Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Scienze sociali
  2. Diritto

LE NORME DI LEGGE IN AMBITO SICUREZZA

Un progetto di
Realizzato da
LE NORME DI LEGGE IN
AMBITO SICUREZZA
‰ Le norme di legge in ambito sicurezza
Pagina 1
Version number 1.0 – Ottobre 2011
‰ Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Questo manuale riveste esclusivamente carattere didattico e di complemento all’esposizione del
relatore del Corso.
Stante la pluralità delle informazioni esposte e delle loro fonti, ADFOR non assume alcuna
responsabilità in merito ai singoli contenuti della dispensa, pur assicurandone la complessiva
correttezza.
N i di prodotti
Nomi
d tti e società
i tà citati
it ti nell presente
t manuale
l possono essere marchi
hi dei
d i rispettivi
i
tti i proprietari.
i t i
Tutti i marchi sono registrati dai rispettivi proprietari.
Gli eventi citati nel presente manuale sono da ritenersi semplici esempi e qualunque riferimento a
società, organizzazione, prodotti, persone o eventi reali è puramente casuale.
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e
della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
‰ Le norme di legge in ambito sicurezza
Pagina 2
Version number 1.0 – Ottobre 2011
‰ Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Agenda 1 / 2
‰ La protezione dei dati personali
¾
¾
¾
¾
¾
¾
¾
¾
¾
¾
I principi generali
La natura dei dati
Le figure di legge
Il trattamento dei dati personali
Il consenso al trattamento dei dati
I diritti dell’interessato
Le sanzioni
L’Analisi dei Rischi che incombono sui dati personali
p
Le Misure minime di sicurezza
Il Documento Programmatico di Sicurezza
‰ Le norme complementari in ambito Privacy
¾
¾
¾
¾
La gestione degli Amministratori di sistema
L’uso di Internet e Posta elettronica
La gestione dei rifiuti elettronici
Le norme di semplificazione
‰ Le norme di legge in ambito sicurezza
Le norme di legge in ambito sicurezza
Pagina 3
Pagina 3
Version number 1.0 – Ottobre 2011
Version number 1.0 – Ottobre 2011
‰ Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Agenda 2 / 2
‰ Il Computer Crime
¾ La legge 547/93 sui “computer crimes”
p
del 2001
¾ La convenzione di Budapest
¾ La legge 48/2008 sui crimini informatici
‰ La responsabilità
p
amministrativa delle p
persone g
giuridiche
¾ Ambito della norma di legge
¾ Il Modello Organizzativo 231
¾ La definizione delle misure atte a evitare o rilevare comportamenti illeciti
¾ La responsabilizzazione dei dipendenti e collaboratori
¾ Il Codice Etico
‰ Le norme di legge in ambito sicurezza
Le norme di legge in ambito sicurezza
Pagina4
Pagina 4
Version number 1.0 – Ottobre 2011
Version number 1.0 – Ottobre 2011
‰ Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La p
protezione dei dati personali
p
‰Le norme di legge in ambito sicurezza
Pagina 5
Version number 1.0 – Ottobre 2011
‰Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Indice
La protezione dei dati personali
‰ I principi generali
‰ La natura dei dati
‰ Le figure di legge
‰ Il trattamento dei dati personali
‰ Il consenso al trattamento dei dati
‰ I diritti dell’interessato
‰ Le sanzioni
‰ L’Analisi dei Rischi che incombono sui dati personali
‰ Le Misure minime di sicurezza
‰ Il Documento Programmatico di Sicurezza
Le norme di legge in ambito sicurezza
Pagina 6
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
I principi generali 1 / 8
Il decreto legislativo 196 del 30/06/2003 costituisce il Codice per la Privacy
R
Rappresenta
t un
“ testo unico ”
“Privacy” è un termine di origine inglese traducibile come
“ diritto alla riservatezza ”
Le norme di legge in ambito sicurezza
Pagina 7
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
I principi generali 2 / 8
Art. 1 “chiunque ha diritto alla protezione dei dati personali che lo
riguardano”
Art. 2 “il
“ l Codice
d
“
“garantisce che
h ill trattamento d
dei d
dati personali
l si svolga
l
nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità
dell’interessato, con particolare riferimento alla riservatezza, all’identità
personale e al diritto alla protezione dei dati personali
Lo spirito della legge non è di impedire il trattamento dei dati personali, ma di evitare
che questo avvenga contro la volontà dell'avente diritto, ovvero secondo modalità per
p g
lui pregiudizievoli.
Il Codice, di fatto, definisce la modalità di raccolta dei dati, gli obblighi di chi
raccoglie detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni.
raccoglie,
danni
Le norme di legge in ambito sicurezza
Pagina 8
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
I principi generali 3 / 8
Art. 15 “chiunque cagiona danno ad altri per effetto del trattamento di dati
personali è tenuto al risarcimento ai sensi dell
dell’art
art. 2050 del codice civile
civile”
L’Articolo 2050 del Codice Civile a sua volta dispone che “chiunque cagiona danno ad
altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi
adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure
idonee a evitare il danno”.
Nella p
pratica,, l’art. 2050 del Codice Civile obbliga,
g , in caso di contenzioso,, il titolare a
dimostrare di aver adottato tutte le misure idonee ad evitare il possibile danno
(“inversione della prova”).
Le norme di legge in ambito sicurezza
Pagina 9
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
I principi generali 4 / 8
Il Codice fissa alcuni principi generali che devono essere seguiti nel trattamento di dati
personali, in particolare:
‰ principio di necessità: i sistemi informativi e i programmi informatici devono essere
configurati, già in origine, in modo da ridurre al minimo l'utilizzo di informazioni
relative a clienti identificabili. Il trattamento di dati personali relativi a clienti non è
lecito se le finalità del trattamento, possono essere perseguite con dati anonimi o
solo indirettamente identificativi;
‰ principio di proporzionalità: nel trattamento: tutti i dati personali e le varie
modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle
finalità perseguite;
‰ principio di liceità: il trattamento dei dati è possibile solo se è fondato su uno dei
presupposti di liceità che il Codice prevede espressamente per gli organi pubblici da
un lato (svolgimento di funzioni istituzionali) e, dall’altro, per soggetti privati ed enti
pubblici economici (adempimento ad un obbligo di legge, provvedimento del Garante
di “bilanciamento di interessi” o consenso libero ed espresso);
‰ principio di finalità: le finalità perseguite dal trattamento devono essere
determinate, esplicite e legittime; ciò comporta che il titolare possa perseguire solo
finalità di sua pertinenza.
Le norme di legge in ambito sicurezza
Pagina 10
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
I principi generali 5 / 8
Nel 1997 è stato costituito il “Garante per la protezione dei dati personali”, un organo
collegiale eletto dal Parlamento che ha il compito di vigilare sul rispetto delle norme
sulla privacy.
