Norme Di Sicurezza e Privacy

rezza delle reti
LEZIONE 6
NORMATIVA S U L L A S I C U R E Z Z A
E SULLA PRIVACY
IN QUESTA UNITA IMPAREREMO.
la sicurezza informatica e la riservatezza dei dati personali

l'evoluzione della giurisprudenza informatica
[la normativa relativa alla tutela della privacy e alla sicurezza dei dati
Generalit
Per s i c u r e z z a i n f o r m a t i c a si i n t e n d e u n i n s i e m e d i
o p e r a z i o n i d i seguito d e s c r i t t e :
d e f i n i z i o n e e a t t u a z i o n e d i p o l i t i c h e finalizzate a
g a r a n t i r e l a sicurezza delle i n f o r m a z i o n i ;
9 i d e n t i f i c a z i o n e delle i n f o r m a z i o n i c r i t i c h e e s t r a tegiche p e r l'azienda p r i v a t a e la P u b b l i c a . A m m i nistrazione;
SICUREZZA INFORMATICA
La s i c u r e z z a i n f o r m a t i c a s o litamente presentata c o m e JA
insieme
di strategie, t e c n i c e
e m o d e l d i m a n a g e m e n t finalizzate
protezione delle informazioni
a ;
gestite da
sistemi informativi.
i n d i v i d u a z i o n e delle possibili m i n a c c e e definizione

delle strategie operative da attuare p e r prevenirle:
9 a n a l i s i delle d i s p o s i z i o n i legali v i g e n t i e conseguente a d e g u a m e n t o d e i s i s t e m i i n f o r m a t i v i ;
9 a n a l i s i e c o n o m i c a d e i c o s t i p e r la messa i n opera degli i n t e r v e n t i d i a d e g u a m e n t o necessari p r i m
i n d i v i d u a t i e scelta delle alternative
pi
convenienti.
Le o p e r a z i o n i p e r la gestione della sicurezza d e v o n o g a r a n t i r e a t u t t e le c o m p o n e n t i dell'organiz
z a z i o n e le c a r a t t e r i s t i c h e f o n d a m e n t a l i c h e deve possedere
u n sistema i n f o r m a t i v o s i c u r o , e cio:
I inu
: i d a t i n o n d e v o n o essere m o d i f i c a t i o a l t e r a t i d a n e s s u n o c h e n o n a b b i a le adeguate
autorizzazioni
9 confidenzialit (riservatezza): n i d a t i m e m o r i z z a t i n q u e l l i trasmessi d e v o n o essere c o m p r e n s i b i l i a c h i n o n ha i d i r i t t i p e r p o t e r l i u t i l i z z a r e ;
disponibilit: i d a t i d e v o n o essere s e m p r e a d i s p o s i z i o n e d i c h i a u t o r i z z a t o a f r u i r n e ;
Queste t r e c o m p o n e n t i sono i princpi b a s e d i :
d i t u t t e le r e c e n t i n o r m a t i v e ;
degli s t a n d a r d sulla sicurezza;
I d e l l ' o r g a n i z z a z i o n e della c o m p l i a n c e .
162
N o r m a t i v a sulla s i c u r e z z a e sulla p r i v a c y
Nel passato i l p r o b l e m a d e l l a sicurezza n o n era p a r t i c o l a r m e n t e s e n t i t o i n q u a n t o si p r e s e n t a v a n o

rischi specifici i n t r i n s e c i solo al GED, l i m i t a t o a l l ' a m b i e n t e c h i u s o , i s o l a t o e c i r c o s c r i t t o .
Le m i n a c c e alla sicurezza riguardavano g l i
: u a l i e p i s o d i d i infedelt d e i d i p e n d e n t i , i
| predetti inconvenienti e o g n i altro rischio

erano,
guasti a l l ' h a r d w a r e e i m a l f u n z i o n a m e n t i do-
v u t i alla sviluppo d i software spesso fatto i n

m o d o " a p p r o s s i m a t i v o " , senza che venissero
rispettate regole e s t a n d a r d d i progettazione.
comunque,
isolabili e individuabili
I quindi a n c h e i dati e r a n o abbastanza protetti
N e l l ' u l t i m o d e c e n n i o i l processo d i e v o l u z i o n e t e c n o l o g i c a i n u n a societ " a c a m b i a m e n t o velocissim o " com' q u e l l a a t t u a l e h a p o r t a t o allo s v i l u p p o d i m e c c a n i s m i d i c o m u n i c a z i o n e u n t e m p o i m pensabili e, d i conseguenza, a u n a crescita
esponenziale
d i t r a t t a m e n t o dei dati.
I:>po u n p r i m o p e r i o d o d i " i n d i f f e r e n z a " anche la g i u r i s p r u d e n z a h a d o v u t o affrontare le p r o b l e m a t i c h e dell'era digitale e lo h a fatto legiferando sia i n t e r m i n i d i c r i m i n i i n f o r m a t i c i , q u i n d i i n t r o d u c e n d o
W sanzioni per i m a l i n t e n z i o n a t i e/o c o l o r o che effettuano a z i o n i i l l e c i t e , sia i n t e r m i n i d i r e g o l e p e r
[ f a t u t e l a e la r i s e r v a t e z z a d e i d a t i , i m p o n e n d o
insure m i n i m e d i sicurezza alle aziende a l -
I $i ritiene c h e " . . . u n a g e n e r a / e normativa
"l possano essere t u t e l a t i g l i u t e n t i e t u t t i

o r o che h a n n o c o m u n q u e f o r n i t o dei d a t i
j protezione
rsonali e che h a n n o d i r i t t o alla l o r o r i s e r v a -
j sviluppo
z a e alla t u t e l a d e l l a
sulla
dei dati personali

d a v v e r o il e r o ,/
/ c o n v e r g o n o i percorsi
di
della
q u a
societ
contemporanea
privacy.
Te che d a l p u n t o d i v i s t a dell'azienda la sicurezza d e i d a t i q u i n d i d i v e n u t a d i i m p o r t a n z a c e n k per l ' u t e n t e : la t u t e l a d e i d a t i p e r s o n a l i , a n c h e s p i n t a d a l A g a r a n t e d e l l a p r i v a c y , o g g i u n o

