Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017

Istituto Deledda (Lecce), 25 gennaio 2017 – Sicurezza dati e privacy (le norme)
Avv. Simone Aliprandi, Ph.D. – Copyright-Italia.it / Array Law Firm
www.copyright-italia.it – www.aliprandi.org – www.array.eu
Docente: Avv. Simone Aliprandi, Ph.D.
Argomenti: Sicurezza dati e privacy (le norme)
Sede: Istituto Deledda (Lecce)
Data: 25 gennaio 2017
Destinatari: Personale Tecnico 2° ciclo

i miei riferimenti in rete:
• Il mio sito web: www.aliprandi.org
• Array Law Firm: www.array.eu
• Blog: http://aliprandi.blogspot.it
• Facebook: www.facebook.com/simone.aliprandi.page/
• Twitter: @simonealiprandi
• LinkedIn: http://it.linkedin.com/in/aliprandi

perché siamo qui
Il Piano Nazionale Scuola Digitale (PNSD) è
il documento di indirizzo del Ministero
dell’Istruzione, dell’Università e della Ricerca
per il lancio di una strategia complessiva di
innovazione della scuola italiana e per un
nuovo posizionamento del suo sistema
educativo nell’era digitale.
È un pilastro fondamentale de La Buona
Scuola (legge 107/2015), una visione
operativa che rispecchia la posizione del
Governo rispetto alle più importanti sfide di
innovazione del sistema pubblico: al centro
di questa visione, vi sono l’innovazione del
sistema scolastico e le opportunità
dell’educazione digitale.*
* tratto da
www.istruzione.it/scuola_digitale/

Riflessioni introduttive
● Rivoluzione digitale...
→ tutto in pochi anni e in tutto il pianeta
● Digitalizzazione della pubblica amministrazione =
digitalizzazione dei processi, dei documenti, dei supporti...
ma anche della forma mentis
● In fondo... la carta (e l'analogico in generale)
ci danno sicurezza.
● La rivoluzione si fa con le norme o con la cultura?

PARTE PRIMA
E-SECURITY

La causa di perdita di dati e informazioni può dipendere da:
● eventi distruttivi, naturali o artificiali;
● guasti ai sistemi;
● malfunzionamenti o degrado dei componenti elettronici;
● incuria o disattenzione.
Il rischio di perdita di dati è anche rappresentato da:
● comportamenti sleali e fraudolenti;
● virus informatici;
● furto di strumenti contenenti dati.
(fonte: Guida alla sicurezza dei dati in azienda)
perdita dei dati

Per disaster recovery in informatica e in particolare nell'ambito
della sicurezza informatica si intende l'insieme delle misure
tecnologiche e logistico/organizzative atte a ripristinare sistemi,
dati e infrastrutture necessarie all'erogazione di servizi di business
per imprese, associazioni o enti, a fronte di gravi emergenze che
ne intacchino la regolare attività.
Affinché una organizzazione possa rispondere in maniera
efficiente, devono essere analizzati i possibili livelli di disastro e la
criticità dei sistemi/applicazioni.
Per una corretta applicazione del piano, i sistemi devono essere
classificati secondo i seguenti livelli:
1. critici; 2. vitali; 3. delicati; 4. non critici.
(fonte: Wikipedia)
disaster recovery: definizione

Uno dei più diffusi cybersecurity framework è quello emanato
dal National Institute of Standards and Technology (NIST)
e prevede i seguenti macro-processi core:
● Identifica (identify);
● Proteggi (protect);
● Rileva (detect);
● Rispondi (respond);
● Ripristina (recover).
(fonte: www.nist.gov/cyberframework)
sicurezza informatica

La crittografia è la branca della crittologia che tratta delle "scritture
nascoste", ovvero dei metodi per rendere un messaggio
"offuscato" in modo da non essere comprensibile/intelligibile a
persone non autorizzate a leggerlo.
In tal modo si garantisce la confidenzialità dei dati che è uno dei
requisiti essenziali nell'ambito della sicurezza informatica
impedendo così la realizzazione di diversi tipi di attacchi
informatici ai dati sensibili (es. sniffing).
La crittografia può essere simmetrica, asimmetrica o quantistica.
(fonte: Wikipedia)
la crittografia e la cifratura dei dati