Il Garante ha sintetizzato i contenuti delle norme sulla privacy nel modo seguente:
‰ I dati personali sono una proiezione della persona
La legge tutela la riservatezza, l’identità personale, la dignità e gli altri nostri diritti
e libertà fondamentali
‰ Il trattamento dei dati che ci riguardano deve rispettare le garanzie previste dalla
legge
‰ La prima garanzia è la trasparenza
Ognuno di noii ha
O
h il diritto
di itt di “sapere”.
“
” Il diritto
di itt di conoscere se un soggetto
tt detiene
d ti
informazioni, di apprenderne il contenuto, di farle rettificare se erronee, incomplete
o non aggiornate
‰ Conoscere
C
i nostri
t i di
diritti
itti e il modo
d per farli
f li valere
l
è semplice
li
Le norme di legge in ambito sicurezza
Pagina 11
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
I principi generali 6 / 8
Come si articola la norma
Obblighi normativi
Best Practice
i
Codice
Allegati
g
Provvedimenti
Linee Guida
Modelli
Le norme di legge in ambito sicurezza
Pagina 12
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
I principi generali 7 / 8
Gli Allegati al Codice sono:
Allegati A – Codici di deontologia (A1, A2, A3, A4, A5, A6)
Allegato B – Disciplinare Tecnico in materia di misure minime di sicurezza
Allegato C - Trattamenti non occasionali effettuati in ambito giudiziario o per fini di
polizia
Le norme di legge in ambito sicurezza
Pagina 13
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
I principi generali 8 / 8
Un provvedimento è, nel significato più generale del termine, l’atto giuridico adottato
nell'esercizio di un pubblico potere.
In particolare i Provvedimenti del Garante sono interventi che possono, ad esempio,
essere:
ƒ
volti a chiarire temi specifici nell
nell’ambito
ambito della norma
ƒ
definire azioni obbligatorie, sanzionatorie o di autorizzazione in capo a soggetti
specifici
Le norme di legge in ambito sicurezza
Pagina 14
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La natura dei dati 1 / 3
‰ Dati personali
Qualunque informazione relativa a persona fisica, persona giuridica, ente o
associazione, identificati o identificabili, anche indirettamente, mediante
riferimento a qualsiasi altra informazione
informazione, ivi compreso un numero di
identificazione personale
‰ Dati sensibili
I dati personali idonei a rivelare l’origine
l origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti,
sindacati o associazioni od organizzazioni a carattere religioso, politico o
sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita
sessuale
‰ Dati giudiziari
I dati personali idonei a rivelare provvedimenti di cui all’art. 3 comma 1 lettere
), del DPR 313 del 14 nov 2002 in materia di casellario
da a)) a o)) e da r)) a u),
giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei
relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli artt.
60-61 del CPP
Si parla anche di Dati Identificativi come quelli che permettono l’identificazione
diretta dell’interessato.
Le norme di legge in ambito sicurezza
Pagina 15
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La natura dei dati 2 / 3
Altra tipologia di dati sono i
‰ Dati
D ti anonimi
i i
Il dato che in origine, o a seguito di trattamento, non può essere associato ad un
interessato identificato o identificabile.
Un tale tipo di dato è fuori dall’ambito di applicazione del Decreto legge.
Le norme di legge in ambito sicurezza
Pagina 16
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La natura dei dati 3 / 3
Occorre garantire che i dati siano:
‰ Riservati
Ri
ti
Ai dati devono avere accesso solo coloro che sono autorizzati
‰ Integri
Deve essere garantita l’accuratezza e la completezza dell’informazione
‰ Disponibili
I dati devono essere disponibili quando richiesti
Le norme di legge in ambito sicurezza
Pagina 17
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Le figure di legge 1 / 5
L’organizzazione che il codice impone risulta riconducibile a quattro ruoli
principali:
‰
Il titolare del trattamento
‰ Il responsabile
bil del
d l trattamento
‰ Gli incaricati al trattamento
‰ L’interessato al trattamento
Le norme di legge in ambito sicurezza
Pagina 18
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Le figure di legge 2 / 5
Il titolare del trattamento è
“ la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo cui competono, anche unitamente ad altro
titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati
personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza ”
Il responsabile del trattamento è
“ la p
persona fisica,, la p
persona g
giuridica,, la p
pubblica amministrazione e q
qualsiasi
altro ente, associazione od organismo preposti dal titolare al trattamento di dati
personali ”
p
deve sovrintendere o effettuare i trattamenti dei dati p
personali
Il responsabile
rispettando ed attenendosi alle istruzioni impartite dal titolare il quale deve,
anche con verifiche periodiche, vigilare sull’osservanza delle disposizioni impartite
p
del trattamento p
può essere interno all’organizzazione
g
od esterno ad
Il responsabile
essa.
Le norme di legge in ambito sicurezza
Pagina 19
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Le figure di legge 3 / 5
Gli incaricati al trattamento
“ la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o
dal responsabile
responsabile”
Gli incaricati possono materialmente effettuare le operazioni di trattamento dei
dati personali. La loro designazione deve contenere la precisa ed analitica
individuazione dell
dell’ambito
ambito del trattamento consentito e delle istruzioni cui
dovranno attenersi nello svolgimento dello stesso
L’interessato al trattamento
“ la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i
dati personali ”
Le norme di legge in ambito sicurezza
Pagina 20
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Le figure di legge 4 / 5
Altre figure previste dalla legge sono:
Il Vigilatore
Vigil t
dei
d id
dati
ti
Il Vigilatore dei dati è il depositario delle chiavi crittografiche idonee a decifrare le
informazioni e garantire il processo crittografico.
L’Amministratore di sistema
E il gestore e manutentore di un impianto di elaborazione o di sue componenti,
E’
componenti ivi
comprese altre figure equiparabili dal punto di vista dei rischi relativi alla
protezione dei dati, (amministratori di basi di dati, gli amministratori di reti e di
apparati di sicurezza e gli amministratori di sistemi software complessi).
Le norme di legge in ambito sicurezza
Pagina 21
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Le figure di legge 5 / 5
Alle figure previste dalla legge si aggiungono spesso, in particolare nelle
organizzazioni più complesse anche le seguenti:
Il Delegato del Titolare
Gli è affidata la cura di tutti gli obblighi riconducibili alla organizzazione, e ad esso
sono conferiti i più ampi ed autonomi poteri decisionali,
decisionali con facoltà di sub
sub-delega,
delega
di disposizione – sia ordinari che straordinari pure sotto il profilo della capacità di
spesa – ed organizzativi.
Il Privacy Officer
Presidia gli aspetti funzionali e documentali previsti dal D.lgs. 196/03 e assicura un
adeguato supporto al Titolare/Responsabili.