Ei e l e m e n t i f o n d a m e n t a l i n e l l ' a m b i t o del t r a t t a m e n t o delle i n f o r m a z i o n i e le c o n d i z i o n i g i u r i d i ; Ja t u t e l a r e i n c i d o n o s u l peso d e i f a t t o r i p r o d u t t i v i e s u l l ' o r g a n i z z a z i o n e del l a v o r o a l l ' i n t e r n o
l e aziende.
\
G a r a n t e d e l l a p r i v a c y II g a r a n t e p e r la p r o t e z i o n e d e i d a t i p e r s o n a l i ( p r i v a c y ) u n ' a u t o r i t i n d i p e n e r t e i s t i t u i t a d a l l a l e g g e 6 7 5 / 1 9 9 6 (di s e g u i t o s u c c i n t a m e n t e d e s c r i t t a ) p e r a s s i c u r a r e la t u t e l a d e i
rrt e d e l l e libert f o n d a m e n t a l i e il r i s p e t t o d e l l a dignit n e l t r a t t a m e n t o d e i d a t i p e r s o n a l i .
; a n o c o l l e g i a l e , c o m p o s t o d a q u a t t r o m e m b r i e l e t t i d a l P a r l a m e n t o , i q u a l i r i m a n g o n o in c a r i c a
erun m a n d a t o di quattro anni rinnovabile.
illa riservatezza r i c h i e d e d i esercitare u n c o n t r o l l o s u i d a t i p e r s o n a l i i n m o d o da s t a b i l i r e

-ne e q u a n d o le i n f o r m a z i o n i che c i riguardano possono essere r a c c o l t e e messe a disposizione
H f a altri.
_ i e i t a l i a n a , a differenza d i q u a n t o p r e v e d o n o le analoghe d i s c i p l i n e s t r a n i e r e e la d i r e t t i v a
~ i t a r i a per l a t u t e l a d e i d a t i p e r s o n a l i , prevede i n o l t r e che possano essere t u t e l a t i anche i d a t i
B p e r i g u a r d a n o le p e r s o n e g i u r i d i c h e .
ri uri sprudenza informatica

^ : i m i 2 1 a n n i si assistito a u n a v e r a e p r o p r i a r i v o l u z i o n e n e l settore del d i r i t t o n e l l ' a m b i t o
n o v e tecnologie informatiche: l'evoluzione tecnologica ha infatti determinato l'introduzione
ostro p a n o r a m a g i u r i d i c o d i n u o v i c o n c e t t i g i u r i d i c i , d i n u o v i b e n i t u t e l a t i , d i n u o v i r e a t i e d i
forme c o n t r a t t u a l i (si p e n s i alla l i c e n z a d'uso d e i p r o g r a m m i ).
. _ civile che q u e l l o penale h a n n o i n t r o d o t t o a r t i c o l i i n m e r i t o a i d i v e r s i a s p e t t i d e l l ' i n f o r n a i quali ricordiamo quelli relativi:
La s i c u r e z z a d e l l e r e t i
LEZIONE 6
NORMATIVA S U L L A S I C U R E Z Z A
E SULLA PRIVACY
IN Q U E S T A U N I T A I M P A R E R E M O . . .
la sicurezza informatica e la riservatezza dei dati personali

l'evoluzione della giurisprudenza informatica
la normativa relativa alla tutela della privacy e alla sicurezza dei dati
Generalit
SICUREZZA INFORMATICA
Per sicurezza i n f o r m a t i c a s i i n t e n d e u n i n s i e m e d i
o p e r a z i o n i d i seguito d e s c r i t t e :
I d e f i n i z i o n e e a t t u a z i o n e d i p o l i t i c h e finalizzate a
g a r a n t i r e l a sicurezza delle i n f o r m a z i o n i ;
* i d e n t i f i c a z i o n e delle i n f o r m a z i o n i c r i t i c h e e s t r a tegiche p e r l'azienda p r i v a t a e l a P u b b l i c a A m m i nistrazione;
La s i c u r e z z a i n f o r m a t i c a s o litamente presentata c o m e un
insieme
e model
di strategie,
tecniche
di m a n a g e m e n t finalizzate
protezione delle informazioni
alla
gestite dai
sistemi informativi.
I i n d i v i d u a z i o n e delle possibili m i n a c c e e definizione