Paradosso: una password molto complicata è più sicura...
ma è anche più difficile da ricordare. Quindi ci costringe a
scriverla... in posti poco sicuri.
ATTENZIONE! Password troppo corta.
Si prega di inserire una password di
almeno 8 caratteri di cui almeno
1 carattere numerico,
1 carattere carattere maiuscolo
e 1 carattere speciale.
scegliere password sicure

M. Ghazvininejad e K. Knight (ricercatori della University of
Southern California) hanno dimostrato come una password
fatta da quattro parole a caso – come “corretto cavallo
batteria graffetta” – sia molto più sicura e più facile da
ricordare rispetto alla classica accozzaglia di lettere, numeri e
simboli a caso raccomandata dalla maggior parte degli
esperti in sicurezza informatica.
(fonte: ilpost.it)
scegliere password sicure

Vignetta realizzata
da Randall
Munroe di Xkcd

In informatica con il termine backup si indica la replicazione
su un qualunque supporto di memorizzazione di materiale
informativo archiviato nella memoria di massa dei computer,
siano essi personal computer, workstation o server, home
computer o smartphone, al fine di prevenire la perdita
definitiva dei dati in caso di eventi malevoli accidentali o
intenzionali. Si tratta dunque di una misura di ridondanza
fisica dei dati.
(fonte: Wikipedia)
il backup: definizione (seria)

Il backup è quella cosa che andava fatta prima.
(fonte: Proverbio cinese)
il backup: definizione (meno seria)

Tempi
Ovviamente più spesso si fa il backup e più il livello di
sicurezza e di affidabilità aumenta.
Se non ci sono norme o policy specifiche sui tempi, è
comunque buona prassi darsi una cadenza regolare e
ricordarsi di farlo in caso di periodi particolarmente intensi di
creazione e salvataggio di nuove informazioni.
il backup: come farlo?

Supporti
In teoria qualsiasi supporto digitale di memorizzazione
(dischi, pennette, schede SD...) può risultare utile allo scopo,
ma è consigliabile non frammentare il “corpus” di dati in
troppi supporti.
Infatti normalmente si utilizzano hard disk esterni
appositamente dedicati a quella funzione.
Ricordiamoci comunque che tutti i supporti sono soggetti a
deperimento, e quindi bisogna preoccuparsi della loro
corretta manutenzione, conservazione e sostituzione per
tempo.

Online
Si possono utilizzare servizi online che permettono di salvare
il backup su server remoti (come ad esempio DropBox,
GoogleDrive e simili)...
…ma attenzione ai termini d'uso dei vari servizi e al
riferimento ad eventuali leggi straniere che pongano principi
estranei al nostro ordinamento.

Software
E' possibile fare il backup “manualmente” (cioè scegliendo di
volta in volta le cartelle o i file da duplicare) oppure
affidandosi a software che fanno un backup automatizzato e
“incrementale”. Ne esistono di molto affidabili e avanzati. Essi
permettono di “ripescare” singoli file persi o di riportare intere
porzioni di dati al loro status precedente.
I più utilizzati sono Cobian Backup, Time Machine (solo Mac),
Comodo Backup, Ainvo Copy.

sicurezza delle reti

Nell'ambito della sicurezza informatica, la sicurezza delle reti è
una problematica che nasce nel momento in cui si hanno più
computer interconnessi fra loro cioè in una rete di calcolatori: essi,
infatti, offrono diverse vulnerabilità sfruttabili, più o meno
facilmente, da terzi per intromettersi nel sistema ed intercettarne i
dati. Un'importante aggravante deriva dal fatto che Internet è nata
come rete didattica in un ambiente universitario e le sue regole
non prevedono metodi di sicurezza impliciti alla propria struttura:
le difese devono essere messe in atto sulle macchine stesse o
creando strutture di rete particolari.
(fonte: Wikipedia)

Le principiali tipologie di attacchi che si possono
verificare sono:
● Numero di sequenza
● IP Spoofing
● Attacchi a Sniffer
● Attacco a desincronizzazione iniziale
● Sessione Telnet
● Dirottamento del protocollo TCP (o TCP hijack)
● Denial of Service

1. Con le regole tecniche adottate ai sensi dell’articolo 71 sono
individuate le soluzioni tecniche idonee a garantire la protezione,
la disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati e
la continuità operativa dei sistemi e delle infrastrutture.
1-bis. AgID attua, per quanto di competenza e in raccordo con le
altre autorità competenti in materia, il Quadro strategico nazionale
per la sicurezza dello spazio cibernetico e il Piano nazionale per la
sicurezza cibernetica e la sicurezza informatica.
continua
le norme: art. 51 Codice Amministrazione Digitale

