotto nel Provvedimento del Garante per laProtezione dei dati del 27 novembre 2008 ad oggetto:“Misure e accorgimenti prescritti ai titolari dei trattamentieffettuati con strumenti elettronici relativamente alleattribuzioni delle funzioni di amministratore di sistema”- provvedimento a lunga gestazione: consultazione pubblica successivaad emanazione e successiva pubblicazione delle faq sul sito del GarantePrivacy
  5. 5. Ads e posta elettronica-Provvedimento: linee guida del Garante privacy per postaelettronica ed internet del 1 marzo 2007 “Resta parimentiferma la necessità che, nellindividuare regole di condottadei soggetti che operano quali amministratori di sistemao figure analoghe cui siano rimesse operazioni connesse alregolare funzionamento dei sistemi, sia svolta unattivitàformativa sui profili tecnico-gestionali e di sicurezza dellereti, sui principi di protezione dei dati personali e sulsegreto nelle comunicazioni (cfr. Allegato B) al Codice, regolan. 19.6; Parere n. 8/2001 cit., punto 9)
  6. 6. Ads e Continuità operativaDigitPa, Le nuove Linee Guida per il Disaster Recovery e ilpercorso di attuazione dell’articolo “Continuitàoperativa” del CAD», 2011dovere di piena conformità obblighi normativa privacy eprovvedimenti del Garante con particolare attenzione ..all’individuazione degli amministratori di sistema ,prevedendo anche le necessarie attività di verifica e dicontrollo e richiamo del provv. del Garante 2008 (p. 64)- previsione di inserimento clausole nei fornitori su obbligo di riservatezza e gli obblighi del fornitore diimprontare il proprio operato a quanto previsto dal codiceprivacy e al provvedimento su ads del 2008 ( p.74)
  7. 7. Continuità operativa ed egovermentArt. 51 bis del CadLa continuità operativa è l’insieme di attività volte aminimizzare gli effetti distruttivi, o comunque dannosi, di unevento che ha colpito un’organizzazione o parte di essa,garantendo la continuità delle attività in generaleaspetto cardine dell’e-goverment per il profilo delladisponibilità dei servizi in rete- obbligo di adozione del piano di continuità operativa entro il25.01. 2011 (previo studio di fattibilità) verifica biennale dellafunzionalità del piano -obbligo di adozione del piano di disaster recovery:aggiornamento annuale
  8. 8. Chi sono gli amministratori di sistema? Definizione contenuta nel provvedimento del Garante del 2008 -figure professionali individuate nell’ambito informatico, finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. ma anche altre figure professionali equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessinon è una sola figura ma un complesso di figure interne ed esterne
  9. 9. L’amministratore di sistema per il GaranteIl provvedimento offre una lettura sistemica dell’art. 34 delCodice privacy che prescrive fra le misure minimeorganizzative di aggiornare periodicamente l’ambito deltrattamento degli “addetti alla gestione e manutenzione deglistrumenti elettronici” (allegato B punto 15)L’ amministratore è un particolare operatore di sistema,dotato di specifici privilegi amministrativi, specificheautorizzazioni (rischi di applicazione norme penali)i compiti dell’amministratore di sistema sono pertanto inrealtà descritti dal disciplinare tecnico (allegato B al codice)
  10. 10. Perché sono importante gli AdS?nell’ ICT è un elemento essenziale della sicurezza :all’amministratore di sistema vengono consegnate le chiavidel sistema informatico custode dei segreti dell’azienda- ha capacità di azione su tutti i dati (sistema informativo,mail;internet; immagini) anche qualora non consulti inchiaro le informazioni svolge i compiti previsti dall’allegatoB del codice privacy custodia delle componenti riservatedelle credenziali di autenticazione e di autorizzazione ;operazioni di back up ; manutenzione hardwareil provvedimento del 2008 si applica ad enti pubblici e privati,sono esenti i titolari di dati che effettuano trattamenti perfinalità contabili e amministrative
