20180220 PROFILI GIURIDICI DELLA SICUREZZA INFORMATICA NELL’INDUSTRIA 4.0

1
PROFILI GIURIDICI DELLA SICUREZZA
INFORMATICA NELL’INDUSTRIA 4.0
Prof. Aggr. FEDERICO COSTANTINI
Dipartimento di Scienze Giuridiche
Università degli Studi di Udine
Modulo del Corso Disciplinare «Industry 4.0 e Collaborative Economy
Sfide e opportunità per le imprese e i lavoratori»
Palazzo Di Toppo Wasserman - aula 6
20 febbraio 2018
ore 17.00 – 19.00

2
<Index>
<Index/>
PROGRAMMA DEL MODULO
PRIMA PARTE - Martedì 20 febbraio 2018, 17.00-19.00
- La “Società dell’Informazione” tra “controllo” e “sicurezza”;
- Problemi concernenti la tutela giuridica della sicurezza informatica nelle aziende
(con particolare riferimento ai crimini informatici)
SECONDA PARTE - Martedì 27 febbraio 2018, 17.00-19.00
- Problemi concernenti la sicurezza informatica nel trattamento dei dati personali
(in particolare, il DPO)
- Conclusioni

3
(1) Introduzione
Premessa al modulo e alla lezione odierna
(2) Il problema dell’informazione
Concetto generale di «informazione» -> «Filosofia dell’Informazione»
(3) Il problema della «Società dell’Informazione»
Il modello tecnocratico di convivenza adottato nella UE
(4) Il problema della nozione di «sicurezza informatica»
Cosa si intende per «sicurezza» in ambito tecnologico
(5) Cyberwar / terrorismo informatico
Le iniziative adottate in ambito europeo e italiano
(6) Criminalità informatica
Computer crimes e cyber crimes
(7) Conclusioni
Valutazioni finali, discussione, domande
<Index>
<Index/>

4
<(1) Introduzione: premessa al modulo e alla lezione odierna>
https://it.wikipedia.org/wiki/Industria_4.0#/media/File:Industry_4.0_ita.png
Il contesto: l’avvento della «industria 4.0»
… il problema della «genericità» di tale nozione
… e il problema
della
«sicurezza»
dell’informazione
in relazione ad
essa

5
Uno sguardo può ampio: il «soluzionismo tecnologico»
Morozov, Evgeny, To save everything, click
here. The folly of technological solutionism,
New York, Public Affairs, 2013
.. Sembra che oggi la tecnologia
sia la risposta ad ogni problema
(e che non esista problema se
non di natura tecnologica)

6
Uno sguardo ancora può ampio: la tecnologia come
strumento di «emancipazione»
«Oggi l’uomo sembra così avere raggiunto una condizione simile
a quella attribuita nelle favole antiche agli dei pagani: ma anche
questi erano sottomessi alle leggi del fato e della cosmica
Giustizia, e l’uomo dovrà estendere, col dominio della tecnica,
anche il regno del diritto»
Frosini, Vittorio, Il nuovo diritto spaziale, in Teoremi e problemi di scienza giuridica, Milano,
Giuffré (Pubblicazioni della Facoltà di giurisprudenza (Università di Catania. Facoltà di
Giurisprudenza) 68), 1971, p. 261
«l’uomo nuovo nasce, vive e muore in maniera diversa da quella
degli altri uomini che furono prima di lui. Grazie alla
fecondazione artificiale, può essere partorito da una donna
rimasta vergine»
Frosini, Vittorio, L'uomo artificiale. Etica e diritto nell'era planetaria, Milano, Spirali
(L'Alingua; 46), 1986, p. 8
Frosini, Vittorio, La democrazia nel XXI secolo, Macerata, Liberilibri (Oche del
Campidoglio; 92), 2010 (1997), p. 55
Jan Cossiers, Prometeo ruba il
fuoco, XVII sec.
http://it.wikipedia.org/wiki/Prometeo#/m
edia/File:Jan_Cossiers_-
_Prometheus_Carrying_Fire.jpg