Titolare/Responsabili
Presidia il Modello Aziendale di Privacy coordinando e controllando la sua
applicazione
Le norme di legge in ambito sicurezza
Pagina 22
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Il trattamento dei dati personali 1 / 3
Trattamento dei dati personali riguarda qualunque operazione o complesso di operazioni, effettuate
anche senza mezzi elettronici o automatizzati e cioè:
raccolta,,
registrazione,
organizzazione,
conservazione,,
elaborazione,
modificazione,
selezione,
estrazione,
raffronto,
utilizzo,
interconnessione,
blocco,
comunicazione,
comunicazione
diffusione,
cancellazione e distruzione
Le norme di legge in ambito sicurezza
Pagina 23
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Il trattamento dei dati personali 2 / 3
La notificazione è una dichiarazione con la quale il titolare del trattamento, prima di
iniziarlo, rende nota al Garante (che la inserisce nel registro pubblico dei trattamenti
consultabile da chiunque sul sito web dell'Autorità) l'esistenza di un'attività di raccolta e
di utilizzazione dei dati personali
La notificazione al Garante non è obbligatoria
g
se non per
p i trattamenti p
per i q
quali è
espressamente prevista.
Le norme di legge in ambito sicurezza
Pagina 24
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Il trattamento dei dati personali 3 / 3
Il titolare deve notificare al Garante il trattamento solo se esso riguarda:
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti
mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione
assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla
fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e
diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od
organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico,
religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità
dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo
di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente
indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi,
nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche
campionarie;
f) d
dati
ti registrati
i t ti iin apposite
it banche
b
h di d
dati
ti gestite
tit con strumenti
t
ti elettronici
l tt i i e relative
l ti all
rischio sulla solvibilità economica, alla situazione patrimoniale al corretto adempimento di
obbligazioni, a comportamenti illeciti o fraudolenti
Le norme di legge in ambito sicurezza
Pagina 25
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Il consenso al trattamento dei dati 1 / 2
Il consenso è la libera manifestazione della volontà con la quale l’interessato accetta –
in modo espresso e, se vi sono dati sensibili, per iscritto - un determinato trattamento
di dati che lo riguardano, sul quale è stato preventivamente informato da chi utilizza i
dati.
Il Codice Privacyy p
prevede che:
1. Il trattamento di dati personali da parte di privati o di enti pubblici economici
è ammesso solo con il consenso espresso dell'interessato,
2. Il consenso può riguardare l'intero
l intero trattamento ovvero una o più operazioni
dello stesso,
3. Il consenso è validamente prestato solo se è espresso liberamente e
specificamente in riferimento ad un trattamento chiaramente individuato, se è
documentato per iscritto, e se sono state rese all'interessato le
informazioni di cui all'articolo 13,
4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati
sensibili
Le norme di legge in ambito sicurezza
Pagina 26
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Il consenso al trattamento dei dati 2 / 2
Il consenso deve quindi essere consapevole ed informato.
Occorre q
quindi p
prevedere un informativa all’interessato dove devono essere indicati:
ƒ le finalità e modalità del trattamento,
ƒ i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati,
comunicati
ƒ l'ambito di diffusione,
ƒ i diritti di cui gode l'interessato,
ƒ il titolare del trattamento e gli eventuali responsabili
Le norme di legge in ambito sicurezza
Pagina 27
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
I diritti dell’interessato
La disciplina di protezione dei dati personali attribuisce a ciascun interessato
il diritto di accedere ai dati personali a sé riferiti
e di esercitare gli altri diritti previsti dall'art. 7 del Codice
Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli
gli sono riconosciuti, il titolare del trattamento (o
( il responsabile)
p
) deve
altri diritti che g
fornire riscontro (di regola) entro quindici giorni dal ricevimento dell'istanza.
In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere
dinanzi all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice).
Le norme di legge in ambito sicurezza
Pagina 28
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Le sanzioni
Il Codice prevede sia sanzioni di carattere amministrativo sia illeciti penali.
Le sanzioni di carattere amministrativo sono dovute a:
¾
¾
¾
¾
omessa o inidonea informativa all’interessato (articolo 161);
illecita cessione di dati personali (articolo 162);
omessa o incompleta
p
notificazione ((articolo 163);
);
omessa informazione o esibizione al Garante (articolo 164).
Gli illeciti penali sono dovuti a:
¾
¾
¾
¾
trattamento illecito di dati (articolo 167);
falsità nelle dichiarazioni e notificazioni al Garante (articolo 168);
omissione delle misure minime di sicurezza (articolo 169);
inosservanza di provvedimenti del Garante (articolo 170).
A queste
t va aggiunto
i t il rischio
i hi di cause civili
i ili iintentate
t t t d
da iinteressati
t
ti sull presupposto
t di
violazione dei propri diritti con conseguente danno, di tipo economico o reputazionale,
e di cui si chiede il rimborso.
Le norme di legge in ambito sicurezza
Pagina 29
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
L’Analisi dei Rischi che incombono sui dati personali 1 / 4
Deve essere effettuata una Analisi dei rischi sulla sicurezza dei dati personali. Tale
analisi può essere condotta utilizzando metodi di complessità diversa, ed in generale
sarà tanto più complessa e strutturata quanto maggiori sono le dimensioni della
organizzazione di riferimento.
L’Analisi dei Rischi comporta:
p
ƒ l’individuazione dei principali eventi potenzialmente dannosi per la sicurezza dei
dati
ƒ per ciascun evento, la valutazione delle possibili conseguenze e la gravità in
relazione al contesto fisico–ambientale di riferimento
ƒ gli strumenti elettronici utilizzati
.
Le norme di legge in ambito sicurezza
Pagina 30
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
L’Analisi dei Rischi che incombono sui dati personali 2 / 4
L’Elenco degli eventi deve prevedere almeno le seguenti tipologie:
ƒ comportamenti degli operatori
ƒ eventi
ti relativi
l ti i agli
li strumenti
t
ti
ƒ eventi relativi al contesto fisico-ambientale
L’impatto sulla sicurezza deve descrivere le principali conseguenze individuate per la
sicurezza dei dati, in relazione a ciascun evento, e valutare la loro gravità anche in
relazione alla rilevanza e alla probabilità stimata dell’evento (anche in termini sintetici:
es., alta/media/bassa).
