Misure di sicurezza nel trattamento dei dati personali
This presentation is the property of its rightful owner.
Sponsored Links
1 / 23

Misure di sicurezza nel trattamento dei dati personali PowerPoint PPT Presentation


  • 93 Views
  • Uploaded on
  • Presentation posted in: General

Misure di sicurezza nel trattamento dei dati personali. Diritto alla riservatezza: significato e fondamenti normativi. Un diritto in evoluzione Dal diritto ad essere lasciati soli al controllo sui propri dati. Le fonti della riservatezza I fondamenti costituzionali; La direttiva 95/46 CE;

Download Presentation

Misure di sicurezza nel trattamento dei dati personali

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Misure di sicurezza nel trattamento dei dati personali

Misure di sicurezza nel trattamento dei dati personali

Gestione dei dati: obblighi e responsabilità


Diritto alla riservatezza significato e fondamenti normativi

Diritto alla riservatezza: significato e fondamenti normativi

  • Un diritto in evoluzione

    • Dal diritto ad essere lasciati soli al controllo sui propri dati.

  • Le fonti della riservatezza

    • I fondamenti costituzionali;

    • La direttiva 95/46 CE;

    • art. 7 della Convenzione di Strasburgo n. 108 del 28 gennaio 1981;

    • art. 17 della direttiva 95/46/CE;

    • art. 4 della direttiva 97/66/CE.

Gestione dei dati: obblighi e responsabilità


Una normativa in fieri

Una normativa in fieri

  • Le deleghe della legge n. 676 del 1996

    • Settori considerati

    • L’elaborazione in sede internazionale

  • Le pronunce del Garante

Gestione dei dati: obblighi e responsabilità


Ambito di applicazione alcune definizioni

Ambito di applicazione: alcune definizioni

  • Dato personale

    • Qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione identificata o identificabile… (art.1, comma 2, lett.c)

  • Trattamento

    • Qualunque operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati…. (art.1, comma2, lett.b)

Gestione dei dati: obblighi e responsabilità


I pilastri della legge

I pilastri della legge

  • Informativa

  • Consenso

  • Autorizzazione del Garante (dati sensibili)

  • Notificazione

  • Misure di sicurezza

Gestione dei dati: obblighi e responsabilità


Tutela penale dei sistemi informatici e telematici

Tutela penale dei sistemi informatici e telematici

Fattispecie introdotte dalla legge 547/93

  • Art. 613 ter c.p. “accesso abusivo ad un sistema informatico o telematico”

  • Art. 640 ter “frode informatica”

  • Art. 392 co. 4 c.p. “esercizio arbitrario delle proprie ragioni con impedimento o turbamento di un sistema informatico o telematico”

  • Art. 615 quater c.p. “detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici”

Gestione dei dati: obblighi e responsabilità


Il t u in materia di documentazione amministrativa

Il T.U. in materia di documentazione amministrativa

  • D.P.R. 28/12/2000, n. 445

    • Articolo 52, comma 1:Il sistema di gestione informatica dei documenti deve garantire la sicurezza e l’integrità del sistema, deve consentire, in condizioni di sicurezza, l’accesso alle informazioni del sistema da parte dei soggetti interessati, nel rispetto delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali

Gestione dei dati: obblighi e responsabilità


Sicurezza dei dati art 15

Sicurezza dei dati (art.15)

  • Comma 1 Onere di custodire i dati in modo da ridurre al minimo i rischi di perdita anche accidentale dei dati, accesso non autorizzato o non consentito o comunque non conforme alla raccolta

    • Aggiornamento in relazione al progresso tecnico

    • Risarcimento (art. 18)

  • Comma 2 Misure minime di sicurezza individuate con il regolamento emanato con il d.P.R. n. 318/1999

    • Sanzioni penali (art. 36)

Gestione dei dati: obblighi e responsabilità


Responsabilit civile

Responsabilità civile

  • La mancata predisposizione delle misure di cui all’art. 15, comma 1 comporta la responsabilità per i danni eventualmente cagionati ai sensi dell’art.2050 c.c.

  • Ne discende che il trattamento di dati personali è considerata “attività pericolosa” con conseguente presunzione di colpa del gestore e relativa inversione dell’onere della prova.

Gestione dei dati: obblighi e responsabilità


Omessa adozione delle misure minime

Omessa adozione delle misure minime

  • All’inosservanza delle norme contenute nel regolamento sono collegate sanzioni di carattere penale (art. 36)

Gestione dei dati: obblighi e responsabilità


Nuove figure

Nuove figure

  • Il preposto: soggetto “preposto” alla custodia della parola chiave o che ha accesso alle informazioni che riguardano le medesime.

  • L’amministratore di sistema: soggetto cui è conferito il compito di sovraintendere alle risorse del sistema operativo di un elaboratore o di un sistema di basi dati e di consentirne la utilizzazione.

Gestione dei dati: obblighi e responsabilità


Come definire le idonee misure di sicurezza

Come definire le “idonee misure di sicurezza”

  • Custodia e controllo dei dati basato su:

    • la cultura della sicurezza in quel momento (misure gestionali, fisiche e logiche);

    • esperienze acquisite.