7
Uno sguardo più vicino: la «sterilizzazione»
dell’esperienza concreta
«il problema del vecchio mandarino»
«ricordi quel passo in cui [Rousseau,
n.d.r.] domanda al lettore che cosa
farebbe se potesse arricchirsi uccidendo
in Cina, con un semplice atto di volontà,
un vecchio mandarino, senza muoversi da
Parigi?».
-> HONORÈ DE BALZAC, Le père Goriot, tr. it. di Giorgio Cingoli, Papà
Goriot (I narratori del realismo; 35), 1961 (1834), pp. 126-127
[Domanda di Eugène de Rastignac all’amico Horace Bianchon]
-> HENNING RITTER, Nahes und fernes Unglück. Versuch
über das Mitleid, tr. it. di Marco Rispoli, Sventura lontana.
Saggi sulla compassione, Milano, Adelphi (Saggi. Nuova
serie; 55), 2007 (2004)
<(1)/>

8
<(2) Il problema dell’informazione: Concetto generale di «informazione» -> «Filosofia dell’Informazione»
https://www.cogecopeer1.com/services/connectivity-ethernet-services/map-of-the-internet/
… ma allora cosa è l’informazione?
Che significato (in senso teoretico) ha?
Nell’informatica più che
mai, la «mappa» non è il
«territorio» …

9
… in cerca di uno statuto ontologico per
l’«informazione»…
Where is the Life we have lost in living?
Where is the wisdom we have lost in knowledge?
Where is the knowledge we have lost in information?
The cycles of Heaven in twenty centuries
Bring us farther from GOD and nearer to the Dust.
T. S. Eliot, The Rock (1934)
Frank Vincent Zappa, "Packard Goose,"
in Joe's Garage (California: Zappa
Records, 1979).
Information is not knowledge,
knowledge is not wisdom,
wisdom is not truth,
truth is not beauty,
beauty is not love,
love is not music,
music is THE BEST …

10
Tre concezioni di “informazione”:
(1)“information as reality” (technological information)
Es: segnale elettrico, trasmesso a prescindere dal contenuto
veicolato
(2) “information about reality” (natural information)
Es: contenuti relative a fenomeni naturali, che possono essere
veri o falsi (assumere un valore “aletico”)
(3) Information for reality” (cultural information)
Es: istruzioni o algoritmi forniti a uno o più destinatari
Antecedenti nella “teoria
della comunicazione”
-> technical information
-> semantic information
-> influential information
-> W. Weaver, The Matemathics of Communication, Scientific American 181 (1949), 11-15
-> Floridi, Luciano (a cura di), The Onlife Manifesto. Being Human in a Hyperconnected Era, Cham, Springer International Publishing (Open
Access), 2015

11
Floridi, Luciano (a cura di), The Onlife Manifesto. Being Human in a
Hyperconnected Era, Cham, Springer International Publishing (Open Access, 2015.
https://ec.europa.eu/digital-agenda/en/onlife-manifesto.
Secondo la «Filosofia dell’Informazione»,
l’informatica costituisce un contesto
tecnologico nuovo, che richiede:
«(i) a new philosophy of nature,
(ii) a new philosophical anthropology,
(iii) a synthetic environmentalism as
a bridge between us and the world,
and
(iv) a new philosophy of politics
among us»
-> Floridi, Hyperhistory and the Philosophy of Information
Policies. In: Floridi, L. (Ed.), The Onlife Manifesto, (p. 54).

