Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT

401 views

Published on

Workshop - Provincia di Bergamo, ANAI Lombardia, Comune di Nembro, ANORC
"I servizi forniti dal CST Centro Servizi Territoriali della Provincia di Bergamo"
4 giugno 2013, ore 9.00 – 13.00, Bergamo, Spazio Viterbi
"Sistemi di sicurezza e protezione dei dati personali", Franco Cardin, direttivo ANORC e coordinatore nazionale ABIRT
Programma: https://dl.dropboxusercontent.com/u/21632223/Archiviando/2%5E%20WS%20Provincia%20BG%20Disaster%20recovery.pdf
Fotografie: https://picasaweb.google.com/117290793877692021380/ConstinuitaOperativaEDisasterRecovery?authuser=0&feat=directlink
Videoregistrazione intervento: https://vimeo.com/album/2442466/video/69401702

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
401
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT

  1. 1. 1Sistemi di sicurezza e protezionedei dati personaliFranco Cardin – Bergamo 4 giugno2013
  2. 2. 2Digitalizzazione & protezione deidati personali da un’attenta lettura del CAD, si desume chiaramenteche la conoscenza della disciplina in materia diprotezione dei dati personali è una premessafondamentale e imprescindibile per la correttaapplicazione delle disposizioni legislative in essocontenute;  nel CAD, infatti, ci sono 22 richiami alla normativavigente in materia di protezione dei dati personali ed èprevisto, per l’emanazione di 11 provvedimentiattuativi, il ricorso obbligatorio al parere del Garanteper la privacy;
  3. 3. 3Art. 2, comma 5, del CAD “Finalitàe ambito di applicazione“Le disposizioni del presente codice si applicano nelrispetto della disciplina rilevante in materia di trattamentodei dati personali e, in particolare, delle disposizioni delcodice in materia di protezione dei dati personali approvatocon decreto legislativo 30 giugno 2003, n. 196. I cittadini ele (imprese?) hanno, comunque, diritto di ottenere che iltrattamento dei dati effettuato mediante l’uso di tecnologietelematiche sia conformato al rispetto dei diritti e dellelibertà fondamentali, nonché della dignità dell’interessato”
  4. 4. 4Requisiti per la conservazione deidocumenti informatici (art. 44, comma 1,del CAD)Il sistema di conservazione dei documenti informaticiassicura:L’identificazione certa del soggetto che ha formato ildocumento e dell’amministrazione o dell’AOO diriferimento;L’integrità del documento;La leggibilità e l’agevole reperibilità dei documenti edelle informazioni identificative, inclusi i dati diregistrazione e di classificazione originari;Il rispetto delle misure di sicurezza previste dagli articolida 31 a 36 del D.Lgs 196/03 e dall’allegato B) allo stesso;
  5. 5. 5Requisiti per la conservazione deidocumenti informatici (art. 44, comma 1-bis, del CAD)Il sistema di conservazione dei documentiinformatici è gestito da un responsabile cheopera d’intesa con:il responsabile del trattamento dei dati personalidi cui all’art. 29 del D.Lgs. 196/03;il responsabile del servizio per la tenuta delprotocollo informatico, della gestione dei flussidocumentali e degli archivi di cui all’art. 61 delDPR 445/2000;
  6. 6. Per la conservazione digitale dei dati e deidocumenti informatici bisogna definireprocedure coordinate e condivise6Responsabileprotocolloinformatico earchiviResponsabiledeisistemiinformativi
  7. 7. 7Il responsabile della conservazione, tragli altri compiti, deve: Predisporre il piano della sicurezza delsistema di conservazione nel rispetto dellemisure di sicurezza previste dagli artt. da 31 a36 del D.Lgs. 196/03 e dall’allegato B); Predisporre il manuale di conservazione ecurarne l’aggiornamento periodico;
  8. 8. 8Il responsabile del protocollo informatico,tra gli altri compiti, deve:Art. 4 DPCM 31.10.2000 “Regole tecniche per il protocollo informatico”predisporre lo schema del manuale di gestione;predisporre il piano per la sicurezza informatica relativo alla formazionee gestione dei documenti informatici d’intesa con il responsabile deisistemi informativi automatizzati e con il responsabile del trattamento deidati personali, nel rispetto delle misure minime di sicurezza previste dalDPR 318/1999 (ora artt. da 31 a 36 del D.Lgs. 196/03 e allegato B)Questi compiti sono confermati anche nella bozza delle nuove regole tecniche per ilprotocollo informatico in corso di emanazione (reperibili nel sito dell’Agenzia per l’Italia digitale)
  9. 9. Necessità di integrare le policy aziendali sullaqualità e sicurezza dei sistemi di gestioneinformatica dei documenti e dei dati9Manuale digestione delprotocolloinformatico