Le norme di legge in ambito sicurezza
Pagina 31
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
L’Analisi dei Rischi che incombono sui dati personali 3 / 4
Eventi di rischio causati dal comportamenti degli operatori:
ƒ
ƒ
ƒ
ƒ
sottrazione di credenziali di autenticazione
carenza di consapevolezza, disattenzione o incuria
comportamenti sleali o fraudolenti
errore materiale
Eventi relativi agli strumenti:
ƒ
ƒ
ƒ
ƒ
ƒ
azione di virus informatici o di programmi suscettibili di recare danno
spamming o tecniche di sabotaggio
malfunzionamento, indisponibilità o degrado degli strumenti
accessi esterni non autorizzati
intercettazione di informazioni in rete
Eventi relativi al contesto fisico-ambientale:
ƒ
ƒ
ƒ
ƒ
ƒ
ingressi non autorizzati a locali/aree ad accesso ristretto
sottrazione di strumenti contenenti dati
eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi,
allagamenti, condizioni ambientali, ...), nonché dolosi, accidentali o dovuti ad incuria
guasto a sistemi complementari
g
p
((impianto
p
elettrico,, climatizzazione,, ecc.))
errori umani nella gestione della sicurezza fisica
Le norme di legge in ambito sicurezza
Pagina 32
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
L’Analisi dei Rischi che incombono sui dati personali 4 / 4
Esempio parziale di risultato dell’Analisi dei Rischi Privacy
Le norme di legge in ambito sicurezza
Pagina 33
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Le Misure Minime di sicurezza 1 / 4
Al fine di garantire la sicurezza dei dati e dei sistemi, riducendo al minimo il rischio di
distruzione e perdita anche accidentale, devono essere adottate delle idonee e
preventive misure di sicurezza.
Per misura di sicurezza si intende lo specifico intervento tecnico od organizzativo
posto in essere p
p
per:
ƒ prevenire,
ƒ contrastare,
ƒ ridurre
gli effetti relativi ad una specifica minaccia.
Occorre inoltre avviare una attività
à di verifica e controllo nel tempo delle misure di
sicurezza adottate per assicurarne l’efficacia.
Le norme di legge in ambito sicurezza
Pagina 34
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Le Misure Minime di sicurezza 2 / 4
I titolari del trattamento sono comunque tenuti ad adottare almeno le misure minime
di sicurezza individuate nella norma.
Le misure minime di sicurezza dipendono dalla modalità con cui sono effettuati i
trattamenti dei dati, in particolare:
‰ Trattamenti effettuati con l’ausilio di strumenti elettronici
‰ Trattamenti
T tt
ti effettuati
ff tt ti senza l’
l’ausilio
ili di strumenti
t
ti elettronici
l tt
i i
Per entrambe le tipologie i trattamenti sono consentiti a condizione di adottare
specifiche misure minime di sicurezza.
Le norme di legge in ambito sicurezza
Pagina 35
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Le Misure Minime di sicurezza 3 / 4
Per i trattamenti effettuati con l’ausilio di strumenti elettronici le misure
minime di sicurezza da adottare sono:
a) autenticazione informatica;
f
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli
strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di
dati, ad accessi non consentiti e a determinati programmi informatici;
procedure p
per la custodia di copie
p di sicurezza,, il ripristino
p
della
f)) adozione di p
disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati
trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.
Le norme di legge in ambito sicurezza
Pagina 36
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Le Misure Minime di sicurezza 4 / 4
Per i trattamenti effettuati senza l’ausilio di strumenti elettronici le
misure minime di sicurezza da adottare sono:
a) aggiornamento periodico dell'individ
dell individuazione
a ione dell
dell'ambito
ambito del trattamento
consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad
p
delle modalità di accesso finalizzata
accesso selezionato e disciplina
all'identificazione degli incaricati.
Le norme di legge in ambito sicurezza
Pagina 37
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Il Documento Programmatico di Sicurezza 1 / 4
Entro il 31 marzo di ogni anno, il titolare deve redigere, anche attraverso il
responsabile, se designato, un Documento Programmatico sulla sicurezza
che rappresenta la situazione della organizzazione in relazione alla Privacy.
Il Documento Programmatico sulla Sicurezza costituisce una misura minima di
sicurezza.
sicurezza
Le norme di legge in ambito sicurezza
Pagina 38
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Il Documento Programmatico di Sicurezza 2 / 4
Il Documento Programmatico sulla Sicurezza deve contenere:
19.1
l'elenco dei trattamenti di dati personali;
19.2
la distribuzione dei compiti e delle responsabilità nell'ambito
nell ambito delle strutture preposte al
trattamento dei dati;
19.3
l'analisi dei rischi che incombono sui dati;
19.4
le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la
protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
à
19.5
la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in
seguito a distruzione o danneggiamento;
19 6
19.6
la previsione di interventi formativi degli incaricati del trattamento,
trattamento per renderli edotti dei
rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei
profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle
relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle
misure minime adottate dal titolare;;
19.7
la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice,
all'esterno della struttura del titolare;
19 8
19.8
per i dati
d ti personali
li id
idoneii a rivelare
i l
llo stato
t t di salute
l t e lla vita
it sessuale,
l l'i
l'individuazione
di id
i
dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati
personali dell'interessato.
Le norme di legge in ambito sicurezza
Pagina 39
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Il Documento Programmatico di Sicurezza 3 / 4
Le norme di legge in ambito sicurezza
Pagina40
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Il Documento Programmatico di Sicurezza 4 / 4
Le norme di legge in ambito sicurezza
Pagina41
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Le norme complementari in ambito
Privacy
‰Le norme di legge in ambito sicurezza
Pagina42
Version number 1.0 – Ottobre 2011
‰Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Indice
Le norme complementari in ambito Privacy
‰ La gestione degli Amministratori di sistema
‰ L’uso di Internet e Posta elettronica
‰ La gestione dei rifiuti elettronici
‰ Le norme di semplificazione
Le norme di legge in ambito sicurezza
Pagina43
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La gestione degli Amministratori di sistema 1 / 3
Il Garante ha rilevata l'esigenza di intraprendere una specifica attività rispetto ai
soggetti preposti ad attività riconducibili alle mansioni tipiche dei cosiddetti
“amministratori di sistema” nonché di coloro che svolgono mansioni analoghe in
rapporto a sistemi di elaborazione e banche di dati, evidenziandone la rilevanza rispetto
ai trattamenti di dati personali.
Di conseguenza il Garante impone nuovi adempimenti ai titolari di trattamenti
effettuati (anche parzialmente) con strumenti elettronici.
I nuovi adempimenti non riguardano i titolari destinatari delle recenti
“semplificazioni” sugli obblighi privacy.
Le norme di legge in ambito sicurezza
Pagina44
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La gestione degli Amministratori di sistema 2 / 3
I nuovi adempimenti prevedono:
‰ Valutazione delle caratteristiche soggettive
9 valutazione delle caratteristiche di esperienza, capacità e affidabilità di chi è designato
come AdS
9 L
L’AdS
AdS deve fornire garanzia del pieno rispetto delle vigenti disposizioni in materia di
trattamento
‰ Designazioni individuali
9 La designazione quale amministratore di sistema deve essere individuale e recare
l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di
autorizzazione assegnato.