12
La «filosofia della natura» nella «filosofia dell’Informazione»
La «infosfera» (aspetto epistemologico), due accezioni (Floridi)
(1) logica «it denotes the whole informational environment
constituted by all informational entities (thus including
information agents as well), their properties, interactions,
processes, and mutual relations»;
(2) ontologica «it is a concept that, given an informational
ontology, can also be used as a synonymous with reality, or
Being».
-> Noosfera (Teilhard de Chardin)
-> Biosfera (Vernadsky)
http://futurama.wikia.com/wiki/Infosphere

13
La «antropologia filosofica» nella «filosofia dell’Informazione»
l’ uomo come «inforg»
«informational organisms living and interacting with other
informational agents in the infosphere»
Floridi, The Onlife Manifesto, cit., p. 54.
«connected informational organisms»
Floridi, Internet: Which Future for Organized Knowledge, Frankenstein or
Pygmalion?, in «The Information Society», 12 n. 1 (1996), pp. 5-16; ID, A look into the
future impact of ICT on our lives (preprint), in «The Information Society», (2007), pp.
1-14.
homo poieticus: «a demiurge, who takes care of reality,
today conceptualized as the infosphere, to protect it and
make it flourish»
Floridi, The Ethics of Information, London, Oxford University Press, 2013, p. 175.
https://twitter.com/floridi/status/643786625454080000

14
L’ambientalismo informatico nella «filosofia dell’informazione»
«natura» come ordine
cosmologico
«sistema» come
costruzione razionale
Costruzione di una sfera
«juxta propria principia»
Limite come
vincolo da
riconoscere
Limite come
costrizione da
rimuovere
Limite come
antitesi da
superare
continuamente

15
-> Baran, Paul, On Distributed Communications
Networks: RAND, 1962, P-2626, p. 5
Technological networks
-> Milgram, Stanley, The Small-World
Problem, in «Psychology Today», I n.
1 (1967), pp. 61-67
Social networks
Semantic connections
http://www.touchgraph.com/seo/launch?q=uniud (Java)
-> BLACKMORE, SUSAN, The meme
machine, New York, Oxford University
Press, 1999
La «semantica politica» nella «filosofia dell’informazione»»
<(2)/>
La società come «rete di connessioni semantiche»

16
<(3) Il problema della «Società dell’Informazione»: Il modello tecnocratico di convivenza adottato nella UE>
Evoluzione della «Società dell’Informazione»
(1) dagli inizi degli anni Settanta al 1993
‘infrastruttura tecnologica’, insieme di servizi di carattere
tecnologico
(2) dal 1993 al 1999:
Modello economico fondato sulla teoria della crescita
endogena o dell’’innovazione’
(3) dal 1999 ad oggi
Modello di convivenza sociale in cui l’innovazione è posta
come vero e proprio obiettivo politico
«Innovation is, above all, a social phenomenon»
(Gren paper on Innovation, 1994, UE, pag. 4)
Laurent Beslay, "Digital Territory: Bubbles," European Visions for the Knowledge
Age. (2007).

17
Attuale configurazione della «Società dell’Informazione» nella UE
https://ec.europa.eu/jrc/en/science-area/information-society
https://ec.europa.eu/commission/index_en
“The Digital Single Market strategy aims to open up digital opportunities for people and
business and enhance Europe's position as a world leader in the digital economy”
L’obiettivo del «digital single market»

18
In questo contesto l’informazione è l’unico valore (in quanto dato,
ovvero organizzazione sociale, ovvero asset economico)
“data economy” = 257 miliardi € (2014) = 1,85% PIL della UE
= 272 miliardi € (2015) = 1,87% PIL della UE
= 643 miliardi € (2020) = 3,17% PIL della UE (stima)
Definizione: “an ecosystem of different types of market players – such as manufacturers, researchers and
infrastructure providers – collaborating to ensure that data is accessible and usable. This enables the
market players to extract value from this data, by creating a variety of applications with a great potential to
improve daily life (e.g. traffic management, optimisation of harvests or remote health care)”.
(COM (2017)9 final, pag. 2.
L’obiettivo politico del «digital single market» e le sue implicazioni

19
<(3)/>
Il valore del «dato» e
dell’informazione deve
essere difeso.
Questa è la ragione
dell’importanza strategica della
sicurezza informatica
https://www.enisa.europa.eu/
Ma da chi e contro chi bisogna
«difendere» l’ecosistema
informativo europeo? Chi
minaccia la nostra «infosfera»?