  11. 11. Non tutti sono ads!-non rientrano nella definizione di ADS i soggetti chesolo occasionalmente intervengono (p.es., per scopi dimanutenzione a seguito di guasti o malfunzioni) sui sistemi dielaborazione e sui sistemi software secondo il Garante perla protezione dei dati personali- limitazione importante dell’ambito di applicazione delprovvedimento del Garante (FAQ n. 1)
  12. 12. Pregi dell’intervento del Garante-Il Garante ha dato risalto all’ amministratore di sistemacome figura chiave nella gestione dei processi e perresponsabilizzare sia le imprese sia tali figure-problema culturale emerso anche nelle ispezioni dicarente consapevolezza delle criticità insite nello svolgimentodelle mansioni di Ads sottovalutazione dei rischi -previsione di "due diligence" si intende un’attività di analisi everifica volta al raggiungimento di un parere di conformità;adozione di accorgimenti e misure, tecniche e organizzative,volti ad agevolare lesercizio dei doveri di controllo da partedel titolare
  13. 13. Limiti dell’intervento del Garante- provvedimento dal forte impatto ma di difficile attuazione con oneri e costi a carico delle imprese e delle pa e senzauna gradualità di applicazione commisurata alla complessitàdel sistema informatico e alla tipologia di dati- il provvedimento del Garante presenta alcune lacunees.non ha approfondito i servizi informatici esternalizzati (inparticolare i fornitori all’estero)osservazione: sarebbe stato meglio adottare ilprovvedimento generale dopo la consultazione on line;pubblicare i contributi inviati e non solo le faq
  14. 14. Misure organizzative, tecniche e giuridiche-Designazioni individuali degli ads previa valutazione dellecaratteristiche soggettive- Tenuta di elenco degli amministratori di sistema- Registrazione degli accessi-Verifica annuale delle attività
  15. 15. La designazione dell’ads (a)Le designazioni di amministratore di sistema deve avvenireprevia valutazione delle caratteristiche di:esperienza, capacità e affidabilità del soggetto designato,idonea garanzia del pieno rispetto delle vigenti disposizioniin materia di trattamento, ivi compreso il profilo relativo allasicurezzaFAQ 20: requisiti di qualità tecniche, professionali e dicondotta non i requisiti moraliAffidabilità: il rispetto dei doveri di diligenza ex 2104 c.c.
  16. 16. La designazione di Ads (b)-La designazione quale amministratore di sistema deveessere individuale e recare lelencazione analiticadegli ambiti di operatività consentiti in base al profilodi autorizzazione assegnato ( p.4.2; faq 7-8 descrizionepuntuale con i compiti analiticamente specificati art. 29 c.IV)massima attenzione nella descrizione delle attività (profiligiuslavoristici)La designazione è effettuata dal titolare o dal responsabileper iscritto
  17. 17. AdS: incaricato o responsabile dei dati-AdS può essere un responsabile o un incaricatose incaricato , il titolare e il responsabile devonoattenersi comunque a criteri di valutazione equipollenti aquelli richiesti per la designazione dei responsabili ai sensidellart. 29 del codice;nb. il titolare anche quando delega rimane sempreresponsabile
  18. 18. Titolare e Ads?-il titolare anche quando delega rimane sempre responsabileIl titolare deve potere provare:a) la corretta organizzazione e gestione del proprio sistemainformativo (due diligence)b) di avere esercitato il controllo
  19. 19. Responsabilità ads-la responsabilità degli enti giuridici si trasmette agliamministratori qualora gli stessi non abbiano adempiutodiligentemente ai loro doveri gli amministratori sonoesonerati se dimostrano di essere esenti da colpa(negligenza-imprudenza-imperizia)-nel caso in cui siano a conoscenza dell’eventoall’operazione potenzialmente dannoso devono comunicareil proprio dissenso all’operazione