delle strategie operative da attuare p e r prevenirle;
I a n a l i s i delle d i s p o s i z i o n i legali v i g e n t i e conseguente a d e g u a m e n t o d e i s i s t e m i i n f o r m a t i v i ;
I a n a l i s i e c o n o m i c a d e i c o s t i p e r la messa i n o p e r a degli i n t e r v e n t i d i a d e g u a m e n t o necessari p r i m a
i n d i v i d u a t i e scelta delle a l t e r n a t i v e pi c o n v e n i e n t i .
L e o p e r a z i o n i p e r la gestione della sicurezza d e v o n o g a r a n t i r e a t u t t e le c o m p o n e n t i d e l l ' o r g a n i z z a z i o n e le c a r a t t e r i s t i c h e f o n d a m e n t a l i c h e deve possedere u n sistema i n f o r m a t i v o s i c u r o , e cio:
f integrit: i d a t i n o n d e v o n o essere m o d i f i c a t i o a l t e r a t i da nessuno c h e n o n a b b i a le adeguate
autorizzazioni
f confidenzialit (riservatezza): n i d a t i m e m o r i z z a t i n q u e l l i t r a s m e s s i d e v o n o essere c o m p r e n sibili a c h i n o n ha i d i r i t t i per p o t e r l i utilizzare:
I disponibilit: i d a t i d e v o n o essere s e m p r e a d i s p o s i z i o n e d i c h i a u t o r i z z a t o a f r u i r n e ;
Queste t r e c o m p o n e n t i sono i princpi base d i :
d i t u t t e le r e c e n t i n o r m a t i v e ;
degli s t a n d a r d sulla sicurezza;
I dell'organizzazione della compliance.
162
N o r m a t i v a sulla s i c u r e z z a e s u l l a p r i v a c y
Nel passato i l p r o b l e m a della sicurezza n o n era p a r t i c o l a r m e n t e s e n t i t o i n q u a n t o si p r e s e n t a v a n o

r i s c h i specifici i n t r i n s e c i solo al CHI), l i m i t a t o a l l ' a m b i e n t e c h i u s o , isolato e c i r c o s c r i t t o .
Le m i n a c c e alla sicurezza riguardavano gli
eventuali episodi d i infedelt dei d i p e n d e n t i , i
I p r e d e t t i inconvenienti e o g n i altro rischio
guasti a l l ' h a r d w a r e e i m a l f u n z i o n a m e n t i doe r a n o , c o m u n q u e , isolabili e individuabili e
v u t i alla sviluppo d i software spesso fatto i n
quindi anche i dati erano abbastanza protetti
m o d o " a p p r o s s i m a t i v o " , senza che venissero
d a usi illeciti e d a m a l i n t e n z i o n a t i .
rispettate regole e s t a n d a r d d i progettazione.
N e l l ' u l t i m o d e c e n n i o i l processo d i e v o l u z i o n e tecnologica i n u n a societ ' a c a m b i a m e n t o velocissim o " com' q u e l l a a t t u a l e h a p o r t a t o allo s v i l u p p o d i m e c c a n i s m i d i c o m u n i c a z i o n e u n t e m p o i m p e n s a b i l i e, d i conseguenza, a u n a crescita
esponenziale
d i t r a t t a m e n t o dei d a t i .
Dopo u n p r i m o p e r i o d o d i " i n d i f f e r e n z a " anche la g i u r i s p r u d e n z a ha d o v u t o affrontare le p r o b l e m a t i che dell'era digitale e lo ha fatto legiferando sia i n t e i r n i n i d i c r i m i n i i n f o r m a t i c i , q u i n d i i n t r o d u c e n d o
le sanzioni per i m a l i n t e n z i o n a t i e/o c o l o r o che effettuano a z i o n i i l l e c i t e , sia i n t e r m i n i d i r e g o l e p e r
la t u t e l a e la r i s e r v a t e z z a d e i d a t i , i m p o n e n d o
isure m i n i m e d i sicurezza alle aziende affinch possano essere t u t e l a t i g l i u t e n t i e t u t t i

coloro che h a n n o c o m u n q u e f o r n i t o dei d a t i
'iiali e che h a n n o d i r i t t o alla l o r o r i s e r v a t e z z a e alla t u t e l a d e l l a
privacy.
Si
ritiene
c h e " . . . u n a generale
protezione
cevia
sviluppo
dei dati
verso
il quale
della
normativa
personali
societ
davvero
convergono
sulla
il
i percorsi
crodi
contemporanea".
O l t r e che d a l p u n t o d i v i s t a dell'azienda la sicurezza d e i d a t i q u i n d i d i v e n u t a d i i m p o r t a n z a c e n trale per l ' u t e n t e : l a t u t e l a d e i d a t i p e r s o n a l i , a n c h e s p i n t a d a l < g a r a n t e d e l l a p r i v a c y , oggi u n o

Egli e l e m e n t i f o n d a m e n t a l i n e l l ' a m b i t o d e l t r a t t a m e n t o delle i n f o r m a z i o n i e le c o n d i z i o n i g i u r i d i che da t u t e l a r e i n c i d o n o s u l peso dei f a t t o r i p r o d u t t i v i e s u l l ' o r g a n i z z a z i o n e d e l l a v o r o a l l ' i n t e r n o
delle aziende.
^ G a r a n t e d e l l a p r i v a c y II g a r a n t e p e r la p r o t e z i o n e d e i d a t i p e r s o n a l i ( p r i v a c y ) u n ' a u t o r i t i n d i p e n d e n t e i s t i t u i t a d a l l a l e g g e 6 7 5 / 1 9 9 6 (di s e g u i t o s u c c i n t a m e n t e d e s c r i t t a ) p e r a s s i c u r a r e la t u t e l a d e i
z
t t i e d e l l e libert f o n d a m e n t a l i e il r i s p e t t o d e l l a d i g n i t n e l t r a t t a m e n t o d e i d a t i p e r s o n a l i .
E j n o r g a n o c o l l e g i a l e , c o m p o s t o d a q u a t t r o m e m b r i e l e t t i d a l P a r l a m e n t o , i q u a l i r i m a n g o n o in c a r i c a
per un m a n d a t o di q u a t t r o anni rinnovabile.
t o alla r i s e r v a t e z z a richiede d i esercitare u n c o n t r o l l o s u i d a t i p e r s o n a l i i n m o d o da s t a b i l i r e