20
-> Gödel, Kurt, Über formal
unentscheidbare Sätze der
Principia Mathematica und
verwandter Systeme I, in
«Monatshefte für Mathematik»,
38 n. 1 (1931), pp. 173-198
Bisogna riconoscere che dal punto di vista matematico non
esistono sistemi «perfetti» …
<(4) Il problema della nozione di «sicurezza informatica»: Cosa si intende per «sicurezza» in ambito tecnologico>
La sicurezza informatica non è
una questione meramente
tecnologica, ma teoretica

21
Fort Knox (Kentucky)
Noi tutti siamo abituati a pensare alla
sicurezza in termini assoluti …
…ma non è concepibile un
sistema informatico che sia
sempre «sicuro» …
… sicché la «sicurezza informatica»
oggi può essere configurata solo in
termini di «gestione del rischio
informatico»
… E nemmeno dal punto di vista pratico …

22
Di conseguenza il concetto di sicurezza informatica si coniuga in
alcuni requisiti che il sistema di controllo deve osservare
-> J. H. Saltzer e M. D. Schroeder, The protection of
information in computer systems, in «Proceedings of
the IEEE», 63 n. 9 (1975), pp. 1278-1308.
-> Barbara Guttman e Edward A. Roback, An
Introduction to Computer Security: The Nist
Handbook, , Washington, Diane Publishing, 1995.
“CIA TRIAD”
(1) Confidentiality
(2) Integrity
(3) Availability
“Information Assurance
and Security (IAS) octave”
+
(4) Accountability
(5) Auditability
(6) Authenticity/Trustworthiness
(7) Non-repudiation
(8) Privacy
-> YULIA CHERDANTSEVA E JEREMY HILTON, A Reference Model of
Information Assurance and Security, Eight International Conference on
Availability, Reliability and Security (ARES 2013), IEEE (ed.), 2013, pp.
546-555.
.. E la nozione si è
evoluta nel tempo
(seguendo le
tecnologie)

23
-> Alter, Steven, Defining information systems as work systems: implications for the
IS field, in «European Journal of Information Systems», 17 n. 5 (2008), pp. 448-469
Sono diversi ed eterogenei i fattori da considerare della
sicurezza informatica delle organizzazioni sociali
(1) information (data)
(2) people
(3) business processes (procedures)
(4) hardware
(5) software
(6) networks
Di conseguenza il concetto di sicurezza informatica si coniuga in
alcuni requisiti che il sistema di controllo deve osservare

24
-> Thomson, Kerry-Lynn e Rossouw von Solms, Information security
obedience: a definition, in «Computers & Security», 24 n. 1 (2005), pp. 69-75
(A) Decisioni aziendali in tema di sicurezza
(B) Pratica dei dipendenti, precauzioni effettivamente adottate
(C) Coinvolgimento dei dipendenti da parte del management
(D) «policy» di sicurezza informativa stabilita dal management ed
applicata da tutto il personale
Bisogna notare che in tutti i modelli teorici
l’elemento umano è sempre presente
<(4)/>

25
<(5) Cyberwar / terrorismo informatico>
https://en.wikipedia.org/wiki/The_Art_of_War#/media/File:Bam
boo_book_-_closed_-_UCR.jpg
La conoscenza di dati altrui è da
sempre una risorsa strategica.
Altrettanto importante è il
controllo delle notizie che
giungono agli altri.
-> Capitolo XIII: utilizzo di spie
Oggi l’informazione in
quanto tale è divenuta
un’arma, la più sofisticata

26
ARPANET -> MILNET -> NIPRNET
-> CRONOS (NATO)
-> INTERNET
<(5) Cyberwar / terrorismo informatico>
La valenza strategica delle comunicazioni elettroniche è stata
subito valorizzata.
Joseph Carl Robnett Licklider, Memorandum For Members and Affiliates of the
Intergalactic Computer Network: ARPA, 1963, p. 69.
Http://en.wikipedia.org/wiki/File:InetCirca85.jpg.

