Trattamento di dati sensibili
Università degli Studi di Milano
Polo didattico e di ricerca di Crema
Dipartimento di Tecnologie dell’Informazione
Corso in trattamento dei dati sensibili
Simone Bonavita
Seminari specialistici tematici e case history:
Avv. Prof. Pierluigi Perri – Avv. Edoardo Artese – Dott. Stefano De
Cristofaro – Marta Ghiglioni – Dott. Carlo Bernardi
Diritto & sicurezza informatica
ottobre 2015
Riassunto
 Riassunto della lezione 1?
Nomine a responsabile ed incaricato
 Vediamo le nomine sul Codice.
Sicurezza informatica per giovani Giuristi
 Non esiste un sistema sicuro al 100%; Il mito del sistema
inattaccabile è analogo al mito della nave inaffondabile. (V. Titanic)
 Gnu/Linux e MacOS sono veramente immuni ai virus?
 Il livello sicurezza di un sistema è dato dal tempo necessario per
violare il sistema, dall'investimento necessario e dalla probabilità di
successo.
Diritto & Sicurezza
 Perché i giuristi parlano di sicurezza informatica?
 Il diritto, volente o nolente, ha dovuto “mutuare” per certi versi la
disciplina informatica della sicurezza, integrandola nei testi di legge.
La sicurezza informatica
 Non esiste una vera e propria definizione di "Sicurezza Informatica".
Possiamo comunque delinearla come la scienza che studia come
proteggere le informazioni elaborate o trasferite elettronicamente
da atti indesiderabili che possono avvenire accidentalmente, o
essere frutto di azioni colpose o dolose. (Perri 2003)
Teorie sulla sicurezza

Alla sicurezza (in particolare dei dati e dei sistemi informatici) sono state attribuite diverse funzioni:
- funzione concorrenziale (fattore di competitività per l'azienda);
- funzione garantista (preservando i dati personali da usi impropri si tutela anche la dignità della persona);
- funzione forense (può prevenire la formazione di fattispecie criminose o, quantomeno, agevolare l'operato delle forze
dell'ordine);
- funzione efficientista (è stato statisticamente provato che l’adozione di accorgimenti in materia di sicurezza ha portato ad
una maggiore efficienza dell’intera struttura, sia essa pubblica o privata).
La sicurezza informatica
“La sicurezza è studio, sviluppo ed attuazione delle
strategie, delle politiche e dei piani operativi volti a
prevenire, fronteggiare e superare eventi in
prevalenza di natura dolosa e/o colposa, che
possono danneggiare le risorse materiali,
immateriali ed umane di cui l'azienda dispone e
necessita per garantirsi un'adeguata capacità
concorrenziale nel breve, medio e lungo periodo”.
[uni / en iso 104559]
Disclosure?
 La conoscenza degli strumenti di sicurezza, dei problemi e delle
vulnerabilità che sorgono progressivamente devono essere
patrimonio culturale di tutti gli utenti.
 A tal proposito si parla di full disclosure contrapposta alla closed
disclosure.
Il diritto della Sicurezza Informatica
 La Comuntà Europea [...] è impegnata nel
promuovere un vero e proprio diritto della sicurezza
informatica (Cfr. Buttarelli, Verso un diritto della
sicurezza informatica in Sicurezza Informatica.1995)
 “Nella tematica della sicurezza, l'approccio giuridico
non è quello prevalente, ma, nel tempo, la disciplina
tecnica si è dovuta coniugare con un insieme di
regole simbolicamente contrassegnate come diritto
della sicurezza informatica” (Buttarelli 1997)
Il diritto della Sicurezza Informatica
 Il diritto della sicurezza informatica ha ad oggetto lo studio delle
norme tramite le quali è possibile assicurare l'integrità, la
riservatezza e la disponibilità del dato trattato. (Bonavita 2009)
“Antiche Fonti del Diritto”
 D.P.C.M.15 FEBBRAIO 1989
Coordinamento delle
iniziative e pianificazioni degli investimenti in materia di
automazione nelle amministrazioni pubbliche, Art. 4. “Le
amministrazioni pubbliche garantiscono l'applicazione
delle misure per la sicurezza dei centri elaborazione
dati, la segretezza e la riservatezza dei dati contenuti
negli archivi automatizzati, il numero delle copie dei
programmi dei dati memorizzati da conservare, le
modalità per la loro conservazione e custodia”.