AgID, in tale ambito:
a) coordina, tramite il Computer Emergency Response Team
Pubblica Amministrazione (CERT-PA) istituito nel suo ambito, le
iniziative di prevenzione e gestione degli incidenti di sicurezza
informatici;
b) promuove intese con le analoghe strutture internazionali;
c) segnala al Ministro per la pubblica amministrazione e
l'innovazione il mancato rispetto delle regole tecniche di cui al
comma 1 da parte delle pubbliche amministrazioni.
continua

2. I documenti informatici delle pubbliche amministrazioni devono
essere custoditi e controllati con modalità tali da ridurre al minimo i
rischi di distruzione, perdita, accesso non autorizzato o non
consentito o non conforme alle finalità della raccolta.

I dati personali oggetto di trattamento sono custoditi e controllati,
anche in relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche caratteristiche del
trattamento, in modo da ridurre al minimo, mediante l'adozione di
idonee e preventive misure di sicurezza, i rischi di distruzione o
perdita, anche accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non conforme alle
finalità della raccolta.
le norme: art. 31 Codice Privacy
(Obblighi di sicurezza)

Nel quadro dei più generali obblighi di sicurezza di cui all'articolo
31, o previsti da speciali disposizioni, i titolari del trattamento sono
comunque tenuti ad adottare le misure minime individuate nel
presente capo o ai sensi dell'articolo 58, comma 3, volte ad
assicurare un livello minimo di protezione dei dati personali.
(Misure minime di sicurezza)

1. Il trattamento di dati personali effettuato con strumenti elettronici
è consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico (allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di
autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati e addetti alla gestione o
alla manutenzione degli strumenti elettronici; continua...
(Trattamenti con strumenti elettronici)

e) protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a determinati
programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il
ripristino della disponibilità dei dati e dei sistemi;
h) adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o
la vita sessuale effettuati da organismi sanitari.
continua...
(Trattamenti con strumenti elettronici)

ma che cosa sono di preciso
la privacy e il trattamento dei dati personali?

PARTE SECONDA
TUTELA DELLA PRIVACY E
GESTIONE DEI DATI PERSONALI

privacy = riservatezza
diritto alla privacy = diritto alla tutela
della propria sfera privata
“the right to be let alone”
ovvero il diritto di essere lasciati in pace
(vedi formulazione proposta da Louis Brandeis nel 1890 con
l'articolo The Right To Privacy su Harvard Law Review)
il concetto di privacy

rapporto tra privacy e dati personali
norme sulla privacy
norme sul trattamento
dei dati personali
NB: La legge italiana normalmente chiamata “Legge sulla privacy” o
“Codice Privacy” è in realtà una legge sul trattamento dei dati personali.

Art. 8 - Carta dei diritti fondamentali Unione Europea (Nizza, 2000)
“Ogni individuo ha diritto alla protezione dei dati di carattere
personale che lo riguardano.
Tali dati devono essere trattati secondo il principio di lealtà, per
finalità determinate e in base al consenso della persona
interessata o a un altro fondamento legittimo previsto dalla legge.
Ogni individuo ha il diritto di accedere ai dati raccolti che lo
riguardano e di ottenerne la rettifica.
Il rispetto di tali regole è soggetto al controllo di un'autorità
indipendente.”
privacy: diritto fondamentale

Due concetti e due istituti giuridici estremamente diversi,
ma che vengono troppo spesso confusi.
● privacy → tutela della riservatezza e dei dati personali
● copyright → tutela della opere creative
privacy ≠ copyright

L'unico aspetto del diritto d'autore che incrocia l'ambito della tutela
della privacy è quello relativo ai cosiddetti “diritti d'immagine”, più
precisamente chiamati “diritti connessi delle persone ritratte”.
La legge sul diritto d'autore italiana (L. 633/1941) se ne occupa
agli articoli 96, 97, 98 e stabilisce che...
i cosiddetti “diritti d'immagine”

