Uploaded on

Privacy e trattamento dei dati personali. …

Privacy e trattamento dei dati personali.
(Modulo IV del corso di Diritto dell\'Informatica e delle Nuove Tecnologie, Facoltà di Ingegneria, laurea specialistica in Ingegneria delle Telecomunicazioni, Università di Cagliari)

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
828
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 1 A.A. 2008/09 Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni Diritto dell’Informatica e delle Nuove Tecnologie Docente: Massimo Farina MODULO IV http://www.massimofarina.it massimo@massimofarina.it
  • 2. MODULO IV Privacy e Trattamento dei Dati Personali 2 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 3. SOMMARIO Linee Fondamentali del Codice Privacy Principi Definizioni Principali Adempimenti D.lgs. 196/03 Responsabilità, Sanzioni e Tutela 3 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 4. Linee Fondamentali 4 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 5. CODICE DELLA PRIVACY Chiunque ha diritto alla protezione dei dati personali Art. 1 che lo riguardano Il presente testo unico, di seguito denominato quot;codicequot;, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché Art. 2 della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali 5 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 6. Costituzione della Repubblica la repubblica riconosce e garantisce i diritti inviolabili dell'uomo, sia come singolo sia nelle formazioni sociali, Art. 2 ove si svolge la sua personalità, e richiede l'adempimento dei doveri inderogabili di solidarietà politica, economica e sociale tutti hanno diritto di manifestare Art. 21 liberamente il proprio pensiero con la parola, lo scritto e ogni altro mezzo di diffusione. 6 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 7. Struttura del Codice si compone di 3 parti: I – Disposizioni Generali II – Disposizioni Relative a Settori Specifici III – Tutela dell'Interessato e Sanzioni …. e di 3 allegati A – Codici Deontologici (storici, statistici, giornalisti) B – Disciplinare Tecnico C – Trattamenti in ambito giudiziario ...
  • 8. Le definizioni 8 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 9. qualunque informazione relativa a persona fisica, persona giuridica, DATI PERSONALI ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale i dati personali idonei a rivelare l'origine razziale ed etnica, le DATI SENSIBILI convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale i dati personali idonei a rivelare […] informazioni in materia di DATI GIUDIZIARI casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale […] 9 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 10. qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, TRATTAMENTO DEI DATI l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati 10 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 11. I PRINCIPALI ADEMPIMENTI Notificazione ADEMPIMENTI VERSO L’AUTORITÀ GARANTE Autorizzazione Informativa ADEMPIMENTI VERSO GLI INTERESSATI Richiesta di consenso Misure minime ADEMPIMENTI INTERNI (O ORGANIZZATIVI) di sicurezza 11 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 12. Notificazione Come si notifica? Art. 38. Modalità di notificazione [II] La notificazione è validamente effettuata solo se è trasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalità di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione. [Tramite il sito www.garanteprivacy.it] 12 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 13. Notificazione Quante volte si notifica? Art. 38. Modalità di notificazione [IV] Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima. 13 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 14. Autorizzazione previsto per tutti i titolari che trattano dati sensibili e giudiziari Art. 26. Garanzie per i dati sensibili. 1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto ad adottare. 