  20. 20. Elenco degli amministratori di sistemaGli estremi identificativi delle persone fisiche amministratoridi sistema, con lelenco delle funzioni ad essi attribuite,devono essere riportati in un documento interno:da mantenere aggiornato e disponibile in caso diaccertamenti da parte del Garante privacyL’elenco doveva in precedenza essere contenuto negliallegati del Documento Programmatico per la sicurezza(DPS), misura minima abrogata dalla legge 4 aprile 2012, n.35
  21. 21. Trasparenza interna Qualora lattività degli amministratori di sistema riguardianche indirettamente servizi o sistemi che trattano o chepermettono il trattamento di informazioni di caratterepersonale dei lavoratori, i titolari pubblici e privati sono tenutia rendere nota o conoscibile lidentità degli amministratori disistema nellambito delle proprie organizzazioni, secondo lecaratteristiche dellazienda o del servizio, in relazione aidiversi servizi informatici cui questi sono preposti-attraverso informativa-disciplinare tecnico posta elettronica ed internet (v lineeguida del Garante del 1 marzo 2007)-strumenti di comunicazione interna (intranet., ordini diservizio) (v. faq 2). v. caso Poligrafico 21 luglio 2011
  22. 22. Ads e outsourcing (b)-servizi informatici: contratto di outsourcingper il Garante il provvedimento si applica solo ai titolari deidati e non al responsabile (faq 23):esempio società italiana che lavora per conto di una societàestera;secondo il Garante sussiste solo obbligo di comunicazionedell’ elenco degli amministratori di sistema.consiglio: inserire clausole contrattuali per salvaguardarel’azienda nel caso di danni a terzi per trattamenti di datipersonali
  23. 23. Le registrazioni degli accessi (a)-qual è la finalità della registrazione dei file di log? La raccolta dei file di log serve per verificare anomalie nellafrequenza degli accessi e nelle loro modalità (orari, durata,sistemi cui si è fatto accesso ..)Si osservi inoltre come la conservazione dei file di log possaessere ricompresa tra i criteri di valutazione dell’operato degliamministratore di sistema
  24. 24. Le registrazione degli accessi (b)-Gli eventi da registrare sono solo le autenticazioniinformatichela registrazione di login e log-outnon è richiesta la registrazione di log di attività interattive ,comandi impartiti, transazioni (FAQ 15, non si tratta di auditlog)le caratteristiche del log adeguate al contesto sulla base divalutazioni del titolare: (vedi strumenti del sistema operativo)access log caratteristiche di completezza, inalterabilità,integrità (p.4.5; faq 11) le registrazioni devono essere conservate per unperiodo non inferiore ai sei mesi
  25. 25. Sistemi di registrazione-Quali informazioni sono da registrare?Qualora il sistema di log adottato generi una raccolta datipiù ampia, comunque non in contrasto con le disposizionidel codice e con i principi della protezione dei dati personaliil requisito del provvedimento è certamente soddisfatto.Comunque è sempre possibile effettuare un’estrazione o unfiltraggio dei logfiles al fine di selezionare i soli datipertinenti agli amministratori di sistema (FAQ 10 e 12)Il Garante non entra nel merito nel valore legale e nellagenesi dei log ma si occupa della loro completezza
  26. 26. No software costosi!!- il provvedimento non chiede in alcun modo che venganoregistrati dati sull’attività interattiva (comandi impartiti,transazioni effettuate) degli amministratori di sistema (FAQ15) diffidare di software dell’ultimo minuto che propongonosoluzioni sproporzionate rispetto ai contenuti delprovvedimentosono molto costosi, inutili, e presentano elevati rischi diprofili di contrasto con art. 4 dello statuto dei lavoratori.