. me e q u a n d o le i n f o r m a z i o n i che c i r i g u a r d a n o possono essere r a c c o l t e e messe a disposizione
legli a l t r i .
- a legge i t a l i a n a , a differenza d i q u a n t o p r e v e d o n o le analoghe d i s c i p l i n e s t r a n i e r e e la d i r e t t i v a
somunitaria per l a t u t e l a d e i d a t i p e r s o n a l i , prevede i n o l t r e che possano essere t u t e l a t i a n c h e i d a t i
i l e riguardano le p e r s o n e g i u r i d i c h e .
Giurisprudenza informatica
J i u l t i m i 2 1 a n n i si assistito a u n a v e r a e p r o p r i a r i v o l u z i o n e n e l settore del d i r i t t o n e l l ' a m b i t o
.Ae n u o v e t e c n o l o g i e i n f o r m a t i c h e : l ' e v o l u z i o n e t e c n o l o g i c a h a i n f a t t i d e t e r m i n a t o l ' i n t r o d u z i o n e
. nostro panorama giuridico d i nuovi concetti giuridici, di nuovi beni tutelati, di nuovi reati e d i
n o v e f o r m e c o n t r a t t u a l i (si p e n s i alla l i c e n z a d'uso d e i p r o g r a m m i ) .
il c o d i c e c i v i l e che q u e l l o penale h a n n o i n t r o d o t t o a r t i c o l i i n m e r i t o ai d i v e r s i aspetti d e l l ' i n f o r | snatica, t r a i q u a l i r i c o r d i a m o q u e l l i r e l a t i v i :
163
La s i c u r e z z a d e l l e reti
I al software (d.lgs. 518/92 - 1 . 633/41 ) e alle f o r m e n u o v e d i l i c e n z a ( o p e n s o u r c e ) ;

alla p r i v a c y (d.lgs. 196/03):
I alla frode i n f o r m a t i c a ( a r t . 6 4 0 t e r c.p. ):
I al d o m i c i l i o i n f o r m a t i c o ( a r t . 6 1 5 ter c.p.):
a i v i r u s ( a r t . 6 1 5 q u i n q u i e s c.p.);
I alla posta e l e t t r o n i c a ( a r t . 6 1 6 c.p.);
k al v a l o r e legale della f i r m a d i g i t a l e (d.lgs. 235/10).
R i p e r c o r r i a m o b r e v e m e n t e le p r i n c i p a l i t a p p e della g i u r i s p r u d e n z a i n f o r m a t i c a fino a d e s c r i v e r e i l
d . l g s . 1 9 6 / 0 3 c h e . d i f a t t o , ha a v u t o u n r u o l o f o n d a m e n t a l e nella s i c u r e z z a e nella p r i v a c y .
Legge 547/93 a r t . 6 1 5 - t e r
L a legge n . 5 4 7 , a p p r o v a t a n e l 1 9 9 3 , h a a v u t o u n r u o l o i m p o r t a n t e n e l l a d e f i n i z i o n e d e i
computer
crimes.
L ' a r t i c o l o 6 J 5 ter r e n d e p e n a l m e n t e p e r s e g u i b i l e l ' a c c e s s o a b u s i v o a u n s i s t e m a i n f o r m a t i c o o telem a t i c o p r o t e t t o da m i s u r e d i sicurezza.
I I testo d e l l ' a r t i c o l o r e c i t a t e s t u a l m e n t e :
Art. 615-ter (Accesso abusivo a un sistema informatico e telematico)
Chiunque
sure
abusivamente
di sicurezza
di escluderlo,
La pena
D
della
s e il fatto
dei
abusivamente
da un pubblico
dei doveri
la professione
contro
con la reclusione
da uno a cinque
o con violazione
in un sistema
vi si mantiene
punito
reclusione
commesso
poteri
si introduce
ovvero
informatico
la volont
fino a tre
o telematico
espressa
o tacita
protetto
da
di chi ha il
mi-
diritto
anni.
anni:
ufficiale
o da un incaricato
inerenti
di investigatore
alla funzione
privato,
di un pubblico
o al servizio,
o con abuso
servizio,
con
o da chi esercita
della
qualit
abuso
anche
di operatore
del
sistema;
0
s e // colpevole
mente
per commettere
s e dal fatto
deriva
la distruzione
del suo funzionamento,

programmi
Qualora
militare
usa violenza
sulle
c o s e o alle persone,
ovvero
se
palese-
da tre a otto
la distruzione
del sistema
o il danneggiamento
o l'interruzione
dei dati,
delle
parziale
informazioni
totale
o dei
contenuti.
i fatti di cui ai commi

all'ordine
d'interesse
o il danneggiamento
ovvero
in esso
o relativi
comunque
Nel caso
il fatto
armato;
primo
pubblico
pubblico,
e secondo
riguardino
o alla sicurezza
la pena
sistemi
pubblica
, rispettivamente,
informatici
o alla sanit
della
reclusione
o telematici
o alla protezione
da uno a cinque
d'interesse
civile
anni
anni.
previsto
dal primo
comma
il delitto
punibile
querela.
Q u e s t o a r t i c o l o s t a t o f o n d a m e n t a l e p e r i successivi p r o n u n c i a m e n t i g i u r i s p r u d e n z i a l i c h e si sono
succeduti nel tempo.
Legge 675/96
I l C o n s i g l i o d ' E u r o p a h a r i b a d i t o la s a n z i o n e penale p e r "l'accesso i n m a n c a n z a del r e l a t i v o d i r i t t o
a u n s i s t e m a o a u n a rete i n f o r m a t i c i i n v i o l a z i o n e delle regole d i s i c u r e z z a " .
H a per p u n t u a l i z z a t o c o m e s e c o n d o l'art 615 ter sia necessario c h e v e n g a n o v i o l a t e le i d o n e e m i sure d i s i c u r e z z a affinch possa c o n f i g u r a r s i i l r e a t o , cio: " i n u n a p r o s p e t t i v a m a r c a t a m e n t e v i t t i m o l o g i c a l ' a r t . 615 t e r p r e v e d e c h e senza m i s u r e d i s i c u r e z z a n o n v i t u t e l a p e n a l e " .
164
La legge n. 675/96 fa suo questo p r i n c i p i o e n e l l ' a r t . 15, d e s t i n a t o a t r a s f o r m a r e p r o f o n d a m e n t e la