14 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 15. Tenuto conto dell’altissimo numero di soggetti interessati, il legislatore ha previsto le “Autorizzazioni Generali” concesse a determinate categorie di titolari o di trattamenti • Autorizzazione generale n. 1/2008 del 19 giugno 2008 “Trattamento dei dati sensibili nei rapporti di lavoro” • Autorizzazione generale n. 2/2008 del 19 giugno 2008 “Trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale” • Autorizzazione generale n. 3/2008 del 19 giugno 2008 “Trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni” • Autorizzazione generale n. 4/2008 del 19 giugno 2008 “Trattamento dei dati sensibili da parte dei liberi professionisti” • Autorizzazione generale n. 5/2008 del 19 giugno 2008 “Trattamento dei dati sensibili da parte di diverse categorie di titolari” • Autorizzazione generale n. 6/2008 del 19 giugno 2008 “Trattamento dei dati sensibili da parte degli investigatori privati” • Autorizzazione generale n. 7/2004 del 19 giugno 2008 “Trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici” 15 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 16. INFORMATIVA Art. 13. Informativa. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: I soggetti che La finalità La modalità I diritti effettueranno del del dell’interessato il trattamento trattamento trattamento 16 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 17. La Forma dell’Informativa L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto […] (art. 13 D.lgs. 196/03) LA FORMA E’ LIBERA E’ tuttavia consigliabile la forma scritta quale prova dell’avvenuta comunicazione 17 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 18. Consenso dell’interessato Art. 23. Consenso. [I] Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato. •Espresso REQUISITI •Libero DI VALIDITA’ •Documentato per iscritto •Scritta soltanto in casi di FORMA trattamento di dati sensibili 18 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 19. Casi nei quali può essere effettuato il trattamento senza consenso (art. 24) a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato […]; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale; e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. f) […] è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria […] g) […] è necessario, nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo h) […] è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo […] 19 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 20. Disciplinare Tecnico “Misure Minime di Sicurezza”. MISURE MINIME MISURE IDONEE DI SICUREZZA DI SICUREZZA 20 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 21. Lunghezza minima della password di 1. CARATTERISTICHE DELLE 8 caratteri, CREDENZIALI DI non riconducibile al soggetto 2. AUTENTICAZIONE Modifica dopo il primo utilizzo, ogni 6 1. o 3 mesi a seconda dei dati trattati Disattivazione in caso di non uso per 2. almeno 6 mesi o di perdita della qualità che permette l’accesso ai dati GESTIONE DELLE Garanzia della disponibilità dei dati o 3. CREDENZIALI DI degli strumenti elettronici in caso di AUTENTICAZIONE prolungata assenza o impedimento dell’incaricato che goda delle credenziali di autenticazione 21 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 22. “Misure minime di sicurezza” VS “Misure idonee di sicurezza” È NECESSARIO PRESTARE ATTENZIONE ALLA DISTINZIONE TRA MISURE MINIME DI SICUREZZA E MISURE IDONEE DI SICUREZZA art. 4 comma 3 del D.Lgs. 196/03: “Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di MISURE MINIME protezione richiesto in relazione ai rischi previsti nell'articolo 31”. NESSUNA DEFINIZIONE NORMATIVA: sono individuabili sulla base delle soluzioni tecniche concretamente disponibili sul MISURE IDONEE mercato, mentre le misure minime sono puntualmente individuate dalla legge (in particolare dall'allegato B)”. 22 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina Privacy e sicurezza 22 A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 23. “Misure minime di sicurezza” VS “Misure idonee di sicurezza” CONSEGUENZE DIVERSE PER IL MANCATO RISPETTO DELLE MISURE MINIME DI SICUREZZA E DELLE MISURE IDONEE DI SICUREZZA Responsabilità di tipo amministrativo e penale MISURE MINIME Responsabilità Civile ex art. 2050 c.c. MISURE IDONEE 23 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina Privacy e sicurezza 23 A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 24. Verifica almeno annuale delle condizioni per SISTEMA DI AUTORIZZAZIONE l’autorizzazione Attivazione di idonei strumenti elettronici PROTEZIONE CONTRO IL da aggiornare con cadenza almeno RISCHIO DI INTRUSIONE semestrale. •Almeno annuale per dati