Il ritratto di una persona non può essere esposto, riprodotto o messo
in commercio senza il suo consenso.
Tuttavia, non occorre il consenso della persona ritrattata quando la
riproduzione dell'immagine è giustificata dalla notorietà o dall'ufficio
pubblico coperto, da necessità di giustizia o di polizia, da scopi
scientifici, didattici o colturali, o quando la riproduzione è collegata a
fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in
pubblico.
Il ritratto non può tuttavia essere esposto o messo in commercio,
quando l'esposizione o messa in commercio rechi pregiudizio
all'onore, alla reputazione od anche al decoro della persona ritrattata.
i cosiddetti “diritti d'immagine”

● L. 675/1996: Tutela delle persone e di altri soggetti rispetto
al trattamento dei dati personali → non più in vigore
● D. Lgs. 196/2003: Codice in materia di protezione
dei dati personali
● Regolamento UE 2016/679 relativo alla protezione
delle persone fisiche con riguardo al trattamento dei
dati personali, nonché alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE (regolamento generale
sulla protezione dei dati) → in vigore dal 24/05/2016
→ → direttamente applicabile dal 25/05/2018
le fonti normative italiane

Art. 3 D.Lgs. 196/2003
I sistemi informativi e i programmi informatici sono configurati
riducendo al minimo l'utilizzazione di dati personali e di dati
identificativi, in modo da escluderne il trattamento quando le
finalità perseguite nei singoli casi possono essere realizzate
mediante, rispettivamente, dati anonimi od opportune modalità
che permettano di identificare l'interessato solo in caso di
necessità.
principio di necessità

Art. 4 (punto a) D.Lgs. 196/2003
Per "trattamento [di dati personali]" si intende qualunque
operazione o complesso di operazioni, effettuati anche senza
l'ausilio di strumenti elettronici, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione, l'estrazione, il
raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione,
la diffusione, la cancellazione e la distruzione di dati, anche se non
registrati in una banca di dati.
definizione di trattamento (di dati personali)

Art. 4 (punto b) D.Lgs. 196/2003
Per "dato personale" si intende qualunque informazione relativa a
persona fisica, identificata o identificabile, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi compreso
un numero di identificazione personale.
definizione di dato personale

Il codice considera 3 categorie di dati personali:
● Dati personali semplici
● Dati personali sensibili: informazioni idonee a rivelare l'origine etnica,
le convinzioni religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni
a carattere religioso, filosofico, politico o sindacale, nonché i dati
personali idonei a rivelare lo stato di salute e la vita sessuale
● Dati giudiziari: informazioni idonee a rivelare provvedimenti in materia
di casellario giudiziale, anagrafe delle sanzioni amministrative
dipendenti da reati o carichi pendenti.
categorie di dati personali

Art. 5 D.Lgs. 196/2003
→ Oggetto ed ambito di applicazione [della legge]
Art. 7 D.Lgs. 196/2003
→ Diritto di accesso ai dati personali ed altri diritti
Art. 13 D.Lgs. 196/2003
→ Informativa sul trattamento dei dati personali
altri concetti fondamentali
da mettere a fuoco

le novità del nuovo regolamento
si rimanda a presentazione
realizzata dal Garante
www.garanteprivacy.it/regolamentoue

Il fantomatico “diritto all'oblio”
L'effetto Barbra Streisand
spunti per il dibattito/1

La geolocalizzazione delle persone
e l'utilizzo dei relativi dati da parte di imprese.

La gestione della privacy sui social media

Il fenomeno “internet of things”

alcuni video del Garante Privacy per approfondire
• App-rova di privacy. I suggerimenti del Garante privacy
per un uso consapevole delle app →guarda su YouTube
• Social network: quando ti connetti, connetti anche la testa!
→guarda su YouTube
• Fatti smart! Tutela la tua privacy su smartphone e tablet
→guarda su YouTube
• Spam. I consigli del Garante per difendersi →guarda su YouTube
• Cookie e privacy: istruzioni per l'uso →guarda su YouTube

per rimanere aggiornati:
• Blog: http://aliprandi.blogspot.it
• Twitter: http://twitter.com/simonealiprandi
• Facebook: www.facebook.com/simone.aliprandi.page/

grazie per l'attenzione
slides rilasciate sotto licenza
Creative Commons Attribution – Share Alike 4.0

Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017

More Related Content

What's hot

Viewers also liked

Similar to Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017

More from Simone Aliprandi

Sicurezza dati e privacy (le norme) - Lecce, 25 gen 2017