percezione d i sicurezza, p o n e l ' a c c e n t o s u l l a t u t e l a e p r o t e z i o n e d e i d a t i p e r s o n a l i .
D.lgs n . 231/2001
tipa o r g a n i z z a t i v a , m o d e l l i , C o d i c e E t i c o , O r g a n i s m o d i V i g i l a n z a )
Il d e c r e t o r i g u a r d a i Prncipi generali e criteri di attribuzione
della responsabilit
amministrativa
e l'art. 6, e , del d.lgs n . 2 3 1 / 2 0 0 1 , i n t r o d u c e nelle aziende l a c u l t u r a dei controlli
interni c o m e s t r u m e n t o d i p r e v e n z i o n e d e i r e a t i ; i n f a t t i d i s p o n e c h e l'ente n o n r i s p o n d e i n caso d i reato se p r o v a c h e :
l'organo d i r i g e n t e h a a d o t t a t o e a t t u a t o u n m o d e l l o di o r g a n i z z a z i o n e i d o n e o a p r e v e n i r e r e a t i
della specie d i q u e l l o v e r i f i c a t o s i ;
I i l c o m p i t o d i v i g i l a r e s u l f u n z i o n a m e n t o , l'osservanza e l ' a g g i o r n a m e n t o d e l m o d e l l o affidato a
u n o r g a n i s m o dell'ente dotato di autonomi
poteri di iniziativa
e
controllo;
I sono i n d i v i d u a t e le attivit n e l c u i a m b i t o possono essere c o m m e s s i r e a t i :
> sono a d o t t a t e regole d i r e t t e a p r o g r a m m a r e la f o r m a z i o n e e l ' a t t u a z i o n e delle d e c i s i o n i d e l l ' e n t e i n
relazione a i r e a t i da p r e v e n i r e e i n d i v i d u a r e le modalit d i gestione delle risorse finanziarie i d o n e e
a i m p e d i r e la c o m m i s s i o n e d e i r e a t i ;
I sono p r e v i s t i o b b l i g h i d i i n f o r m a z i o n e n e i c o n f r o n t i d e l l ' O r g a n i s m o d e p u t a t o a v i g i l a r e ;
I previsto u n sistema disciplinare.
II m o d e l l o r i c h i e s t o dalla legge r i c h i e d e l a m a p p a t u r a e l ' i d e n t i f i c a z i o n e d e i rischi p o n e n d o s i c o m e
fase p r o p e d e u t i c a alla c o s t r u z i o n e delle t e c n i c h e d i p r e v e n z i o n e del rischio: i n t r o d o t t a t r a l ' a l t r o
l ' i n d i v i d u a z i o n e delle aree a r i s c h i o , cio dei " l u o g h i a z i e n d a l i " i n c u i esso si a n n i d a .
necessario q u i n d i i n p r i m o luogo a n a l i z z a r e le t i p o l o g i e d i r e a t o e i n d i v i d u a r e p e r c i a s c u n a d i esse
le aree, i soggetti, i t e m p i e le f o r m e d i operativit i n r e l a z i o n e alle q u a l i c i pu essere u n r i s c h i o d i
c o m m i s s i o n e d i q u e i r e a t i : solo se v e n g o n o svolte queste attivit l'ente n o n ne responsabile u n a
v o l t a che i r e a t i vengano e f f e t t i v a m e n t e c o m m e s s i .
D.lgs 196/2003
C o n l ' a p p r o v a z i o n e d e l D.lgs 196/2003 l a m a t e r i a della t u t e l a e della p r o t e z i o n e d e i d a t i p e r s o n a l i
subisce u n a p r o f o n d a m o d i f i c a : v e n g o n o a b r o g a t i u n a serie d i d e c r e t i l e g i s l a t i v i e leggi, sparisce u n
r e g o l a m e n t o a t t u a t i v o , sono i n t e g r a t i e r e c e p i t i i p r i n c i p i c o n t e n u t i i n u n a n u o v a d i r e t t i v a c o m u n i t a r i a e sono i n t r o d o t t e " e x n o v o " a l c u n e m i s u r e d i sicurezza a p r o t e z i o n e dei d a t i e d e i s i s t e m i .
I l decreto 196/03 del 3 0 giugno 2 0 0 3