  10. 10. 10Articolo 51 del CAD – Sicurezza dei dati,dei sistemi e delle infrastrutture dellepubbliche amministrazioni comma 1 – Con le regole tecniche, adottate ai sensidell’articolo 71, sono individuate le modalità chegarantiscono l’esattezza, la disponibilità,l’accessibilità, l’integrità e la riservatezza dei dati, deisistemi e delle infrastrutture; comma 2 – I documenti informatici delle pubblicheamministrazioni devono essere custoditi e controllaticon modalità tali da ridurre al minimo i rischi didistruzione, perdita, accesso non autorizzato o nonconsentito o non conforme alle finalità della raccolta(cfr. art. 31 D.Lgs. 196/03)
  11. 11. 11Il D.Lgs. 196/2003 “Codice in materiadi protezione dei dati personali”ARTICOLO 1Chiunque ha diritto alla protezione dei dati personali che lo riguardano.questo articolo rappresenta un’ importante innovazione rispetto alla precedentedisciplina (L. 675/96 e successive integrazioni) in quanto ha introdotto nel nostroordinamento un nuovo diritto - più forte e autonomo rispetto al più generale dirittoalla riservatezza - appartenente alla sfera dei diritti fondamentali della persona
  12. 12. 12Contestualizzazione del nuovo diritto equalificazione dell’attività di trattamentodei dati personali Il nuovo diritto nasce in un contesto storico dove il patrimonioinformativo di ciascuna persona è tendenzialmente unpatrimonio circolante, destinato ad essere trattato da diversisoggetti per le finalità più varie L’attività di trattamento dei dati personali viene qualificatadall’art. 15 del D.Lgs. 196/03 come attività pericolosa“Chiunque cagiona danno ad altri per effetto del trattamento didati personali è tenuto al risarcimento ai sensi dell’art. 2050 delcodice civile. Il danno non patrimoniale è risarcibile anche incaso di violazione dell’art. 11”
  13. 13. 13Responsabilità civileArt. 2050 del codice civile“Chiunque cagiona danno ad altri nello svolgimento diun’attività pericolosa, per sua natura o per la natura deimezzi adoperati, è tenuto al risarcimento, se non prova diavere adottato tutte le misure idonee a evitare il danno”La responsabilità per l’esercizio di attività pericolose mantiene ,rispetto alla disciplina generale, il presupposto della colpa, masposta l’onere probatorio dal danneggiato al danneggiante(inversione dell’onere della prova)
  14. 14. 14La diversa natura dei datipersonali dati identificativi: i dati personali che permettono l’identificazionediretta dell’interessato; dati sensibili: i dati personali idonei a rivelare l’origine razziale edetnica, le convinzioni religiose, filosofiche o di altro genere e leopinioni politiche, l’adesione a partiti, sindacati, associazioni odorganizzazioni a carattere religioso, filosofico, politico osindacale, lo stato di salute e la vita sessuale; dati giudiziari: i dati personali idonei a rivelare provvedimenti inmateria di casellario giudiziale, di anagrafe delle sanzioniamministrative dipendenti da reato e dei relativi carichi pendenti,o la qualità di imputato o di indagato;
  15. 15. 15La definizione di trattamentoqualunque operazione o complesso di operazioni, effettuateanche senza l’ausilio di strumenti elettronici, concernenti laraccolta, la registrazione, l’organizzazione, la conservazione,la consultazione, l’elaborazione, la modificazione, la selezione,l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco,la comunicazione, la diffusione, la cancellazione e ladistruzione di dati, anche se non registrati in una banca di dati
  16. 16. 16Requisiti e modalità didesignazione del responsabile deltrattamento designazione facoltativa; se designato, il responsabile deve essere individuato tra soggettiche per esperienza, capacità ed affidabilità forniscano idoneagaranzia del pieno rispetto delle vigenti disposizioni in materia ditrattamento, ivi compreso il profilo relativo alla sicurezza; affidamento per iscritto di compiti analiticamente specificati; effettuazione dei trattamenti attenendosi alle istruzioni impartitedal titolare; vigilanza del titolare, anche tramite visite periodiche, sullapuntuale osservanza dei compiti e delle istruzioni.Culpa in eligendo e culpa in vigilando
  17. 17. 17Sicurezza dei dati e dei sistemi:principi e garanzie Riservatezza – garanzia che l’accesso ai dati siaconsentito solo ai soggetti legittimati; Integrità – garanzia che la modifica dei dati vengaeffettuata solo da parte dei soggetti autorizzati Disponibilità – garanzia che il sistema e i dati sianoaccessibili e utilizzabili con continuità Autenticità – garanzia che la fonte dei dati siaattendibile.