‰ Elenco degli amministratori di sistema
9 Gli identificativi degli AdS, con le funzioni ad essi attribuite, devono essere riportati nel DPS
9 L'identità degli amministratori di sistema che hanno accesso a dati relativi ai lavoratori
devono essere conoscibili dai lavoratori stessi
Le norme di legge in ambito sicurezza
Pagina45
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La gestione degli Amministratori di sistema 3 / 3
‰ Verifica delle attività
9 L’operato degli AdSè oggetto, con cadenza almeno annuale, di un'attività di
verifica in modo da controllare la sua rispondenza alle misure organizzative,
tecniche e di sicurezza
‰ Registrazione degli accessi
9 Registrazione degli accessi logici ai sistemi di elaborazione e agli archivi
elettronici degli AdS.
9 Le registrazioni
g
devono:
ƒ Includere riferimenti temporali
ƒ Includere descrizione dell'evento che le ha generate
¾ Essere conservate per un congruo periodo, non inferiore a sei mesi
Le norme di legge in ambito sicurezza
Pagina46
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
L’uso di Internet e Posta elettronica 1 / 2
L’eventuale trattamento di dati personali deve essere ispirato ad un canone di
trasparenza.
Grava quindi sul datore di lavoro l’onere di indicare in ogni caso, chiaramente e in modo
particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a
p
ritenute corrette e se,, in che misura e con q
quali modalità vengano
g
disposizione
effettuati controlli.
Può risultare opportuno adottare un disciplinare interno redatto in modo chiaro e senza
formule generiche, da pubblicizzare adeguatamente e da sottoporre ad aggiornamento
periodico.
Le norme di legge in ambito sicurezza
Pagina47
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
L’uso di Internet e Posta elettronica 2 / 2
Nel disciplinare interno andrebbe specificato:
¾ Se determinati comportamenti non sono tollerati rispetto all’utilizzo di Internet,
¾ IIn quale
l misura
i
è consentito
i utilizzare
ili
anche
h per ragioni
i i personali
li servizi
i i di
Posta elettronica ed Internet, indicandone le modalità e l’arco temporale di
utilizzo,
¾ Q
Quali
li iinformazioni
f
i i sono memorizzate
i t ttemporaneamente
t e chi,
hi vii può
ò accedere
d
legittimamente,
¾ Se e quali informazioni sono eventualmente conservate per un periodo più
llungo,
¾ Se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in
conformità alla legge, anche saltuari o occasionali, indicando le ragioni legittime
–specifiche
ifi h e non generiche–
i h per cuii verrebbero
bb
effettuati,
ff tt ti
¾ Quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di
trarre qualora constati che la posta elettronica e la rete Internet sono utilizzate
i d bit
indebitamente,
t
¾ Le prescrizioni interne sulla sicurezza dei dati e dei sistemi
Le norme di legge in ambito sicurezza
Pagina48
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La gestione dei rifiuti elettronici 1 / 3
Al momento di dismettere apparecchiature elettriche ed elettroniche (anzitutto pc,
ma anche cd rom, dvd, telefoni cellulari), rimangano in memoria:
9 nomi,
9 indirizzi mail,
9 rubriche telefoniche,
9 foto,,
9 filmati,
9 numeri di conto bancario,
9 dati p
personali in g
generale, anche di tipo
p sensibile come ad esempio
p q
quelli sanitari
riferiti non solo all'utilizzatore, ma anche a terzi.
Occorre quindi preoccuparsi di cancellare in maniera definitiva i dati personali
memorizzati, allo scopo di non esporsi e non esporre altri a rischi anche gravi, come ad
esempio la manipolazione di dati e il furto di identità.
Le norme di legge in ambito sicurezza
Pagina49
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La gestione dei rifiuti elettronici 2 / 3
Con uno specifico provvedimento il Garante ha suggerito misure specifiche per
la “rottamazione” sicura di pc e dispositivi elettronici con l'obiettivo di
richiamare tutti gli utilizzatori sulla necessità di assicurare una reale ed
effettiva cancellazione dei dati o venga garantita la loro non intelligibilità.
Le misure
L
i
possono essere adottate
d tt t sia
i nell momento
t d
della
ll memorizzazione
i
i
d
deii
dati sia in quello successivo della loro distruzione.
Con tale provvedimento il Garante intende sviluppare una nuova
consapevolezza e indicare i modi con i quali rispettare i dati degli altri e
tutelarsi rispetto ai propri.
propri
Le norme di legge in ambito sicurezza
Pagina 50
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La gestione dei rifiuti elettronici 3 / 3
Le misure possono essere dei seguenti tipi:
‰ Misure tecniche preventive
Prevedono la protezione dei file usando una password di cifratura
cifratura, oppure la memorizzazione
dei dati su hard disk o supporti magnetici usando sistemi di cifratura automatica
‰ Misure tecniche di cancellazione sicura
La cancellazione sicura delle informazioni su disco fisso o su altri supporti magnetici è
ottenibile con programmi informatici di "riscrittura" che provvedono a scrivere ripetutamente
nelle aree vuote del disco. Si possono anche utilizzare sistemi di formattazione a basso
li ll degli
livello
d li hard
h d disk
di k o di "d
"demagnetizzazione",
ti
i
" iin grado
d di garantire
ti lla cancellazione
ll i
rapida
id
delle informazioni.
‰ Smaltimento di rifiuti elettrici ed elettronici
Per la distruzione degli hard disk e di supporti magnetici non riscrivibili, come cd rom e dvd,
è consigliabile l'utilizzo di sistemi di punzonatura o deformazione meccanica o di
demagnetizzazione ad alta intensità o di vera e propria distruzione fisica.
Le norme di legge in ambito sicurezza
Pagina 51
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Le norme di semplificazione 1 / 2
Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto un
provvedimento sulla semplificazione di alcuni adempimenti in materia di protezione
dei dati personali. Le nuove garanzie, adottate sentito il Ministro per la semplificazione
normativa, interessano:
‰ amministrazioni pubbliche e società private che utilizzano dati personali non sensibili
(nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici
dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni
sindacali;
‰ piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini
amministrativi e contabili.
Obiettivo dell'Autorità è mantenere un adeguato livello per le misure minime di
sicurezza venendo però incontro alle esigenze prospettate da imprese, soprattutto di
piccole dimensioni, volte a snellire le procedure, graduare le cautele a seconda della
delicatezza dei trattamenti e a contenere i costi.