Il d e c r e t o legislativo 3 0 g i u g n o 2 0 0 3 , n . 196 C o d i c e in m a t e r i a di
p r o t e z i o n e d e i d a t i p e r s o n a l i p u b b l i c a t o n e l l a Gazzetta
Ufficiale n .
174 del 2 9 l u g l i o 2003 - S u p p l e m e n t o O r d i n a r i o n . 123, h a a v u t o
u n r u o l o d e t e r m i n a n t e n e l d i r i t t o sulla sicurezza e sulla p r i v a c y i n
quanto:
> i n t r o d u c e u n n u o v o f o n d a m e n t a l e d i r i t t o : i l d i r i t t o alla p r o t e z i o n e
dei dati personali;
> c o n t i e n e le p r e s c r i z i o n i e le regole p e r la s i c u r e z z a dei d a t i e d e i
GAZZETTA %
MOLLA t r t BMJOA FT ALI AX A
ITO 11
t fa ni I
li i
ei ari
sistemi.
Il n o m e d e l d e c r e t o 196/03 q u e l l o p r i m a
I
riportato,
cio C o d i c e
d a t i p e r s o n a l i , m a n o t o c o m u n e m e n t e a n c h e c o m e T e s t o u n i c o sulla privacy.
165
Con i l decreto 1
la m a t e r i a della t u t e l a e della p r o t e z i o n e d e i d a t i p e r s o n a l i subisce u n a p r o fonda m o d i f i c a : v e n g o n o a b r o g a t i u n a serie d i d e c r e t i l e g i s l a t i v i e leggi, t r a c u i legge 675/96, s p a r i sce u n r e g o l a m e n t o a t t u a t i v o , sono i n t e g r a t i e r e c e p i t i i p r i n c i p i c o n t e n u t i i n u n a n u o v a d i r e t t i v a
c o m u n i t a r i a e sono i n t r o d o t t e " e x n o v o " a l c u n e m i s u r e d i s i c u r e z z a a p r o t e z i o n e d e i d a t i p e r s o n a l i
e dei sistemi:
I la n o r m a t i v a sancisce i l d i r i t t o alla p r o t e z i o n e d e i p r o p r i d a t i p e r s o n a l i facendo i n m o d o c h e i l
p r o p r i e t a r i o d e i d a t i n o n c h i t r a t t a l ' i n f o r m a z i o n e m a le p e r s o n e a c u i i d a t i si
riferiscono;
I c h i t r a t t a d a t i p e r s o n a l i h a i l dovere d i p r o t e g g e r l i .
II d e c r e t o c o m p o s t o da 186 a r t i c o l i s t r u t t u r a t i i n t r e p a r t i e d a d u e allegati:
Allegati
186 articoli
1 parte
Codici deontologici:
- attivit giornalistica
- scopi storici
- scopi statistici
(Ambito Sistan)
- scopi staistici
e scientifici
- credito al consumo,
affidabilit
e puntualit
pagamenti (privati)
Disposizioni generali
applicabili a tutti
i trattamenti
Esclusione
di alcuni trattamenti
pubblici e privati
Allegato B:
disciplinare tecnico
o criteri minimi
di sicurezza
Il t e s t o c o i
disponibile
03196dl.htm oppure
v a t o al presente
all'indirizzo h t t p : / / w w w . p a r l a m e n t o . i t / p a r l a m / l e g g i / d e l e g h e /
lateriali della sezione d e l sito www.hoepllscuola.it
nella
riser-
volume
D i seguito r i p r e n d i a m o s i n t e t i c a m e n t e g l i a r t i c o l i p r i n c i p a l i , c h e a n c o r a oggi sono d i f o n d a m e n t a l e

i m p o r t a n z a n e l l a r e a l i z z a z i o n e d i s i s t e m i i n f o r m a t i v i e d i p a c c h e t t i software a p p l i c a t i v i , e c h e devon o r i e n t r a r e n e l "bagaglio delle c o n o s c e n z e " d i c h i u n q u e o p e r i n e l settore i n f o r m a t i c o .
Art. 1 (Diritto alla protezione d e i dati di carattere

"Chiunque
ha diritto
dei dati di carattere

riguardano".
166
alla
personale
protezione
che lo
personale)
Il p r i m o a r t i c o l o della 196/03 riproduce i l p r i m o

c o m m a dell'art. 8 della C a r t a d e i diritti f o n d a m e n t a l i d e l l ' U n i o n e E u r o p e a (ora presente anche
agli a r t i c o l i 1-51 e 11-68 d e l Progetto d i T r a t t a t o

che istituisce u n a C o s t i t u z i o n e p e r l ' E u r o p a ) :
"Protezione
dei dati di carattere
di carattere
personale
personale:
che lo riguardano.
ogni
individuo
ha diritto
alla protezione
dei
Lezione 6
dati
"
In m e r i t o a q u e s t o d e c r e t o , r i c o r d i a m o u n p a s s a g g i o r i p o r t a t o n e l l a r e l a z i o n e d e l
Garante
d e l l a p r i v a c y al P r e s i d e n t e d e l l a R e p u b b l i c a d e l 2 8 a p r i l e 2 0 0 4 : *H t r a s f e r i m e n t o d i
questa
n o r m a n e l s i s t e m a i t a l i a n o r e n d e n o n pi p r o p o n i b i l i interpretazioni riduttive d e l l a p r o t e z i o n e
dei dati
personali".
A r t . 4 (Definizioni)
L ' a r t i c o l o 4 del d.lgs. 1 9 6 / 2 0 0 3 n e l p r i m o c o m m a m t r o d u c e u n a c l a s s i f i c a z i o n e d e i d a t i i n :
" d a t o p e r s o n a l e " , q u a l u n q u e i n f o r m a z i o n e r e l a t i v a a p e r s o n a fisica, i d e n t i f i c a t a o i d e n t i f i c a b i l e ,

a n c h e i n d i r e t t a m e n t e , m e d i a n t e r i f e r i m e n t o a qualsiasi a l t r a i n f o r m a z i o n e , i v i c o m p r e s o u n n u mero d i identificazione
personale:
" d a t i identificativi", i dati personali che p e r m e t t o n o l'identificazione diretta dell'interessato;
" d a t i s e n s i b i l i " , i d a t i p e r s o n a l i i d o n e i a rivelare l ' o r i g i n e razziale e d e t n i c a , le c o n v i n z i o n i r e l i giose,
filosofiche
o d i a l t r o genere, le o p i n i o n i p o l i t i c h e , l'adesione a p a r t i t i , s i n d a c a t i , associazio-
n i o d o r g a n i z z a z i o n i a c a r a t t e r e religioso,
filosofico,
p o l i t i c o o sindacale, nonch i d a t i p e r s o n a l i
i d o n e i a r i v e l a r e lo stato d i salute e la v i t a sessuale;