27
Alcune delle tecnologie
dell’informazione (come la
crittografia) sono
considerate come
tecnologie «dual use» alla
stregua di armi da guerra
http://www.wassenaar.org/

28
La «guerra cibernetica» oggi è
una realtà
Il primo attacco bellico risale
in effetti al 2007
La NATO ha previsto
specifiche procedure e
apparati organizzativi
-> MANUALE DI TALLINN
https://en.wikipedia.org/wiki/2007_cyberattacks_on_Estonia
https://ccdcoe.org/tallinn-manual.html

29
La situazione è ancora più delicata
se si pensa all’«industria 4.0» ed
alla «Internet of Things»
Milioni di dispositivi
interconnessi possono
essere presi di mira ed
utilizzati per compiere
attacchi contro obiettivi
sensibili
https://en.wikipedia.org/wiki/Internet_of_things#/media/File:In
ternet_of_Things.jpg

30
L’Unione Europea adotta un approccio improntato alla
«resilienza»
- Drettiva "NIS" (UE) 2016/1148 del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione
- Raccomandazione del 13.9.2017, C(2017) 6100 final, programma per una risposta coordinata a crisi di cibersicurezza su vasta scala (azioni
coordinate tra ENISA, CSIRT nazionali, CERT-UE)
- Risoluzione del Parlamento europeo del 3 ottobre 2017 sulla lotta alla criminalità informatica (2017/2068(INI))
- Council Conclusions on the Joint Communication to the European Parliament and the Council: Resilience, Deterrence and Defence: Building strong
cybersecurity for the EU - Council conclusions (20 November 2017)
«la capacità di un materiale di autoripararsi
dopo un danno o di una comunità (o
sistema ecologico) di ritornare al suo
stato iniziale dopo essere stata sottoposta
a una perturbazione che l'ha allontanata
da quello stato»
Wikipedia

31
Anche l’Italia si è dotata di un sistema di difesa «cibernetico»
Tutte le P.A. devono adottare specifiche misure di sicurezza per prevenire attacchi informatici
Fonti giuridiche:
- L. 3 agosto 2007, n. 124, Sistema di
informazione per la sicurezza della
Repubblica e nuova disciplina del segreto,
- Direttiva P.C.M. 1° agosto 2015
- D.P.C.M. 17 febbraio 2017, Direttiva
recante indirizzi per la protezione
cibernetica e la sicurezza informatica
nazionali,
- Piano nazionale per la protezione
cibernetica e la sicurezza informatica
(marzo 2017)
- Circolare AgID 18 aprile 2017 «Misure
minime di sicurezza ICT per le P.A.»
Standard tecnici
Controlli SANS20 -> CIS 6.0 (ottobre 2015)
<(5)/>

32
FONTI PRINCIPALI IN TEMA DI CRIMINALITA’ INFORMATICA
(1) principi fondamentali
- principio di legalità
- principio di tipicità delle fattispecie e delle sanzioni (art. 1 e art. 199 C.P.).
- principio di specialità
- divieto di analogia «in malam partem» Art. 14 Disp. Prel. C.C.).
(2) Legge 23 dicembre 1993 n. 547, Modificazioni ed integrazioni alle norme del codice penale e del codice di
procedura penale in tema di criminalità informatica, in G. U. n. 305 del 30 dicembre 1993
-> criminalità informatica (computer crimes // cybercrimes)
(3) Legge 18 marzo 2008, n. 48, Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità
informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno, in G. U. n. 80
del 4 aprile 2008 - Supplemento ordinario n. 79
-> estensione delle fattispecie penali alle firme elettroniche, introduzione di disposizioni sulla forensics
«Computer crimes» e «Cyber crimes» sono due cose diverse
<(6) Criminalità informatica: Computer crimes e cyber crimes

33
Qui vale la pena concentrarsi su tre reati piuttosto comuni
(e poco conosciuti)
(1) Accesso abusivo
(2) Sostituzione di persna
(3) Diffamazione