  18. 18. 18Sicurezza dei dati e dei sistemi:potenziali criticità Comportamenti errati Organizzazione carente Logistica inadatta Errori del software Vulnerabilità
  19. 19. 19Sicurezza dei dati e dei sistemi: le diversetipologie delle misure di sicurezza Misure di tipo organizzativo (es. designazione deiresponsabili e incaricati, formazione, linee guida); Misure di tipo fisico (es. ingressi controllati dei localidi custodia degli archivi e dei server); Misure di tipo logico (es. autenticazione incaricati,antivirus, firewall, cifratura dei dati)
  20. 20. 20Sicurezza dei dati e dei sistemi: misureidonee e preventive (art. 31 D.Lgs. 196/03)alle conoscenzeacquisite in base alprogresso tecnicoalla naturadei dati personali trattatialle caratteristichedel trattamentoI dati personali oggetto di trattamento sono custoditi e controllatianche in relazione:in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure disicurezza, i rischi di:distruzionee perdita ancheaccidentaleaccessonon autorizzatotrattamentonon consentitodalla leggetrattamento nonconforme alle finalità
  21. 21. 21Sicurezza dei dati e dei sistemi:misure minime (art. 33 D.Lgs. 196/03)Nel quadro dei più generali obblighi di sicurezza di cuiall’art. 31, o previsti da speciali disposizioni, i titolari deltrattamento sono comunque tenuti ad adottare le misureminime individuate nel presente capo, volte adassicurare un livello minimo di protezione dei datipersonali
  22. 22. 22Misure minime per i trattamenti effettuati construmenti elettronici (art.34 D.Lgs. 196/03)autenticazione informatica e adozione di procedure di gestione delle credenziali diautenticazione;utilizzazione di un sistema di autorizzazione;aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito aisingoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, adaccessi non consentiti e a determinati programmi informatici;adozione di procedure per la custodia di copie di sicurezza, il ripristino delladisponibilità dei dati e dei sistemiadozione di tecniche di cifratura o di codici identificativi per determinati trattamenti didati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
  23. 23. 23Responsabilità in caso di mancataadozione delle misure di sicurezzaMisure di sicurezzaresponsabilità civile(art. 15 del codice)Responsabilità amministrativae penale (artt. 162 e 169 del codice)idoneeminimeart. 2050 c.c. ravvedimento operoso
  24. 24. 24Deliberazione del Garante 11/10/2012,n. 280 “Protocollo informatico eprotezione dei dati personali” 1/2 Una dipendente dell’ENAC segnala al Garante che i dipendentidella direzione aeroportuale di Milano, sono venuti a conoscenza diuna contestazione disciplinare rivoltale, attraverso alcuneregistrazioni di protocollo riportanti nell’oggetto il nome e cognomee i motivi dell’addebito; Nel record delle registrazioni era inoltre presente in formatotestuale le stesse lettere di contestazione; A seguito delle verifiche effettuate è emerso che il modello diprofilatura degli utenti del sistema di protocollo informatico adottatoda ENAC, consentiva a tutti i dipendenti della direzione diconsultare in maniera indistinta il registro di protocolloindipendentemente dalle mansioni svolte;
  25. 25. 25Deliberazione del Garante 11/10/2012,n. 280 “Protocollo informatico eprotezione dei dati personali” 2/2Il Garante ordina a ENAC:di riconfigurare l’accesso al registro del protocollo informatico inmodo da differenziare la visualizzazione dei documenti e dei fascicoliinerenti al personale ai soli dipendenti incaricati alle attività di gestionedelle risorse umane;di svolgere un’attività di formazione rivolta al personale abilitato alprotocollo informatico illustrandone compiutamente le funzionalità e leimplicazioni in materia di protezione dei dati personali;Il Garante, inoltre, ha trasmesso il provvedimento alla magistraturaper le valutazioni di competenza;
  26. 26. Provvedimento del Garante n. 73del 23 febbraio 2012 1/2 Il Comune di Veronella pubblica all’albo pretorio on line per più di 15 giorni, unadelibera contenente alcuni dati personali di una residente (nome e cognome ,indirizzo di residenza, numero e dispositivo della sentenza della Commissionetributaria provinciale); Il Garante evidenzia che:- nelle ipotesi in cui specifiche disposizioni di settore individuino determinatiperiodi di tempo per la pubblicazione di atti e provvedimenti amministrativi(es., art. 124, d.lgs. n. 267/2000) i soggetti pubblici sono tenuti ad assicurareil rispetto dei limiti temporali previsti, rendendoli accessibili sul proprio sitoweb durante il circoscritto ambito temporale individuato dalle disposizioninormative di riferimento, anche per garantire il diritto alloblio degli interessati;- trascorsi i predetti periodi di tempo specificatamente individuati, determinatenotizie, documenti o sezioni del sito devono essere rimossi dal web o privatidegli elementi identificativi degli interessati26