  27. 27. File log inalterabili: cosa fare?-Cosa deve fare il titolare?Se la funzionalità già disponibili nei più diffusi sistemioperativi permettono il salvataggio dei log di accesso, puònon essere necessario l’uso di strumenti software ohardware aggiuntivi. È onere del titolare valutare l’idoneitàdegli strumenti disponibili oppure l’adozione di strumenti piùsofisticati, quali la raccolta dei log centralizzati e l’utilizzo didispositivi non riscrivibili o di tecniche crittografiche per laverifica dell’integrità delle registrazioni (FAQ 4)
  28. 28. Come salvare i log?Secondo il Garante le caratteristiche di mantenimentodell’integrità dei dati raccolti dai sistemi di log sono in generedisponibili nei più diffusi sistemi operativi, o possono essereagevolmente integrate con apposito software (FAQ 12)come fare?Il requisito dell’inalterabilità può essere ragionevolmentesoddisfatto con la strumentazione software in dotazione, neicasi più semplici, e con l’eventuale esportazione periodicadei dati di log su supporti di memorizzazione non riscrivibili(FAQ 12)
  29. 29. 1.Conservazione dei log-Come salvare i log?Il Garante prevede la possibilità ma non l’obbligo, che ititolari possano adottare sistemi più sofisticati, quali i logserver centralizzati e “certificati” (FAQ 12)Non sono richiestì i files di log di audit: i files cioè cheregistrano la generazione di un auditable events, la lorocorretta registrazione e manutenzioneIl Garante richiede una forma minima di documentazione:attraverso l’uso di un sistema informativo che assicuri lagenerazione dei file di log degli accessi la loro archiviazioneper almeno 6 mesi in condizione di ragionevole sicurezza
  30. 30. 2. Conservazione log-Attenzione: si noti come il Garante non richieda un sistemaparticolare o massificato di data retention nénecessariamente l’adozione di soluzioni particolari o di altolivello di garanzia,i sistemi di registrazione sono demandati alla ragionevole eprudente valutazione di parte (FAQ 12)
  31. 31. Ispezione del Garante: software (a)Ispezione Garante presso Istituto Poligrafico verifiche sulsoftware della società di tracciamento degli accessi degliamministratore di sistema al proxy, ai firewall, ai server di postaelettronica e ai sistemi informatici (Voip) (provv. del 21 luglio2011; poi ricorso impresa)secondo il Garante il software aziendale non è in grado diassicurare la completezza del tracciamento delle attività delleattività di amministratore di sistema (non veniva tracciatol’accesso applicativo ma solo l’accesso sistemico, cioèl’accesso al sistema operativo) non erano tracciati gli accessi tramite interfaccia web
  32. 32. Ispezione del Garante: software (b)il software non assicura la completezza delle registrazioni(access log) dei file di log; non consente di rappresentarefedelmente l’attività e l’operato degli amministratori di sistema e pertanto fornisce un’informazione incompleta al responsabilitàICT.Il Garante ha sottolineato il difetto di coordinamento fra i centridi responsabilità dell’azienda (ICT e business solution; RisorseUmane, responsabile privacy. Ufficio legale) e ha prescritto diadottare, in caso di introduzione e potenziamento di sistemiinformativi che possono avere un impatto sulla privacy, misureorganizzative, quali forme di coordinamento e cooperazione trale pertinenti unità organizzative per assicurare un correttoprocesso decisionale
  33. 33. Verifica dell’attività-Loperato degli amministratori di sistema deve essereoggetto, con cadenza almeno annuale, di unattività diverifica (audit) da parte dei titolari del trattamento, inmodo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei datipersonali previste dalle norme vigenti p. 4.4, FAQ 5 e FAQ 14 non si tratta di controllodell’attività professionale vietata dall’art. 4 dello statuto deilavoratori –no raccolta di informazioni si pv mansioni e p.v.profilo della sicurezza
  34. 34. Responsabilità ads- responsabilità civile (attività pericolosa)- responsabilità penale- responsabilità amministrativa