34
Articolo 615 Ter Codice Penale
Accesso abusivo ad un sistema informatico o telematico.
[I]. Chiunque abusivamente si introduce in un sistema informatico o telematico protetto
da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha
il diritto di escluderlo, è punito con la reclusione fino a tre anni.
[II]. La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione
dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusiva-mente la professione di investigatore privato, o con
abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento ovvero
la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
[III]. Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine
pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è,
rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni (2).
[IV]. Nel caso previsto dal primo comma il delitto è punibile a querela della persona
offesa; negli altri casi si procede d'ufficio.
(1) l’accesso abusivo

35
Cassazione penale, sez. un., 27/10/2011, n. 4694
Integra il delitto previsto dall'art. 615 ter c.p. colui che, pur essendo abilitato, acceda o si mantenga
in un sistema informatico o telematico protetto violando le condizioni ed i limiti risultanti dal
complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente
l'accesso, rimanendo invece irrilevanti, ai fini della sussistenza del reato, gli scopi e le finalità
che abbiano soggettivamente motivato l'ingresso nel sistema.
Cassazione penale, sez. V, 28/10/2015, n. 13057
Integra il reato di cui all'art. 615 ter cod. pen. la condotta di colui che accede abusivamente all'altrui
casella di posta elettronica trattandosi di una spazio di memoria, protetto da una password
personalizzata, di un sistema informatico destinato alla memorizzazione di messaggi, o di informazioni
di altra natura, nell'esclusiva disponibilità del suo titolare, identificato da un account registrato presso il
provider del servizio (In motivazione la Corte di cassazione ha precisato che anche nell'ambito del
sistema informatico pubblico, la casella di posta elettronica del dipendente, purché protetta da una
password personalizzata, rappresenta il suo domicilio informatico sicché è illecito l'accesso alla
stessa da parte di chiunque, ivi compreso il superiore gerarchico).
(1) l’accesso abusivo

36
Articolo 494 Codice Penale
Sostituzione di persona
Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno,
induce taluno in errore, sostituendo illegittimamente la propria all'altrui persona, o
attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la
legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la
fede pubblica, con la reclusione fino ad un anno.
(2) La sostituzione di persona

37
Il Piccolo
(2) La sostituzione di persona
•Cassazione penale sez. V 28/11/2012 n.18826
•in Cassazione Penale 2014, 1, 142 (s.m.) (nota di:
MENGONI; STAMPANONI BASSI)
•Integra il delitto di sostituzione di persona la condotta di
chi inserisca nel sito di una “chat line” a tema erotico il
recapito telefonico di altra persona associato ad un
“nickname” di fantasia, qualora abbia agito al fine di
arrecare danno alla medesima, giacché in tal modo gli
utilizzatori del servizio vengono tratti in inganno sulla
disponibilità della persona associata allo pseudonimo a
ricevere comunicazioni a sfondo sessuale.

38
(3) La diffamazione
Articolo 595 Diffamazione.
[I]. Chiunque, fuori dei casi indicati nell'articolo precedente, comunicando con più persone
offende l'altrui reputazione, è punito con la reclusione fino a un anno o con la multa fino a
1.032 euro.
[II]. Se l'offesa consiste nell'attribuzione di un fatto determinato, la pena è della reclusione
fino a due anni, ovvero della multa fino a 2.065 euro (1).
[III]. Se l'offesa è recata col mezzo della stampa [57-58-bis, 596-bis] o con qualsiasi altro
mezzo di pubblicità [615-bis], ovvero in atto pubblico [2699 c.c.], la pena è della reclusione
da sei mesi a tre anni o della multa non inferiore a 516 euro.
[IV]. Se l'offesa è recata a un Corpo politico, amministrativo o giudiziario, o ad una sua
rappresentanza, o ad una Autorità costituita in collegio [342], le pene sono aumentate [64,
596-599].