Fonti
 La legge 23 dicembre 1993 n. 547 “Modificazioni ed
integrazioni alle norme del codice penale e del codice di
procedura penale in tema di criminalità informatica”;
 · la legge 3 agosto 1998, n. 269 “Norme contro lo
sfruttamento della prostituzione, della pornografia, del
turismo sessuale in danno di minori, quali nuove forme di
riduzione in schiavitù”;
 la legge 18 agosto 2000, n. 248 “Nuove norme di tutela del
diritto d'autore” volta a reprimere i comportamenti illeciti di
pirateria informatica;
Fonti
 Il Decreto Legislativo 8 giugno 2001, n. 231 “Disciplina della
responsabilità amministrativa delle persone giuridiche, delle società
e delle associazioni anche prive di personalità giuridica, a norma
dell'articolo 11 della legge 29 settembre 2000, n. 300”
 In particolare il d.lgsl. 231/01 viene periodicamente aggiornato con
l’inclusione di nuovi reati; nel 2008 è stato aggiornato per tener
conto della legge n.48/2008, nel luglio 2009 per tener conto di
nuovi delitti in relazione alla violazione del diritto d’autore
 E’ tuttavia nella legge in materia di trattamento dei dati personali
che la sicurezza informatica ha trovato il suo luogo di elezione.
Codice della proprietà industriale (D. Lgs.
30/05)
 Art. 98
“1. Costituiscono oggetto di tutela le informazioni aziendali e le esperienze tecnico-industriali,
comprese quelle commerciali, soggette al legittimo controllo del detentore, ove tali
informazioni:
a) siano segrete, nel senso che non siano nel loro insieme o nella precisa configurazione e
combinazione dei loro elementi generalmente note o facilmente accessibili agli esperti ed
agli operatori del settore;
b) abbiano valore economico in quanto segrete;
c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure
da ritenersi ragionevolmente adeguate a mantenerle segrete.
2. Costituiscono altresi' oggetto di protezione i dati relativi a prove o altri dati segreti, la cui
elaborazione comporti un considerevole impegno ed alla cui presentazione sia subordinata
l'autorizzazione dell'immissione in commercio di prodotti chimici, farmaceutici o agricoli
implicanti l'uso di nuove sostanze chimiche.”
Codice dell’amministrazione digitale (D.Lgs.
7 marzo 2005 n. 82)
Art. 51 (Sicurezza dei dati)
1. Con le regole tecniche adottate ai sensi dell' articolo 71 sono individuate le modalità che garantiscono l'esattezza, la
disponibilità, l'accessibilità, l'integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture .
1-bis. DigitPA, ai fini dell'attuazione del comma 1 :
a) raccorda le iniziative di prevenzione e gestione degli incidenti di sicurezza informatici;
b) promuove intese con le analoghe strutture internazionali;
c) segnala al Ministro per la pubblica amministrazione e l'innovazione il mancato rispetto delle regole tecniche di cui al comma 1 da
parte delle pubbliche amministrazioni .
2. I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al
minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta.
2-bis. Le amministrazioni hanno l'obbligo di aggiornare tempestivamente i dati nei propri archivi, non appena vengano a
conoscenza dell'inesattezza degli stessi .
Cass. Sez. VI Pen. Sent. 46509/04
“[…] 3. Per quanto concerne il reato di cui all'art. 615 ter,
comma 2, n. 1, c.p. (capo B) non e' ravvisabile la condotta
contestata in quanto il sistema informatico nel quale
l'imputato si inseriva abusivamente non risulta
obiettivamente (ne' la sentenza fornisce la relativa
prova) protetto da misure di sicurezza, essendo anzi tale
sistema a disposizione dell'imputato in virtù delle
mansioni affidategli per ragioni di ufficio. Il fatto che il
D.C. ne facesse un uso distorto a fini illeciti e personali,
non sposta i termini della questione, mancando il
presupposto della "protezione" speciale del sistema
stesso. Da tale reato pertanto l'imputato deve essere
assolto perché il fatto non sussiste”.
Giurisprudenza sui computer crimes (Cass. V
Sez. Pen. Sent. 12732/00)
“...Certo è necessario che l'accesso al sistema informatico non sia
aperto a tutti, come talora avviene soprattutto quando si tratti di
sistemi telematici. Ma deve ritenersi che, ai fini della configurabilità
del delitto, assuma rilevanza qualsiasi meccanismo di selezione dei
soggetti abilitati all'accesso al sistema informatico, anche quando
si tratti di strumenti esterni al sistema e meramente organizzativi,
in quanto destinati a regolare l'ingresso stesso nei locali in cui gli
impianti sono custoditi. Ed è certamente corretta, in questa
prospettiva, la distinzione operata dalla corte d'appello tra le banche
dati offerte al pubblico a determinate condizioni e le banche dati
destinate a un'utilizzazione privata esclusiva, come i dati contabili di
un'azienda”.