comuni AGGIORNAMENTI PERIODICI DEI •Almeno semestrale per dati sensibili e/o PROGRAMMI PER ELABORATORE giudiziari 24 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 25. salvataggio dei dati con frequenza almeno BACK UP settimanale Ripristino entro il termine massimo di una DISASTER RECOVERY settimana 25 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 26. DOCUMENTO PROGRAMMATICO PER LA SICUREZZA i compiti e le l’elenco dei trattamenti responsabilità dei soggetti incaricati al trattamento l’analisi dei rischi con l’indicazione delle misure la protezione delle che sono adottate al fine aree e dei locali in di garantire l’integrità e la relazione alla loro disponibilità dei dati custodia ed accessibilità 26 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 27. DOCUMENTO PROGRAMMATICO PER LA SICUREZZA i criteri per l’adozione delle l’analisi dei rischi con misure minime di sicurezza in l’individuazione delle modalità caso di trattamenti di dati che possono essere poste a personali affidati all’esterno favore del ripristino della della struttura (outsourcing) disponibilità dei dati qualora si verifichino episodi di distruzione o danneggiamento criteri adottati per la separazione dei dati sensibili da quelli comuni. gli interventi formativi in tema di analisi dei rischi che incombono sui dati 27 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 28. DOCUMENTO PROGRAMMATICO PER LA SICUREZZA Ripristino della Protezione contro disponibilità dei dati l’accesso abusivo con entro sette giorni strumenti hardware e software Particolari misure Attenta gestione dei fisiche e logiche di supporti magnetici protezione per i dati rimovibili genetici – cifratura – 28 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 29. Quali sono i titolari obbligati a redigere il D.P.S. ? CONTRASTO TRA ART. 34 LETT. G) D.LGS. 196/03 E DISCIPLINARE TECNICO “ALLEGATO B” il documento programmatico tenuta di un aggiornato sulla sicurezza va redatto dai documento programmatico sulla Titolari di un trattamento di dati sicurezza per chiunque tratta sensibili o giudiziari (punto 19.1 dati personali su supporti all. b) elettronici (art. 34 lett. g) 29 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 30. SOLUZIONE Il DPS deve essere redatto dal titolare del trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici L’art. 34 ha valore di legge (fonte primaria) e prevale 1 sull’allegato b che ha valore regolamentare (fonte secondaria) “In base al nuovo Codice, la misura minima del DPS deve essere ora adottata dal titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti 2 elettronici” Punto 2.2 Parere garante 22 marzo 2004 30 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 31. E’ consigliabile redigere sempre un documento riepilogativo Sullo stato di adeguamento privacy della propria azienda PERCHE’ Il codice della Privacy impone una nuova metodologia di lavoro che comporta impiego di risorse umane ed economiche E’ FONDAMENTALE Tenere traccia di quanto è stato fatto nella propria struttura aziendale per il corretto trattamento dei dati personali 31 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 32. Documento recante “data certa” Art. 181 comma 2, d.lgs. 196/03 Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l'immediata applicazione delle misure minime di cui all'articolo 34 e delle corrispondenti modalità tecniche di cui all'allegato B), descrive le medesime ragioni in un documento a data certa da conservare presso la propria struttura NON SI TRATTA DEL D.P.S. 32 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 33. Relazione accompagnatoria di bilancio Punto 26 all. b) Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza IL D.P.S. NON VA ALLEGATO AL BILANCIO 33 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 34. Altri adempimenti interni (nomine ed incarichi) 34 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 35. ATTO DI NOMINA DEL RESPONSABILE DEL TRATTAMENTO DATI [VEDI ESEMPIO] ATTO DI NOMINA DELL’INCARICATO DEL TRATTAMENTO DATI [VEDI ESEMPIO] ATTO DI NOMINA DELL’AMMINISTRATORE DEL SISTEMA INFORMATIVO [VEDI ESEMPIO] ATTO DI NOMINA CUSTODE PAROLE CHIAVE [VEDI ESEMPIO] 35 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 36. Responsabilità, Sanzioni e Tutela 36 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 37. IL CODICE PREVEDE TRE TIPI DI RESPONSABILITÀ: AMMINISTRATIVA Artt. 161- 166 CIVILE Art. 15 PENALE Artt. 167- 172 37 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 38. TITOLO III Sanzioni. Capo I - Violazioni amministrative Artt. 161-166 L'organo competente ad irrogare le sanzioni amministrative è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni. 38 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 39. art. 161 – OMESSA O INIDONEA INFORMATIVA ALL’INTERESSATO DA €. 