  35. 35. Responsabilità per attività pericolosaart 2050 c.c. : Responsabilità per lesercizio diattività pericolose “ Chiunque cagiona danno ad altrinello svolgimento di un’attività pericolosa, per suanatura o per natura dei mezzi adoperati, è tenuto alrisarcimento, se non prova di avere adottato tutte lemisure idonee a evitare il danno”- inversione onere della prova- prova positiva di avere adottato tutte le misure diprevenzione- casi di giurisprudenza su attività pericolosa attivitàedilizia, produzione e distribuzione di energia
  36. 36. Codice penale e Ads-Abuso della qualità di operatore di sistema- accesso abusivo a sistema informatico o telematico (art. 615 ter)- frode informatica (art. 640 ter)- danneggiamento di informazioni, dati e programmiinformatici (artt. 635 bis e ter)- danneggiamento di sistemi informatici e telematici (artt.635 quater e quinques)
  37. 37. SanzioniSanzioni amministrative per inosservanza deiprovvedimenti emessi dal garante ai sensi dell’art. 154,lett.c ) del codice è applicata la sanzione amministrativadi importo da 30.000 a 180.000 euro (art. 162 comma 2-ter codice privacy )Inutilizzabilità dei dati (sanzione panprocessalistica) v.prova no utilizzabile
  38. 38. Possibili scenari italici- legge sui professionisti senza’albo legge 4 gennaio2013, n.4 v. Associazione professionale nell’ottica sia diaccreditamento di qualità sul mercato di professionisti sia ditutela del consumatore e di trasparenza; profili formazione eaggiornamento permanente, adozione di un codice dicondotta e sanzioni disciplinari, vigilanza sulla condottaprofessionale, valorizzazione delle competenze, rilascio diattestazioni, collaborazione all’elaborazione della normativatecnica UNI, promozione di organismi di certificazione- giurisprudenza evolutiva a partire dalla sentenza dellaCass. Penale sez. V, del 6 luglio 2007 n. 31135 suintercettazione di ads di posta elettronica
  39. 39. Possibili scenari italici: il danno all’immagine?- Corte dei Conti ha condannato un funzionario dell’Agenziadelle Entrate al risarcimento del danno all’immaginepatito dall’ente in relazione alla cessione di dati deicittadini dallo stesso effettuato per finalità di profitto a terzisoggetti.Il dipendente ha gettato discredito all’ente nel suocomplesso.La violazione dei dati personali dei cittadini ha determinatonegli stessi una diversa immagine della correttezzaistituzionale dell’amministrazione finanziaria conconseguente vulnus della fiducia nell’ente(Corte dei Conti per la Campania n. 1320/2012)
  40. 40. Possibili scenari europei- nuovo regolamento europeo in materia di protezionedei dati valorizza ulteriormente la figura dell’ads nelladefinizione della centralità delle misure di sicurezza (art.30),negli adempimenti della notificazione e comunicazione diviolazione dei dati (31-32) -occorre un effettivo raccordo degli ads con il responsabiledel trattamento il Joint Controller" o responsabile congiuntocon il data protection officer-le nuove sfide sul diritto all’oblio e sulla portabilità dei dati,certificazioni sui dati
  41. 41. Prassi e audit corretti (a)a) Individuare le figure di amministratore di sistemasecondo i requisiti di esperienza, capacità e affidabilitàb) selezionare le persone in relazione ai compiti daaffidare (formazione e assegnazione )c)prevedere monitoraggio e controllo degli amministratoriai fini di guida e controllo dei processid) utilizzare i risultati del monitoraggio per migliorare iprocessie) comunicazione dei nominativi degli amministratore disistema se questo svolge trattamenti che coinvolgono ilavoratori (informativa-linee guida internet)
  42. 42. Prassi corretta (b)- f) il titolare nel caso di esternalizzazione del servizio,deve conservare direttamente e specificatamente, perogni eventuale evenienza, gli estremi identificativi dellepersone fisiche preposte quali amministratori di sistemag) l’amministratore di sistema in analogia a quantoprevisto per la gestione del rapporto titolare/responsabiledovrà essere soggetto a verifica periodica con cadenzaalmeno annuale.h) registrazione degli accessi