" d a t i g i u d i z i a r i " , i d a t i p e r s o n a l i i d o n e i a rivelare p r o v v e d i m e n t i d i c u i a l l ' a r t i c o l o 3 , c o m m a 1 ,
l e t t e r e da a) a o) e da r ) a u ) , d e l D.P.R. 1 4 n o v e m b r e 2 0 0 2 , n . 3 1 3 , i n m a t e r i a d i casellario g i u diziale, d i anagrafe delle s a n z i o n i a m m i n i s t r a t i v e d i p e n d e n t i da reato e d e i r e l a t i v i c a r i c h i p e n d e n t i , o la qualit d i i m p u t a t o o d i i n d a g a t o ai sensi degli a r t i c o l i 6 0 e 6 1 del c o d i c e d i p r o c e d u r a
penale.
Nel c o m m a 3 v i e n e data l a d e f i n i z i o n e d i m i s u r e m i n i m e d i sicurezza.

C o n m i s u r e m i n i m e si
ganizzative,
i n t e n d e il c o m p l e s s o
d e l l e m i s u r e t e c n i c h e , i n f o r m a t i c h e , or-
l o g i s t i c h e e p r o c e d u r a l i d i s i c u r e z z a c h e c o n f i g u r a n o il l i v e l l o m i n i m o
di
p r o t e z i o n e r i c h i e s t o in r e l a z i o n e a i r i s c h i p r e v i s t i n e l l ' a r t i c o l o 3 1 , c i o :
D
distruzione o perdita anche accidentale;
accesso n o n
trattamento non consentito.
autorizzato;
Art. 11 (Modalit del trattamento e r e q u i s i t i dei dati)

I d a t i p e r s o n a l i t r a t t a t i i n v i o l a z i o n e della d i s c i p l i n a r i l e v a n t e i n m a t e r i a d i t r a t t a m e n t o dei d a t i
p e r s o n a l i n o n possono essere u t i l i z z a t i .
Il d a t o s e n s i b i l e e g i u d i z i a r i o
autorizzato
a l t r a t t a m e n t o s o l o se c o n s e n t i t o d a n o r m a
di
l e g g e e s p l i c i t a n d o t i p i d i d a t i , o p e r a z i o n i e s e g u i t e e finalit nel r e g o l a m e n t o d a t i s e n s i b i l i .
Per gli e n t i p u b b l i c i d i t i p o n o n e c o n o m i c o n o n
richiesto
il
del dato
personale.
167
UdA 3
A r t . I n ( D a n n i cagionati per effetto del trattamento)

C h i u n q u e cagiona d a n n i ad a l t r i per effetto d e l t r a t t a m e n t o d i d a t i p e r s o n a l i t e n u t o al r i s a r c i m e n to a i sensi d e l l ' a r t i c o l o 2 0 5 0 d e l c o d i c e c i v i l e che
riporta:
(Responsabilit per l'esercizio di attivit pericolose)

"chiunque
cagiona
danno
o per la natura
dei mezzi
tutte
idonee
le misure
ad altri nello
adoperati,
a evitare
il
svolgimento
tenuto
di un'attivit
al risarcimento
pericolosa,
se non prova
per sua
di avere
natura
adottato
danno".
C o n q u e s t o a r t i c o l o viene i n t r o d o t t a l ' i n v e r s i o n e d e l l ' o n e r e d e l l a p r o v a : p e r evitare i l r i s a r c i m e n t o

sar necessario d i m o s t r a r e d i aver a d o t t a t o t u t t e le m i s u r e i d o n e e a p r e v e n i r e i l d a n n o .
Senza sicurezza i t r a t t a m e n t i n o n s o n o consentiti dalla l e g g e .
Art.31 (Obblighi di s i c u r e z z a a tutela del diritto a l l a protezione dei propri