Le norme di legge in ambito sicurezza
Pagina 52
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Le norme di semplificazione 2 / 2
In base al provvedimento del Garante, le categorie interessate:
‰ possono impartire agli incaricati le istruzioni in materia di misure minime anche
oralmente;
‰ possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di
autenticazione basato su un username e una password; lo username deve
essere disattivato quando viene meno il diritto di accesso ai dati (es
(es. non si
opera più all'interno dell'organizzazione);
‰ in caso di assenze prolungate o di impedimenti del dipendente possono mettere
in atto procedure o modalità che consentano comunque ll'operatività
operatività e la
sicurezza del sistema ( ad es. l'invio automatico delle mail ad un altro recapito
accessibile);
‰ d
devono aggiornare
i
i programmii di sicurezza
i
((antivirus)
ti i ) almeno
l
una volta
lt
l'anno;
‰ effettuare backup dei dati almeno una volta al mese.
Le norme di legge in ambito sicurezza
Pagina 53
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Il Computer
p
Crime
‰Le norme di legge in ambito sicurezza
Pagina 54
Version number 1.0 – Ottobre 2011
‰Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Indice
Il Computer Crime
‰ La legge 547/93 sui “computer crimes”
‰ La convenzione di Budapest del 2001
‰ La legge 48/2008 sui crimini informatici
Le norme di legge in ambito sicurezza
Pagina 55
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La legge 547/93 sui “computer crimes”
La legge n. 547 del 23 dicembre 1993, “Modificazioni ed integrazioni alle norme del
codice penale e del codice di procedura penale in tema di criminalità informatica”,
ha introdotto nel nostro ordinamento una normativa specifica sui reati informatici o
“computer crimes” colmando una lacuna in quanto prima non esisteva alcuna
disposizione in merito.
In mancanza di specifiche disposizioni le fattispecie relative ai computer crimes
venivano ricondotte, con molte difficoltà e forzature, nell’ambito applicativo delle
preesistenti norme incriminatrici, come quelle sul furto, sul danneggiamento, sulla
frode o sulla truffa.
Nel 1993 il legislatore
g
è intervenuto con la legge
gg n. 547 introducendo nuove forme di
aggressione criminosa, ma inserendole all’interno del codice penale e operando quindi
la scelta di non considerare i reati informatici come aggressivi di beni giuridici nuovi
rispetto a quelli tutelati dalle norme incriminatrici preesistenti.
Le norme di legge in ambito sicurezza
Pagina 56
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La legge 547/93 sui “computer crimes”
La legge 547/93 è intervenuta in quattro diverse direzioni, punendo le seguenti forme di
aggressione:
1. le aggressioni alla riservatezza dei dati e delle comunicazioni informatiche;
2. le aggressioni all’integrità dei dati e dei sistemi informatici;
3. le condotte in tema di falso, estese ai documenti informatici;
4. le frodi informatiche
Le norme di legge in ambito sicurezza
Pagina 57
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La legge 547/93 sui “computer crimes”
Crimine informatico
In generale è un crimine nel quale un sistema di elaborazione o una sua parte ricopre
uno dei seguenti ruoli:
‰ oggetto - ciò include la distruzione o la manipolazione dell’elaboratore, dei dati e
dei p
programmi
g
in esso contenuti e delle relative apparecchiature
pp
di supporto
pp
‰ soggetto - quando l’elaboratore è il luogo, il motivo o la fonte del crimine
‰ strumento - quando ciò che avviene in relazione all’elaborazione non è di per sé
ill
illegale,
l ma serve a commettere crimini
i i i di altro
l
tipo,
i
es. sabotaggio.
b
i IIn pratica
i un
sistema di elaborazione, o ciò che viene prodotto dall’elaboratore, è usato come
mezzo per compiere frodi, sabotaggi, falsificazioni
Le norme di legge in ambito sicurezza
Pagina 58
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La Convenzione di Budapest del 2001
La Convenzione di Budapest del 2001 è il frutto di parecchi anni di lavoro da parte di
un comitato di esperti istituito nel 1996 dal CEPC (Comitato Europeo per i Problemi
Criminali).
Il testo della Convenzione di Bupadest
p
è stato q
quindi il p
punto di arrivo di una comune
volontà europea di creare degli efficaci strumenti di lotta al Cybercrime, di armonizzare
le norme incriminatrici tra i vari paesi aderenti e di prevedere delle effettive e rapide
forme di collaborazione e cooperazione internazionale.
Le norme di legge in ambito sicurezza
Pagina 59
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La Legge 48 / 2008 sui Crimini Informatici
In data 18 marzo 2008 è stata approvata dal Parlamento italiano la Legge n. 48, con cui
è stata autorizzata la ratifica della Convenzione di Budapest del 2001 sul Cybercrime.
La legge 48/08 è intervenuta in maniera più consistente sugli aspetti processuali e
penalistici e sulle forme e procedure di cooperazione internazionale, apportando solo
poche modifiche all’impianto penalistico preesistente.
La legge 48/08 ha introdotto delle nuove forme di reato.
Tra queste vanno ricordate:
‰ la Falsa dichiarazione o attestazione al certificatore di firma elettronica
sull'identità o su qualità personali proprie o di altri
‰ La Frode informatica del soggetto che presta servizi di certificazione di firma
elettronica
Le norme di legge in ambito sicurezza
Pagina 60
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La Legge 48 / 2008 sui Crimini Informatici
Seguendo le indicazioni della Convenzione di Budapest, il legislatore italiano ha operato
una distinzione tra danneggiamenti di dati (informazioni, dati e programmi
informatici) e danneggiamenti di sistemi.
La legge ha introdotto una distinzione tra la protezione garantita ai dati ed ai sistemi di
pubblica utilità (p
p
(più forte)) e q
quella stabilita p
per i dati ed i sistemi p
privati ((meno
forte).
Le norme di legge in ambito sicurezza
Pagina 61
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La responsabilità amministrativa
delle persone giuridiche
‰Le norme di legge in ambito sicurezza
Pagina 62
Version number 1.0 – Ottobre 2011
‰Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Indice
La responsabilità amministrativa delle persone giuridiche
‰ Ambito della norma di legge
‰ Le sanzioni
‰ Il Modello Organizzativo 231
‰ La definizione delle misure atte a evitare o rilevare comportamenti illeciti
‰ Il Codice Etico
Le norme di legge in ambito sicurezza
Pagina 63
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Ambito della norma di legge
La responsabilità amministrativa degli enti
Il D.Lgs. 8 giugno 2001 n. 231 stabilisce che le società sono passibili di responsabilità
amministrativa
i i t ti per i reati
ti commessii a loro
l
vantaggio
t
i o nell lloro iinteresse
t
d
da:
¾ persone che rivestono funzioni di rappresentanza, amministrazione o direzione
dell’ente o da chi esercita, anche di fatto, funzioni di direzione e controllo
¾ persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al
punto precedente
La responsabilità in sede penale degli enti si aggiunge a quella delle persone fisiche che
li rappresentano e che materialmente hanno realizzato l’illecito.