  • Natura dei dati;

  • Specifiche caratteristiche del trattamento.

  • Rischi

Gestione dei dati: obblighi e responsabilità


Riduzione al minimo dei rischi

Riduzione al minimo dei rischi

  • Distruzione o perdita dei dati;

  • Accessi non autorizzati;

  • Trattamenti illeciti;

  • Trattamenti non consentiti o non conformi alle finalità della raccolta.

Gestione dei dati: obblighi e responsabilità


Misure minime il regolamento distingue diversi tipi di trattamento

Misure minime. Il regolamento distingue diversi tipi di trattamento

  • trattamento con elaboratori singoli non accessibili da altri elaboratori o terminali;

  • trattamento con reti locali non disponibili al pubblico;

  • trattamento con reti locali accessibili mediante una rete pubblica

  • trattamento con strumenti diversi da quelli elettronici o automatizzati

  • trattamenti effettuati per fini esclusivamente personali

Gestione dei dati: obblighi e responsabilità


Misure di sicurezza nel trattamento dei dati personali

A. Trattamento con elaboratori singoli non accessibili da altri elaboratori o terminali (art. 2 d.P.R. n. 318/99).

1. individuazione degli incaricati2. parola d’accesso3. preposto alla custodia

Gestione dei dati: obblighi e responsabilità


Misure di sicurezza nel trattamento dei dati personali

4. Se i dati sono sensibili o di carattere giudiziario: autorizzazioni agli incaricati del trattamento o della manutenzione

  • b. trattamento con reti locali non disponibili al pubblico

  • Quanto già previsto all’art. 2 (individuazione degli incaricati, parola d’accesso, preposto alla custodia);

  • Codice identificativo personale;

  • Elaboratori protetti contro il rischio di intrusione;

Gestione dei dati: obblighi e responsabilità


C trattamento effettuato mediante elaboratori accessibili in rete pubblica

c. Trattamento effettuato mediante elaboratori accessibili in rete pubblica

  • Oltre quanto previsto nella situazione precedente, nel caso in cui si trattino dati particolari:

  • sono oggetto di autorizzazione anche gli strumenti utilizzati per l’interconnessione;

  • documento programmatico sulla sicurezza

Gestione dei dati: obblighi e responsabilità


Documento programmatico sulla sicurezza

Documento programmatico sulla sicurezza

  • Criteri tecnici e organizzativi per proteggere le aree e controllare l’accesso delle persone autorizzate;

  • Criteri e procedure per assicurare l’integrità dei dati e per la sicurezza delle trasmissioni;

  • Elaborazione di un piano di formazione;

  • Sottoporre a controlli periodici, con cadenza almeno annuale, l’efficacia delle misure di sicurezza.

Gestione dei dati: obblighi e responsabilità


Trattamento con strumenti diversi da quelli elettronici o automatizzati

Trattamento con strumenti diversi da quelli elettronici o automatizzati

  • Designazione incaricati e accesso selezionato ai locali;

  • Se il trattamento riguarda dati particolari:

  • Conservazione in contenitori muniti di serratura;

  • Identificazione e registrazione dei soggetti che accedono agli archivi dopo l’orario di chiusura

Gestione dei dati: obblighi e responsabilità


Trattamenti effettuati per fini esclusivamente personali

Trattamenti effettuati per fini esclusivamente personali

  • Il regolamento si applica solo se coesistono tre condizioni.

    I dati trattati sono :

  • “particolari”;

  • organizzati in banche dati;

  • gli elaboratori con cui si effettua il trattamento sono stabilmente accessibili da altri elaboratori.

  • Obbligo: proteggere l’accesso con una parola chiave

Gestione dei dati: obblighi e responsabilità


L importanza nei sistemi di sicurezza la preventiva organizzazione

L’IMPORTANZA NEI SISTEMI DI SICUREZZA È LA PREVENTIVA ORGANIZZAZIONE

  • L’erroneo atteggiamento degli operatori è più pericoloso degli stessi hacker.

  • L’adeguatezza delle misure di difesa non è solo potenziare i sistemi hardware e software ma la capacità di servirsene nella maniera più efficace.

  • Indagine di Sicurforum sulla criminalità: virus, manomissione e sottrazione (i più temuti).

  • Spesso i provvedimenti vengono presi solo a seguito di un attacco.

  • Due obiettivi: proteggere i dati e limitare i danni di una incursione.

  • Non basta l’investimento iniziale ma occorre continua attenzione e costante aggiornamento.

Gestione dei dati: obblighi e responsabilità


Sito del garante

www.garanteprivacy.it

Sito del Garante

Gestione dei dati: obblighi e responsabilità


Un auspicio una sfida

Un auspicio, una sfida

  • Sfruttare spazi aperti da una normativa in fieri

  • Il valore aggiunto della soft law

  • Diffondere la cultura della Privacy come valore, non solo come onere

  • Un modo nuovo per relazionarsi con i soggetti con cui si entra a contatto e soprattutto con i cittadini.

Gestione dei dati: obblighi e responsabilità


  • Login