Assicurare…
 l'integrità, la riservatezza e la disponibilità
Scopi delle misure
 Lo scopo finale delle misure di sicurezza è quello di garantire al dato:
✓
Integrità
✓
Confidenzialità
✓
Disponibilità
Misure minime di sicurezza
 il complesso delle misure tecniche, informatiche, organizzative,
logistiche e procedurali di sicurezza che configurano il livello minimo
di protezione richiesto in relazione ai rischi previsti nell'articolo 31
del Codice;
Misure Minime ed Idonee
 Idonee: Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali è tenuto al risarcimento ai sensi
dell'articolo 2050 del codice civile.
 Minime: Chiunque, essendovi tenuto, omette di adottare le misure
minime previste dall'articolo 33 del Codice è punito con l'arresto
sino a due anni.
Misure Minime
“Il complesso delle misure tecniche, informatiche, organizzative,
logistiche e procedurali di sicurezza che configurano il livello minimo
di protezione richiesto in relazione ai rischi previsti dall’art. 31”
I parametri
1) Progresso tecnico;
2) Natura dei dati;
3) Specifiche caratteristiche del trattamento.
Progresso tecnico
 Per progresso tecnico la dottrina dominante ha individuato che esso
vada identificato come “l’insieme delle soluzioni concretamente
disponibili sul mercato”
G. Buttarelli, Privacy e banche dati, Giuffrè, 1997
Natura dei dati
 La natura dei dati influisce molto sul livello di sicurezza che dovrà
essere adottato.
 Se una struttura tratterà solo dati personali, potrà permettersi
un’attenzione minore nei confronti della sicurezza. Diversamente, in
caso di trattamento di dati sensibili o giudiziari, l’attenzione nei
confronti della sicurezza deve essere massima.
Specifiche caratteristiche del
trattamento
 Come tratto i dati?
 Con l’ausilio di strumenti elettronici?
 Senza l’ausilio di strumenti elettronici?
 In maniera “ibrida”?
Le sanzioni
Art. 15
Danni cagionati per effetto del trattamento
 1. Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali è tenuto al risarcimento ai
sensi dell'articolo 2050 del codice civile.
 2. (omissis)
Art. 2050 c.c.
 “Chiunque cagiona danno ad altri nello svolgimento di un’attività
pericolosa, per sua natura o per natura dei mezzi adoperati, è
tenuto al risarcimento, se non prova di avere adottato tutte le
misure idonee a evitare il danno”.
 Quindi…trattare i dati è un’attività pericolosa!
Sicurezza & Diritto
 Mai come nell'era della “cyberlaw” il diritto si è interessato, per diversi aspetti, della
sicurezza. Alcuni esempi illustri:
- Normativa sul diritto d'autore (art. 102-quater L 633/41)
“1. I titolari di diritti d'autore e di diritti connessi nonché del diritto di cui all'art. 102-bis, comma
3, possono apporre sulle opere o sui materiali protetti misure tecnologiche di protezione
efficaci che comprendono tutte le tecnologie, i dispositivi o i componenti che, nel normale
corso del loro funzionamento, sono destinati a impedire o limitare atti non autorizzati dai
titolari dei diritti.
2. Le misure tecnologiche di protezione sono considerate efficaci nel caso in cui l'uso dell'opera
o del materiale protetto sia controllato dai titolari tramite l'applicazione di un dispositivo di
accesso o dì un procedimento di protezione, quale la cifratura, la distorsione o qualsiasi
altra trasformazione dell'opera o del materiale protetto, ovvero sia limitato mediante un
meccanismo di controllo delle copie che realizzi l'obiettivo di protezione”.
La sicurezza dei dati nel
Codice privacy
Il “fu Dps”
 Dps e tracciamento dei dati
 Proviamo a compilarne insieme uno noi
I principi
 La normativa vigente in materia di sicurezza ha
risentito, in particolare, dell'influsso di tre elementi: lo
Standard BS7799, la Direttiva 2002/58/CE e le linee
guida OCSE/OECD per la sicurezza dei sistemi
informativi e delle reti di telecomunicazioni, per cui ha
fissato quattro principi basilari:
✓
✓
✓
✓
Pertinenza
Custodia
Controllo
Separazione
Obblighi di sicurezza
 I principi che stanno alla base delle misure di sicurezza
sono racchiusi nell'art. 31 del Codice, che recita:
 “I dati personali oggetto di trattamento sono custoditi
e controllati, anche in relazione alle conoscenze
acquisite in base al progresso tecnico, alla natura dei
dati e alle specifiche caratteristiche del trattamento,
in modo da ridurre al minimo, mediante l'adozione di
idonee e preventive misure di sicurezza, i rischi di
distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalità della raccolta”.