39
(3) La diffamazione
I limiti della diffamazione -> il «decalogo dei giornalisti»
Cassazione civile sez. I, 18 ottobre 1984 n. 5259
Il diritto di stampa, e cioè la libertà di diffondere attraverso la stampa notizie e commenti, sancito in linea di principio dall'art. 21
cost. e regolato dalla l. 8 febbraio 1948 n. 47, è legittimo quando concorrono le seguenti tre condizioni: a) utilità sociale
dell'informazione; b) verità (oggettiva o anche soltanto putativa, purché frutto di un serio e diligente lavoro di ricerca) dei fatti
esposti, che non è rispettata quando, pur essendo veri i singoli fatti riferiti, siano, dolosamente o anche soltanto colposamente,
taciuti altri fatti, tanto strettamente ricollegabili ai primi da mutarne completamente il significato; c) forma civile
dell'esposizione dei fatti e della loro valutazione, cioè non eccedente rispetto allo scopo informativo da conseguire, improntata
a serena obiettività almeno nel senso di escludere il preconcetto intento denigratorio e, comunque, in ogni caso rispettosa di
quel minimo di dignità cui ha sempre diritto anche la più riprovevole delle persone, sì da non essere mai consentita l'offesa
triviale o irridente i più umani sentimenti.
La forma della critica non è civile quando non è improntata a leale chiarezza, quando cioè il giornalista ricorre al sottinteso
sapiente, agli accostamenti suggestionanti, al tono sproporzionatamente scandalizzato e sdegnato o comunque all'artificiosa e
sistematica drammatizzazione con cui si riferiscono notizie neutre, alle vere e proprie insinuazioni. In tali ipotesi l'esercizio del
diritto di stampa può costituire illecito civile anche ove non costituisca reato.

40
<(6) Conclusioni>
«Minha alma é uma orquestra oculta; não sei que instrumentos tangem e
rangem, cordas e harpas, tímbales e tambores, dentro de mim. Só me
conheço como sinfonia»
[La mia anima e un’orchestra occulta; non so quali strumenti suonano e stridono, corde e
arpe, timpani e tamburi, dentro di me. Mi conosco solo come sinfonia]
Fernando Pessoa e Maria José de Lancastre, Livro do Desasocego, Il libro dell’inquietudine di Bernardo Soares, Milano, Feltrinelli, 1997
(2010), p. 3.
Il naturalismo come espressione dell’inquietudine contemporanea.
Il controllo come surrogato dell’equilibrio naturale.

41
<(7) Conclusioni>
Grazie per l’attenzione
Federico Costantini
[name].[surname]@uniud.it

42
(1) art. 12 Dichiarazione Universale dei Diritti dell’Uomo del 1948;
Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua
famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione.
Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni.
(2) art. 8 c. 1 Convenzione per la salvaguardia dei Diritti dell'Uomo e delle Libertà fondamentali del 1950,
ratificata con L. 4/8/1955, n. 848;
Articolo 8 Diritto al rispetto della vita privata e familiare
(1) Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e
della propria corrispondenza.
(2) Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale
ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria
alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine
e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e
delle libertà altrui.
(3) Art. 17, Patti internazionali sui diritti dell'Uomo, adottati dall'Assemblea Generale delle Nazioni Unite il 16
dicembre
1966 ed entrati in vigore nel corso del 1976
1. Nessuno può essere sottoposto ad interferenze arbitrarie o illegittime nella sua vita privata, nella
sua famiglia, nella sua casa o nella sua corrispondenza, né a illegittime offese al suo onore e alla sua
reputazione.
2. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze od offese.

43
(4) Convenzione del Consiglio d’Europa n. 108/1981 sulla protezione delle persone rispetto al trattamento
automatizzato
di dati di carattere personale – c.d. Convenzione di Strasburgo – ratificata con L. 21/2/1989, n. 98)
(5) artt. 7 e 8, Carta dei diritti Fondamentali dell’Unione Europea; vincolante per l’Italia ai sensi dell’art. 6 c. 1
Trattato sull’Unione Europea, ratificato con L. 2/8/2008, n. 130).
Articolo 7 Rispetto della vita privata e della vita familiare.
Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle
sue comunicazioni.
Articolo 8 Protezione dei dati di carattere personale
(1) Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.
(2) Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al
consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo
ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.
(3) Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente.