3.000 a 18.000 DA €. 5.000 a 30.000 SE RIGUARDA DATI COMUNI SE RIGUARDA DATI SENSIBILI MOLTIPLICABILE PER TRE IN RELAZIONE ALLE CONDIZIONI ECONOMICHE DEL CONTRAVVENTORE 39 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 40. art. 163 – Omessa o incompleta notificazione al garante da €. 10.000 a 60.000 da €. 4.000 a 24.000 Art. 164 – Omesso invio di informazioni o documenti richiesti dal garante 40 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 41. RESPONSABILITA’ CIVILE Art. 15. Danni cagionati per effetto del trattamento. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Art. 2050 c.c.:Responsabilità per l'esercizio di attività pericolose. Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno 41 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 42. RESPONSABILITA’ PENALE Art. 15. Danni cagionati per effetto del trattamento. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Art. 2050 c.c.:Responsabilità per l'esercizio di attività pericolose. Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno 42 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 43. TITOLO III Sanzioni. Capo II – Illeciti Penali Artt. 167-172 1. se dal fatto deriva nocumento, reclusione da Art. 167 – TRATTAMENTO sei a diciotto mesi ILLECITO DI DATI PERSONALI 2. se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. Art. 168 – FALSITÀ NELLE salvo che il fatto costituisca più DICHIARAZIONI E NOTIFICAZIONI grave reato, con la reclusione AL GARANTE da sei mesi a tre anni 43 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 44. arresto sino a due anni o ammenda da €. 10.000 a Art. 169 – OMISSIONE DI 50.000. ADOZIONE DELLE MISURE MINIME DI SICUREZZA RAVVEDIMENTO OPEROSO All'autore è impartita una prescrizione fissando un termine per la regolarizzazione. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. reclusione da tre mesi a due Art. 170 – INOSSERVANZA DEI anni PROVVEDIMENTI DEL GARANTE 44 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 45. Forme di tutela 1. se dal fatto deriva nocumento, reclusione da Art. 167 – TRATTAMENTO sei a diciotto mesi ILLECITO DI DATI PERSONALI 2. se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. Art. 168 – FALSITÀ NELLE salvo che il fatto costituisca più DICHIARAZIONI E NOTIFICAZIONI grave reato, con la reclusione AL GARANTE da sei mesi a tre anni 45 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 46. Forme di tutela TUTELA GIURISDIZIONALE TUTELA AMMINISTRATIVA GIUDICE ORDINARIO GARANTE Per il risarcimento dei danni l’unica forma di tutela ammessa è quella davanti al Giudice Ordinario 46 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 47. I PIU’ RECENTI INTERVENTI DEL GARANTE PRIVACY LE REGOLE PER LE REGOLE PER GLI LA ROTTAMAZIONE DI AMMINISTRATORI DI SISTEMA APPARECCHIATURE ELETTRICHE ED ELETTRONICHE Provvedimenti a carattere generale - 13 ottobre 2008 Provvedimenti a carattere generale - 27 novembre 2008 G.U. n. 300 del 24 dicembre 2008) G.U. n. 287 del 9 dicembre 2008 47 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 48. AMMINISTRATORI DI SISTEMA Comunicato stampa - 14 gennaio 2009 Soggetti che vigilano sul corretto utilizzo dei sistemi informatici AMMINISTRATORI DI di un'azienda SISTEMA o di una pubblica amministrazione. L’amministratore di sistema non è semplicemente il manutentore della struttura informatica ma è il “garante informatico” della protezione delle informazioni personali unitamente al titolare. 48 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 49. AMMINISTRATORI DI SISTEMA Comunicato stampa - 14 gennaio 2009 Non è una figura nuova nell’ordinamento italiano. Esisteva già nel Regolamento attuativo (DPR 318/1999) della legge 675/1996. Esistevano due figure: 1. il preposto alla custodia della parola chiave 2. l’amministratore di sistema. (abrogato dall'art. 183, D.Lgs. n. 196/03) 49 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 50. AMMINISTRATORI DI SISTEMA Comunicato stampa - 14 gennaio 2009 1. Deve trattarsi di un soggetto affidabile. “….a. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29quot;. 2. Si deve procedere alla designazione individuale ovvero occorre predisporre apposita nomina scritta con il profilo di operatività corrispondente al profilo di autorizzazione assegnato. 50 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 51. AMMINISTRATORI DI SISTEMA 3. Devono essere resi noti al pubblico e ai lavoratori gli estremi identificativi dell’amministratore di sistema tramite menzione nel DPS. “….c. Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007 (in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tali forme di pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che disciplinino uno specifico settore”. 51 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 52. AMMINISTRATORI DI SISTEMA 4 Si deve procedere alla verifica delle relative attività mediante controllo almeno annuale. 5 Devono essere adottati sistemi idonei alla registrazione degli accessi. “….f. Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi”. 52 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 53. LA ROTTAMAZIONE DI APPARECCHIATURE ELETTRICHE ED ELETTRONICHE Comunicato stampa - 05 dicembre 2008 Misure tecniche preventive È bene proteggere i file usando una password di cifratura, oppure memorizzare i dati su hard disk o su altri supporti magnetici usando sistemi di cifratura automatica al momento della scrittura. Misure tecniche di cancellazione sicura La cancellazione sicura delle informazioni su disco fisso o su altri supporti magnetici è ottenibile con programmi informatici di quot;riscritturaquot; che provvedono - una volta che l'utente abbia eliminato dei file dall'unità disco con i normali strumenti previsti dai sistemi operativi (ad es., con l'uso del quot;cestinoquot; o con comandi di cancellazione) - a scrivere ripetutamente nelle aree vuote del disco. Si possono anche utilizzare sistemi di formattazione a basso livello degli hard disk o di quot;demagnetizzazionequot;, in grado di garantire la cancellazione rapida delle informazioni. Smaltimento di rifiuti elettrici ed elettronici Per la distruzione degli hard disk e di supporti magnetici non riscrivibili, come cd rom e dvd, è consigliabile l'utilizzo di sistemi di punzonatura o deformazione meccanica o di demagnetizzazione ad alta intensità o di vera e propria distruzione fisica. 53 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 54. LA ROTTAMAZIONE DI APPARECCHIATURE ELETTRICHE ED ELETTRONICHE Comunicato stampa - 05 dicembre 2008 Smaltimento di rifiuti elettrici ed elettronici Per la distruzione degli hard disk e di supporti magnetici non riscrivibili, come cd rom e dvd, è consigliabile l'utilizzo di sistemi di punzonatura o deformazione meccanica o di demagnetizzazione ad alta intensità o di vera e propria distruzione fisica. Con questo provvedimento il Garante intende sviluppare una nuova consapevolezza e indicare i modi con i quali rispettare i dati degli altri e tutelarsi rispetto ai propri – commenta Giuseppe Fortunato - La vecchia regola aurea, aggiornata ai nostri tempi vale anche in questo caso: quot;Non fare ai dati degli altri quello che non vorresti fosse fatto ai tuoiquot;. 54 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 55. Grazie per l’attenzione 55 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni
  • 56. LICENZA Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5 Tu sei libero: di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera di creare opere derivate Alle seguenti condizioni: Attribuzione. Devi riconoscere il contributo dell'autore originario. Non commerciale. Non puoi usare quest’opera per scopi commerciali. Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi distribuire l’opera risultante solo per mezzo di una licenza identica a questa. In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera. Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni. Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra 56 Diritto dell’Informatica e delle Nuove Tecnologie - Massimo Farina A.A. 2008/09 Univ. CA - Corso di Laurea Specialistica in Ingegneria delle Telecomunicazioni