  43. 43. Approfondimenti-Mauro Alovisio, Fabio Di Resta, Le responsabilità degli ads e leprescrizioni del Garante, in ICT Security, Febbraio, 2010-Eric Falzone, Responsabilità amministrativa degli enti per delittiinformatici e trattamento illecito di dati compiuto daamministratori di sistema,Ciberspazio e diritto : internet e leprofessioni giuridiche fascicolo: 1, volume: 12, anno: 2011-Paolo Giardini, http://blog.solution.it/amministratori-di-sistema-accetto-o-non-accetto-Monica Palmirani, Michele Martoni, Informatica Giuridica per lerelazioni aziendali, Giappichelli, Torino, 2012
  44. 44. Associazione Csig Ivrea-Torino Associazione indipendente senza finalità di lucro attiva dal 2005 interdisciplinare (informatici, giuristi, economisti, etc.) Mission: aggiornamento professionale, studio, ricerca, analisi, approfondimento dell’evoluzione dei diritti digitali, dell’ICT e dell’Informatica Giuridica a livello locale e nazionale Due sedi una storica a Ivrea e una nuova a Torino Rete nazionale www.cisig.it, mailing list (900 professionisti) Comitato Scientifico (Prof. Anglano, Prof. F Foà, D. Frati, Dott. F. Grillo Pasquarelli, Avv. Maggi, Dott. M. Nigra, Prof. U. Pagallo, Prof. G. Ruffo, Avv. M. Travostino, Avv. F. Vallosio)
  45. 45. Attività Csig di Ivrea-Torino 2012:Partecipazione ai lavori dell’agenda digitale di Torino e alle consultazioni su mozione software libero e open data del comune di Torino ( Comitato di Torino Digitale) Audizione e contributi in Consiglio Regionale (legge sul wi-fi; legge regionale open data in sinergia con Centro di ricerca del Politecnico su Internet Nexa) Partecipazione a consultazione nazionale dell’Agenzia Digitale su smart city, open data e a consultazione su Decreto Digitalia con APIHN Partecipazione a consultazione del Garante privacy su Tlc e data breach
  46. 46. Prossime Tappe -27 febbraio 2013 ore 18-20 presentazione presso CNA Torino del libro del prof. Filippo Novario “ Computer forensics.Tra Giudizio e Business”, Edizione Cortina del Dott.Filippo Novario - 27 marzo convegno ad Asti su Internet e minori INFORMI @MOCI Giovani e Web: formare ed informare ad un uso sano, legale, sicuro e consapevole della Rete -aprile - consultazione legge regionale sul wi-fi Valle di Aosta -maggio 2013 - Convegno Nazionale su Videosorveglianza, Smart people e smart city presso Università Cattolica di Milano -autunno 2013 - presentazione libri “Sicuri in rete “ di Marco Ozenda e Laura Bissolati seminari di deontologia , privacy, diritto di autore
  47. 47. Come contattarci? Rapporto con il territorio, Università , enti pubblici, associazioni di imprese come contattarci: Blog: http://csig-ivrea-torino.blogspot.it/ Linkedin: http://www.linkedin.com/groups/CSIG-Ivrea-Torino-Centro- Studi4485679?gid=4485679&trk=hb_side_g Facebook: CSIG Ivrea Torino - Centro Studi Informatica Giuridica Mail: CsigIvreaTorino@gmail.com
  48. 48.  Il Centro Nexa su Internet e Società del Politecnico di Torino (Dipartimento di Automatica e Informatica) fondato nel novembre 2006, è un centro di ricerca indipendente che studia le componenti della forza di Internet e i suoi effetti sulla società. Il Centro Nexa interagisce con la Commissione europea, organismi regolatori, governi locali e nazionali, nonché con imprese e altre istituzioni - attento a preservare la sua indipendenza accademica e intellettuale e con una specifica attenzione per gli aspetti di policy delle proprie ricerche. Web nexa.polito.it @nexacenter facebook.com/nexa.center
  49. 49. nexa.polito.it/get-involved
  50. 50. Grazie per l’attenzione!!! Avv. Mauro Alovisio slide edite con licenze creative commons 3.0per osservazioni e approfondimenti è possibile contattarmi: mauro.alovisio@gmail.com twitter@MauroAlovisio Linkidin MauroAlovisio

×