44
Regime protezione dati personali D.Lgs. 196/2003

45
<(3) «focus» sugli aspetti problematici>
Interessato Titolare
Garante
Trattamento dati
Consenso
Autorizzazione
Consenso non previsto
Accesso al registro
Comunicazione
Schema del GDPR
DATA
PRTECTION
OFFICER

46
(3.2) Dati personali, adempimenti ex Regolamento UE 679/2016
(2) Novità del GDPR in sintesi
(1) Previsione espressa del «diritto all’oblio»
(2) Trasparenza -> GUIDELINES WP29 260
(3) Portabilità dei dati personali (cambio di provider)
(4) Diritto di notifica in caso di «data breach» (72 ore)
(5) «valutazione di impatto» per dati di particolare importanza -> GUIDELINES WP29 248
(6) Privacy by design / by default
(7) Data Protection Officer («competenze» > «titoli») -> GUIDELINES WP29 243, FAQ
(8) Codici di autodisciplina / certificazioni delle misure di sicurezza
(9) Sanzioni (molto elevate)

47
Novità del GDPR in sintesi -> la «valutazione di impatto» (art. 35 GDPR)
Linee guida WP29, pag. 6
Schema
processo
DPIA

48
(3.2) Dati personali, adempimenti ex Regolamento UE 679/2016
Novità del GDPR in sintesi -> la «valutazione di impatto» (art. 35 GDPR)
«Lo svolgimento della
DPIA è un processo
continuativo e non
un’attività una tantum».
ATTENZIONE!
-> WRIGHT, D., Making Privacy Impact Assessment More Effective, in «Information
Society», 29 n. 5 (2013), pp. 307-315

49
Novità del GDPR in sintesi -> le sanzioni
Le sanzioni amministrative pecuniarie sono disciplinate in modo «composito»,
distinguendosi:
(1) Criteri
(2) Prescrizioni
(3) Sanzioni

50
(1) Criteri (oltre che «effettive», «proporzionate», «dissuasive»)
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o la finalità del trattamento in
questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e
organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
f) il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del
trattamento o il responsabile del trattamento ha notificato la violazione;
i) qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del
trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
j) l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi
dell'articolo 42; e
k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le
perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
Oggettivi
Soggettivi
Organizzativi
Estrinseci
Rimediali

51
(2) Prescrizioni e (3) Sanzioni
(§.4) a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli
articoli 8, 11, da 25 a 39, 42 e 43;
b) gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43;
c) gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4;
(§. 4) sanzioni amministrative
pecuniarie fino a 10 000 000
EUR, o per le imprese, fino al
2 % del fatturato mondiale
totale annuo dell'esercizio
precedente, se superiore
(§. 5) a) i principi di base del trattamento, comprese le condizioni relative al consenso, a
norma degli articoli 5, 6, 7 e 9;
b) i diritti degli interessati a norma degli articoli da 12 a 22;
c) i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione
internazionale a norma degli articoli da 44 a 49;
d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo
IX;
e) l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un
ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58,
paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.
(§. 6) l'inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58,
paragrafo 2,
(§. 6) sanzioni
amministrative pecuniarie
fino a 20 000 000 EUR, o
per le imprese, fino al 4 %
del fatturato mondiale totale
annuo dell'esercizio
precedente, se superiore
(§. 7) estensione alle
istituzioni pubbliche

20180220 PROFILI GIURIDICI DELLA SICUREZZA INFORMATICA NELL’INDUSTRIA 4.0

Recommended

Recommended

More Related Content

What's hot

What's hot (8)

Similar to 20180220 PROFILI GIURIDICI DELLA SICUREZZA INFORMATICA NELL’INDUSTRIA 4.0

Similar to 20180220 PROFILI GIURIDICI DELLA SICUREZZA INFORMATICA NELL’INDUSTRIA 4.0 (20)

More from Federico Costantini

More from Federico Costantini (20)

20180220 PROFILI GIURIDICI DELLA SICUREZZA INFORMATICA NELL’INDUSTRIA 4.0