Autenticazione
 Il trattamento dei dati è subordinato dalla legge al
superamento di una “procedura di autenticazione”,
con ciò significando che è necessaria una interazione
tra l’incaricato (persona fisica) e lo strumento
elettronico;
 La credenziale di autorizzazione può consistere in
qualcosa che l’utente conosce (ad es. la coppia di
identificativi userid/password), possiede (ad es. un
token USB) o è (ad es. una qualsiasi caratteristica
biometrica del soggetto incaricato);
Assegnazione
 Ogni singola postazione dovrà adottare un sistema operativo in
grado di delineare diversi profili utente non agevolmente
soverchiabili (Windows NT, 2000, XP, 2003, Linux, *nix, ecc.);
 Le credenziali di autenticazione devono essere assegnate (nel caso
di accoppiata userid/password) o associate (nel caso di dispositivo
hardware o di chiave biometrica) singolarmente ad ogni incaricato;
 Devono essere impartite istruzioni in modo che l’incaricato sia
consapevole dell’importanza della segretezza o della diligente
custodia cui devono essere sottoposte le credenziali di
autenticazione.
Password
La password deve essere conforme alle prescrizioni previste dall’allegato B (punto 5),
ovvero:
 dovrà essere di almeno otto caratteri o, nel caso in cui il sistema non lo
consenta, del massimo numero di caratteri consentito;
 non dovrà contenere riferimenti agevolmente riconducibili all’incaricato;
 dovrà essere modificata dall’incaricato al primo utilizzo;
 bisognerà predisporre un sistema di scadenza automatica della password che
costringa l’incaricato a cambiarla almeno una volta ogni sei mesi se si trattano
dati personali “comuni”, ogni tre mesi se si trattano dati personali “sensibili”.
Altre disposizioni
 Le credenziali di autenticazione una volta utilizzate non
potranno più essere adoperate per altri incaricati neppure
decorso un margine di tempo;
 Il mancato utilizzo di una credenziale per un arco superiore
ai sei mesi, così come la perdita della qualità di incaricato al
trattamento dei dati, deve comportarne la disattivazione;
 La predetta scadenza non si applica alle credenziali di
autorizzazione adoperate per la gestione tecnica.
Inaccessibilità
 A norma del punto 9 dell’allegato B bisognerà impartire all’incaricato
istruzioni al fine di non lasciare incustodito e accessibile lo
strumento elettronico durante una sessione di trattamento, qualora
l’incaricato debba allontanarsi dalla postazione per qualsiasi
esigenza;
Autorizzazione
 Congiuntamente all’autenticazione, il Codice prevede che per gli
incaricati vengano individuati profili diversi di autorizzazione e che la
sussistenza delle condizioni per la conservazione dei profili di
autorizzazione in capo ad ogni incaricato sia verificata con cadenza
annuale.
Antivirus
 Antivirus (punto 16)
 deve essere aggiornato con cadenza almeno semestrale e non deve
più consistere esclusivamente in un programma per elaboratore, ma
in qualsiasi strumento elettronico “idoneo”;
Aggiornamenti
 Aggiornamenti software (punto 17):
 Particolare attenzione dovrà essere posta nei confronti degli
aggiornamenti dei programmi per elaboratore, che dovranno essere
aggiornati almeno annualmente.
Backup
 La procedura di backup dell’intero sistema (per
effettuare la quale sarebbe opportuno dotarsi di
fileserver centrale ed evitare che ogni singola
postazione conservi in locale copia dei documenti)
deve effettuarsi con cadenza almeno settimanale
(punto 18);
 In caso di trattamento di dati sensibili o giudiziari, il
backup dovrà avvenire con filesystem cifrati, al fine di
impedire i danni conseguenti allo smarrimento del
supporto contenente il backup stesso (punto 21).