E’ da precisare che la responsabilità sorge in occasione della realizzazione di
determinati tipi di reati commessi da parte di soggetti legati a vario titolo all’ente e
solo nelle ipotesi che la condotta illecita sia stata realizzata nell’interesse o a
vantaggio di esso.
Le norme di legge in ambito sicurezza
Pagina 64
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Ambito della norma di legge
Responsabilità
Penale
Reato
Il Reato rientra nella
po og a p
prevista
e sta
Tipologia
dalla 231
Persona Fisica
Il reato è
nell’interesse e/o
vantaggio dell’ente
Responsabilità
p
Amministrativa
E t
Ente
Le norme di legge in ambito sicurezza
Pagina 65
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Ambito della norma di legge
Se l’ente è in grado di provare:
‰ che ha preventivamente adottato ed efficacemente attuato modelli
organizzativi
i
i i e di gestione
i
id
idonei
i a iindividuare
di id
e prevenire
i reatii d
della
ll specie
i di
quello verificatosi
‰ che ha affidato ad un proprio organismo (Organismo di Vigilanza) - dotato di
autonomi poteri di iniziativa e di controllo - il compito di vigilare sul
funzionamento e l’osservanza dei modelli e di curarne il loro aggiornamento
‰ la violazione fraudolenta dei modelli da p
parte degli
g autori del reato
‰ la diligenza dell’Organismo di Vigilanza e dei soggetti incaricati della gestione e
del controllo
non gli viene attribuita la responsabilità
à dell’accaduto
Le norme di legge in ambito sicurezza
Pagina 66
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Ambito della norma di legge
‰ Reati commessi nei rapporti con la Pubblica Amministrazione
‰ Delitti informatici e trattamento illecito dei dati
‰ Delitti di criminalità organizzata
‰ Reati commessi nei rapporti con la Pubblica Amministrazione
‰ Reati di falso nummario
‰ Delitti contro l'industria e il commercio
‰ Reati societari
‰ Reati con finalità di terrorismo o di eversione dell’ordine democratico previsti dal codice penale
e dalle leggi speciali
‰ Pratiche
P ti h di mutilazione
til i
d
degli
li organii genitali
it li ffemminili
i ili
‰ Delitti contro la personalità individuale
‰ Reati di abuso di mercato
‰ Reati di omicidio colposo e lesioni colpose gravi o gravissime,
gravissime commessi con violazione delle
norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro
‰ Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita
‰ Delitti in materia di violazione del diritto d'autore
d autore
‰ Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria
‰ Reati transnazionali
Le norme di legge in ambito sicurezza
Pagina 67
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Ambito della norma di legge
Reati in ambito informatico (1 / 3)
‰ Reati commessi nei rapporti con la Pubblica Amministrazione
¾ Frode informatica in danno dello Stato o di altro ente pubblico
‰ Delitti contro la personalità individuale
¾ Detenzione di materiale pedopornografico
¾ Pornografia virtuale
Le norme di legge in ambito sicurezza
Pagina 68
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Ambito della norma di legge
Reati in ambito informatico (2 / 3)
‰ Delitti informatici e trattamento illecito dei dati
¾ falsità
f l ità iin un d
documento
t iinformatico
f
ti pubblico
bbli o avente
t efficacia
ffi
i probatoria
b t i
¾ accesso abusivo ad un sistema informatico o telematico
¾ detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici
¾ diffusione di apparecchiature,
apparecchiature dispositivi o programmi informatici diretti a danneggiare o
interrompere un sistema informatico o telematico
¾ intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o
telematiche
¾ installazione di apparecchiature atte ad intercettare, impedire o interrompere
comunicazioni informatiche o telematiche
¾ danneggiamento di informazioni, dati e programmi informatici
¾ danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da
altro ente pubblico o comunque di pubblica utilità
¾ danneggiamento di sistemi informatici o telematici
¾ danneggiamento
d
i
t di sistemi
i t i iinformatici
f
ti i o telematici
t l
ti i di pubblica
bbli utilità
tilità
¾ frode informatica del certificatore di firma elettronica
Le norme di legge in ambito sicurezza
Pagina 69
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Ambito della norma di legge
Reati in ambito informatico (3 / 3)
‰
Delitti in materia di violazione del diritto d'autore
¾ Messa a disposizione del pubblico, in un sistema di reti telematiche, mediante connessioni di qualsiasi
genere, di un'opera dell'ingegno protetta, o di parte di essa
¾ Reati di cui al punto precedente commessi su opere altrui non destinate alla pubblicazione qualora ne risulti
offeso l’onore o la reputazione
¾ Abusiva duplicazione, per trarne profitto, di programmi per elaboratore; importazione, distribuzione,
vendita o detenzione a scopo commerciale o imprenditoriale o concessione in locazione di programmi
contenuti in supporti
pp
non contrassegnati
g
dalla SIAE;; p
predisposizione
p
di mezzi p
per rimuovere o eludere i
dispositivi di protezione di programmi per elaboratori
¾ Riproduzione, trasferimento su altro supporto, distribuzione, comunicazione, presentazione o dimostrazione
in pubblico, del contenuto di una banca dati; estrazione o reimpiego della banca dati; distribuzione, vendita
o concessione in locazione di banche di dati
¾ Abusiva duplicazione, riproduzione, trasmissione o diffusione in pubblico con qualsiasi procedimento, in
tutto o in parte, di opere dell'ingegno destinate al circuito televisivo, cinematografico, della vendita o del
noleggio di dischi, nastri o supporti analoghi o ogni altro supporto contenente fonogrammi o videogrammi di
opere musicali, cinematografiche o audiovisive assimilate o sequenze di immagini in movimento; opere
letterarie, drammatiche, scientifiche o didattiche, musicali o drammatico musicali, multimediali, anche se
p
collettive o composite
p
o banche dati;; riproduzione,
p
, duplicazione,
p
, trasmissione o diffusione
inserite in opere
abusiva, vendita o commercio, cessione a qualsiasi titolo o importazione abusiva di oltre cinquanta copie o
esemplari di opere tutelate dal diritto d'autore e da diritti connessi; immissione in un sistema di reti
telematiche, mediante connessioni di qualsiasi genere, di un'opera dell'ingegno protetta dal diritto d'autore,
o parte di essa
¾ Mancata comunicazione alla SIAE dei dati di identificazione dei supporti
pp
non soggetti
gg
al contrassegno
g o falsa
dichiarazione
¾ Fraudolenta produzione, vendita, importazione, promozione, installazione, modifica, utilizzo per uso
pubblico e privato di apparati o parti di apparati atti alla decodificazione di trasmissioni audiovisive ad
accesso condizionato effettuate via etere, via satellite, via cavo, in forma sia analogica sia digitale
Le norme di legge in ambito sicurezza
Pagina 70
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Ambito della norma di legge
Le sanzioni
Le sanzioni previste dal Decreto sono:
‰ Sanzione pecuniaria, da Euro 25.823 a Euro 1.549.371
‰ Sanzione interdittiva, della durata compresa tra 3 mesi e 2 anni:
¾ interdizione
d
d
dall’esercizio
ll’
dell’attività
d ll’
à
¾ sospensione o revoca delle autorizzazioni, licenze o concessioni
¾ divieto di contrattare con la PA
¾ esclusione da agevolazioni, finanziamenti, contributi o sussidi e revoca di
quelli concessi
¾ divieto di pubblicizzare beni o servizi
‰ Confisca del profitto ottenuto e pubblicazione della sentenza
Le norme di legge in ambito sicurezza
Pagina 71
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Il Modello organizzativo 231
Un Modello organizzativo è un complesso di regole, strumenti e condotte finalizzato a
dotare l’Ente:
‰ di un efficace sistema organizzativo e di gestione
‰ (ragionevolmente) idoneo a individuare e prevenire le condotte penalmente
rilevanti poste in essere dall’Ente stesso o dai soggetti sottoposti alla sua
direzione e/o vigilanza
Le norme di legge in ambito sicurezza
Pagina 72
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Il Modello organizzativo 231
Modello Organizzativo per le PMI
Per le PMI tale incombenza potrebbe essere demandata (secondo quanto statuito
dall'arti. 6 c.4) direttamente all'organo dirigente.