  27. 27. Provvedimento del Garante n. 73del 23 febbraio 2012 2/2Il Garante - riservandosi di valutare, con separato provvedimento, gli estremi percontestare al Comune di Veronella la violazione amministrativa prevista dall’art. 162,comma 2-bis del Codice e considerata l’impregiudicata facoltà dell’interessata di farvalere i propri diritti in sede civile ai sensi dell’art. 15 dello stesso - ritenuto illecito iltrattamento dei dati effettuato dal Comune di Veronella: vieta al Comune di Veronella di diffondere ulteriormente in internet – siaattraverso la pubblicazione nellalbo pretorio online che in qualsiasi altra area delsito web istituzionale – i dati personali della residente; prescrive al Comune di Veronella, di apportare gli opportuni accorgimenti affinchéle modalità di pubblicazione delle deliberazioni contenenti dati personali sul sito webistituzionale e, in particolare, sullalbo pretorio online rispettino le indicazionicontenute nel provvedimento del 2 marzo 2011 recante le "Linee guida in materia ditrattamento di dati personali contenuti anche in atti e documenti amministrativi,effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web”;27
  28. 28. Cassazione civile , sez. I,sentenza 13.02.2012, n. 20341/2 La vicenda trae origine dalla pubblicazione sull’Albo pretorio di unComune di un provvedimento amministrativo di diniego diriconoscimento di causa di servizio, già espresso dalla Commissione diverifica, contenente oltre che i dati identificativi del dipendente anche ladiagnosi; La pubblicazione della determinazione amministrativa era avvenuta inmodo tale che chiunque avrebbe potuto leggerne la motivazione edapprendere quindi le informazioni sulla salute del dipendente; La Suprema Corte rileva che le motivazioni del provvedimento sisarebbero potute egualmente esprimere adottando una modalità taleda non renderne possibile la lettura da parte di chiunque, ipotesi,quest’ultima, che aveva creato preoccupazione all’uomo per il “nonsapere quali e quante persone avevano in realtà conosciuto la suasituazione di salute”;28
  29. 29. Cassazione civile , sez. I,sentenza 13.02.2012, n. 20342/2 La Suprema Corte nel far riferimento al principio di cuiall’articolo 11 del D.lgs. 196/03, chiarisce come la pubblicaamministrazione commette illecito se effettua il trattamento di undato personale che risulti eccedente le finalità pubbliche dasoddisfare e, quindi, per chiedere il risarcimento del danno nonpatrimoniale è sufficiente lamentare un patema danimo,essendo “le modalita della divulgazione idonee, gia per sestesse, a dimostrare lesistenza di un pregiudizio”; Con queste motivazioni la Suprema Corte ha convalidato lasentenza di primo grado con la quale il Comune e la dirigenteche aveva adottato la determinazione amministrativa, sono staticondannati al risarcimento di 16.000 euro nei confronti di un suodipendente;29
  30. 30. No ai dati sulla salute dei cittadini sui sitiweb dei Comuni (12/03/2013) Il Garante ha fatto oscurare dai siti web di circa 10Comuni di piccole e medie dimensioni (e altri sono inarrivo) i dati personali contenuti in alcune ordinanze conle quali i sindaci disponevano il trattamento sanitarioobbligatorio per determinati cittadini; Le ordinanze, tra l’altro, erano facilmente reperibili anchesui più usati motori di ricerca, come Google: bastavadigitare il nome e cognome delle persone; Il Garante procederà ad avviare nei confronti dei Comuniinteressati le previste procedure sanzionatorie pertrattamento illecito di dati personali;30
  31. 31. 31Una recente iniziativa diANORCwww.abirt.it
  32. 32. 32Perché ABIRT? perché nell’ambito dell’inarrestabile processo didigitalizzazione, i “responsabili del trattamento”rivestono un ruolo sempre più delicato e strategico; perché la digitalizzazione, considerata la suacomplessità e delicatezza, deve essere affrontata egestita in maniera multidisciplinare; perché una corretta conservazione digitale dei dati e deidocumenti è possibile solo se si garantiscono idonee epreventive misure di sicurezza;
  33. 33. 33La mission di ABIRT rappresentare, sostenere e tutelare i responsabili deltrattamento a livello nazionale; favorire la collaborazione e il confronto tra i responsabilidel trattamento dei dati personali anche attraversol’organizzazione di convegni, seminari, incontri diapprofondimento e corsi di formazione; contribuire all’avvio dell’importante sinergia previstadall’art. 44, comma 1-bis, del CAD tra le due figurecruciali nella corretta gestione informatica dei dati: ilresponsabile della conservazione digitale e ilresponsabile del trattamento dei dati personali;
  34. 34. 34Grazie per l’attenzionePer eventuali approfondimentipotete contattarmi al seguenteindirizzo di posta elettronica:franco.cardin@alice.it

×