Disaster recovery (solo per trattamenti di
dati sensibili o giudiziari)
 Una copia del backup dovrà sempre essere asportata dal titolare o
da un responsabile appositamente incaricato, al fine di evitare che
fenomeni accidentali possano distruggere anche le copie di backup;
 E’ importante verificare periodicamente la reale ripristinabilità del
backup, nonché le condizioni nelle quali si trovano i supporti
(magnetici o ottici) demandati a questa attività.
 In caso di trattamento di dati sensibili o giudiziari “il ripristino
dell'accesso ai dati in caso di danneggiamento degli stessi o degli
strumenti elettronici [deve avvenire] in tempi certi compatibili con i
diritti degli interessati e non superiori a sette giorni.”
Firewall?
 In caso di trattamento di dati sensibili o giudiziari, la natura stessa
dei dati trattati impone l’utilizzo di sistemi di firewalling, o
comunque di sistemi di sicurezza atti ad impedire l’accesso abusivo
ai propri sistemi (punto 20).
Riutilizzo
 I supporti (floppy disk, hard disk, CD, DVD, memorie USB, etc.)
adoperati nel trattamento di dati sensibili o giudiziari devono essere
distrutti o resi inutilizzabili.
Outsourcing
 Il titolare di un trattamento effettuato con strumenti elettronici
può demandare all’esterno la gestione della sicurezza della
propria struttura (c.d. outsourcing);
 In questo caso sarà compito dell’installatore esterno rilasciare un
certificato di conformità della struttura alle norme previste
nell’allegato B;
 In ogni caso, il titolare resta responsabile in caso di trattamento
illecito, non consentito o non conforme dei dati sottoposti alla
sua custodia.
Trattamento “cartaceo”
 Agli incaricati sono impartite istruzioni scritte finalizzate al controllo
ed alla custodia, per l'intero ciclo necessario allo svolgimento delle
operazioni di trattamento, degli atti e dei documenti contenenti dati
personali. Nell'ambito dell'aggiornamento periodico con cadenza
almeno annuale dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati, la lista degli incaricati può essere
redatta anche per classi omogenee di incarico e dei relativi profili di
autorizzazione.
 Quando gli atti e i documenti contenenti dati personali sensibili o
giudiziari sono affidati agli incaricati del trattamento per lo
svolgimento dei relativi compiti, i medesimi atti e documenti sono
controllati e custoditi dagli incaricati fino alla restituzione in maniera
che ad essi non accedano persone prive di autorizzazione, e sono
restituiti al termine delle operazioni affidate.
Trattamento “cartaceo”/2
 L'accesso agli archivi contenenti dati sensibili o giudiziari è
controllato. Le persone ammesse, a qualunque titolo, dopo l'orario
di chiusura, sono identificate e registrate. Quando gli archivi non
sono dotati di strumenti elettronici per il controllo degli accessi o di
incaricati della vigilanza, le persone che vi accedono sono
preventivamente autorizzate.
Sanzioni
 Testo dell’art. 169 previgente
 “1. Chiunque, essendovi tenuto, omette di adottare le
misure minime previste dall’articolo 33 è punito con
l’arresto sino a due anni o con l’ammenda da diecimila
euro a cinquantamila euro”.
 Testo dell’art. 169 attuale
 “1. Chiunque, essendovi tenuto, omette di adottare le
misure minime previste dall'articolo 33 è punito con
l'arresto sino a due anni”.
Sanzioni /2
 Secondo comma (vecchia formulazione)
 “All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo
atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione
non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di
particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non
superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta
l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una
somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione”. […]
 Secondo comma (nuova formulazione)
 “All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo
atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione
non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di
particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non
superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta
l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una
somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa”.
[…]
Ma alla fine quant’è la sanzione?
Art. 162 comma 2-bis
“In caso di trattamento di dati personali
effettuato in violazione delle misure indicate
nell'articolo 33 o delle disposizioni indicate
nell'articolo 167 è altresì applicata in sede
amministrativa, in ogni caso, la sanzione del
pagamento di una somma da ventimila euro a
centoventimila euro. Nei casi di cui all'articolo 33
è escluso il pagamento in misura ridotta.”
Ipotesi aggravate

“2. In caso di più violazioni di un'unica o di più disposizioni di cui al presente Capo, a eccezione di
quelle previste dagli articoli 162, comma 2, 162-bis e 164, commesse anche in tempi diversi in
relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione
amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non è
ammesso il pagamento in misura ridotta.

3. In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per
uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e
massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio.

4. Le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando
possono risultare inefficaci in ragione delle condizioni economiche del contravventore”.
Scarica

Lezione3 - Simone Bonavita