L organo dirigente si può avvalere di professionisti esterni ai quali affidare ll'incarico
L’organo
incarico di
effettuare periodiche verifiche sul rispetto e l'efficacia dei modelli.
I professionisti
f i i ti esterni
t i potranno
t
svolgere
lg
ttutte
tt lle attività
tti ità di carattere
tt
ttecnico
i riferendo
if
d
all'organo dell'Ente.
Le norme di legge in ambito sicurezza
Pagina 73
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Il Modello organizzativo 231
Adempimenti organizzativi
Linee Guida
Processo di Risk Management
L’azienda
L
azienda deve:
1.
‰ aver ex-ante adottato ed
2.
efficacemente attuato un modello
organizzativo e di gestione adeguato
3
3.
ad individuare e prevenire reati
4.
‰ aver implementato un organismo
5.
con il compito di vigilare sul
Mappatura Processi “a
rischio”
Elenco rischi potenziali
per processo
Analisi del sistema di
controllo preventivo
Valutazione dei rischi
residui
Adeguamento sistema
di controllo preventivo
funzionamento e l’osservanza dei
modelli curandone il loro
aggiornamento
‰ dimostrare la diligenza dell’organismo
di vigilanza e dei soggetti incaricati della
gestione e del controllo
Le norme di legge in ambito sicurezza
Pagina 74
Codice Etico
Sistema Org.vo
g
Comunicazione
al personale
Proced. Manuali
ed Informatiche
Comunicazione
al personale
Proced. Manuali
ed Informatiche
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
La definizione delle misure atte a evitare o rilevare comportamenti illeciti
Predisporre o Aggiornare:
‰ Modello Organizzativo
‰ Processi, policy e procedure relative alle attività a rischio di reato
‰ Codice Etico
‰ Controlli di sicurezza da implementare/monitorare
‰ attività di formazione e informazione
Le norme di legge in ambito sicurezza
Pagina 75
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Il Codice Etico
Esempio di un Codice Etico
INDICE
1 INTRODUZIONE ...................................................................................................
2 AMBITO DI APPLICAZIONE ..................................................................................
3 LA MISSION DELLA AZIENDA xyz.........................................................................
4LA VISION DELLA AZIENDA xyz............................................................................
4 1 UN CENTRO DI ECCELLENZA NEL SERVIZIO AL CLIENTE E NELLE SOLUZIONI OFFERTE
4.1
4.2 UN’AZIENDA LEALE, COMPETITIVA E PROFITTEVOLE ................................................
4.3 UNO DEI POSTI MIGLIORI IN CUI LAVORARE...........................................................
5 RAPPORTI INTERNI..............................................................................................
5.1 RAPPORTI CON I DIPENDENTI ...............................................................................
5.2 RAPPORTI CON GLI AMMINISTRATORI E I SINDACI...................................................
5.3 RAPPORTI CON GLI AZIONISTI ..............................................................................
6 RAPPORTI ESTERNI..............................................................................................
6.1 RAPPORTI CON I CLIENTI.......................................................................................
6.2 RAPPORTI CON I FORNITORI .................................................................................
6.3 RAPPORTI CON LA PUBBLICA AMMINISTRAZIONE .....................................................
6.4 RAPPORTI CON LE ISTITUZIONI E LE AUTORITÀ COMPETENTI ………………………………………..
6.5 RAPPORTI CON I PARTITI, I SINDACATI E LE ALTRE ASSOCIAZIONI ………………………………
6.6 RAPPORTI CON GLI ORGANI DI INFORMAZIONE .......................................................
6.7 RAPPORTI CON LA CONCORRENZA .........................................................................
6.8 SISTEMA DI GOVERNO SOCIETARIO .......................................................................
7 SEGNALAZIONI DI VIOLAZIONI............................................................................
Le norme di legge in ambito sicurezza
Pagina 76
Version number 1.0 – Ottobre 2011
Tutti i diritti riservati. E' vietata la riproduzione anche parziale di questo manuale e della documentazione allegata, senza previa autorizzazione di ADFOR S.p.A.
Documenti correlati
Camattari Fabiana Un essere vivente compie un ciclo vitale, che è
Camattari Fabiana Un essere vivente compie un ciclo vitale, che è
UNIVERSITÀ DEGLI STUDI DI VERONA Biotecnologie Fascicolo
UNIVERSITÀ DEGLI STUDI DI VERONA Biotecnologie Fascicolo
putti Programma ripr..
putti Programma ripr..
Dispensa del corso di formazione "Misurare la
Dispensa del corso di formazione "Misurare la
PROGETTO CORSO RICAMO “PUNTO CROCE”
PROGETTO CORSO RICAMO “PUNTO CROCE”
Report di appunti: “fondamenta di Marketing”
Report di appunti: “fondamenta di Marketing”
Imprese turistiche - Confcommercio Udine
Imprese turistiche - Confcommercio Udine
Programma minimo 2^ per recupero debito
Programma minimo 2^ per recupero debito
Dispensa del corso di formazione "La gestione
Dispensa del corso di formazione "La gestione
Dispensa Il marketing nei fatti
Dispensa Il marketing nei fatti
Scarica