dati personali)
Il p r i m o g r u p p o i n t r o d u c e c o n l ' a r t . 3 1 i n t i t o l a t o " o b b l i g h i d i s i c u r e z z a " q u e l l e m i s u r e pi a m p i e , o
" i d o n e e " , decise i n a u t o n o m i a d a l t i t o l a r e i n relazione alle p r o p r i e specificit c h e , se n o n adottate,
i n caso d i d a n n o d o v u t o a t r a t t a m e n t i d i d a t i n o n p r o t e t t i a d e g u a t a m e n t e c o n c o r r e r a n n o alla i n d i v i d u a z i o n e delle responsabilit e d e l c o n s e g u e n t e
I
risarcimento
economico.
D a l l a l e t t u r a d e l l ' a r t i c o l o e d e l l a r e l a z i o n e a c c o m p a g n a t o r i a a l c o d i c e si d e d u c e c o m e il c o n t e n u t o d e l l ' a r t i c o l o 1 5 , c o m m a 1 d e l l a l e g g e 6 7 5 / 9 6 sia s t a t o r i p r o d o t t o p r a t i c a m e n t e i m m u t a t o nei suoi tre princpi: c u s t o d i a , c o n t r o l l o , r i d u z i o n e d e i rischi.
I r i s c h i da r i d u r r e p r e v e n t i v a m e n t e , m e d i a n t e l ' a d o z i o n e d i i d o n e e m i s u r e d i sicurezza, sono i quatt r o gi e l e n c a t i , e cio:
RISCHIO
Distruzione
o perdita anche
accidentale
Accesso
non autorizzato
Trattamento
non consentito
Trattamento
non conforme
alle finalit
Artt. d a 3 3 a 3 5 ( M i s u r e m i n i m e )
Il secondo gruppo introduce c o n l'art. 33 quelle misure " m i n i m e " , la c u i mancata adozione comporta s a n z i o n i p e n a l i per i l T i t o l a r e e, se designato, per i l Responsabile del T r a t t a m e n t o .
I successivi a r t i c o l i 3 4 e 35 sono r i s p e t t i v a m e n t e d e d i c a t i a l t r a t t a m e n t o effettuato c o n l'ausilio d i
s t r u m e n t i e l e t t r o n i c i e senza l ' a u s i l i o degli stessi.
168
Art. 3 4 c o m m a 1 : T r a t t a m e n t i con s t r u m e n t i e l e t t r o n i c i
// trattamento
nei modi
misure
minime:
autenticazione
adozione
utilizzazione
aggiornamento
di gestione
di un sistema
protezione
degli
tecnico
credenziali
dell'individuazione
strumenti
elettronici
consentito
contenuto
elettronici
per
di
nell'allegato
solo
se s o n o
B), le
seguenti
autenticazione;
dell'ambito
o alla manutenzione
del
degli
e dei dati rispetto
programmi
di procedure
e dei
con strumenti
autorizzazione;
alla gestione
e a determinati
adozione
effettuato
dal disciplinare
delle
di
periodico
e addetti
consentiti
previsti
informatica;
di procedure
caricati
@
di dati personali
adottate,
trattamento
strumenti
consentito
ai singoli
in-
elettronici;
a trattamenti
illeciti
di dati,
ad accessi
non
informatici;
la custodia
di copie
di sicurezza,
il ripristino
della
disponibilit
dei
dati
sistemi;
tenuta
adozione
di un aggiornato
di tecniche
a rivelare
lo stato
documento
di cifratura
di salute
programmatico
o di codici
sulla
identificativi
o la vita sessuale
effettuati
sicurezza;
per
determinati
da organismi
trattamenti
di dati
idonei
sanitari.
Art. 3 5 c o m m a 1 : T r a t t a m e n t i senza l'ausilio d i s t r u m e n t i e l e t t r o n i c i

trattamento
adottate,
O
previsione
previsione
disciplina
effettuato
unit
dell'individuazione
per
dei relativi
di procedure
l'ausilio
tecnico
di strumenti
contenuto
elettronici
nell'allegato
dell'ambito
del
consentito
B), le seguenti
trattamento
solo
misure
consentito
se
sono
minime:
ai singoli
in-
organizzative;
di procedure
delle
senza
dal disciplinare
periodico
o alle
svolgimento
previsti
aggiornamento
caricati
di dati personali
nei modi
un'idonea
custodia
di atti e documenti
affidati
agli
incaricati
per
lo
compiti;
per la conservazione
modalit
di accesso
finalizzata
di determinati
atti in archivi
all'identificazione
degli
ad accesso
selezionato
C o n q u e s t i d u e articoli v i e n e e f f e t t i v a m e n t e tracciata una linea d i d e m a r c a z i o n e n e t t a tra

so o m e n o d i P e r s o n a l C o m p u t e r p e r e l a b o r a r e i n f o r m a z i o n i
incaricati.
l'u-
a c a r a t t e r e p e r s o n a l e : o l t r e alla
d e s c r i z i o n e d i q u e l l e c h e s o n o le m i s u r e m i n i m e d a a d o t t a r e , n e g l i a r t i c o l i v i e n e o p e r a t o u n
r i m a n d o al D i s c i p l i n a r e t e c n i c o c h e , s t r u t t u r a t o c o m e u n e l e n c o , s t a b i l i s c e u n a s e r i e d i r e g o l e
I
e p r e s c r i z i o n i c h e il T i t o l a r e d e l t r a t t a m e n t o t e n u t o a d a d o t t a r e ( A l l e g a t o
B).
Allegato B : d i s c i p l i n a r e tecnico i n m a t e r i a di m i s u r e m i n i m e d i s i c u r e z z a
i A r t t . da 33 a 3 6 d e l c o d i c e )
ispanizzato i n d u e
I Trattamenti con
sezioni.
s t r u m e n t i e l e t t r o n i c i : i n q u e s t a s e z i o n e s o n o d e s c r i t t e le modalit t e c n i c h e da
a d o t t a r e a c u r a d e l t i t o l a r e , del r e s p o n s a b i l e ove d e s i g n a t o e d e l l ' i n c a r i c a t o , i n caso d i t r a t t a m e n t o

c o n s t r u m e n t i e l e t t r o n i c i , i n p a r t i c o l a r e i n m e r i t o a:
- sistema di autenticazione informatica;
- sistema d i autorizzazione;
- a l t r e m i s u r e d i s i c u r e z z a ( a g g i o r n a m e n t o del sw e salvataggio d e i d a t i ) ;
- d o c u m e n t o p r o g r a m m a t i c o sulla sicurezza (DPS);
- u l t e r i o r i m i s u r e i n caso d i t r a t t a m e n t o d i d a t i s e n s i b i l i o g i u d i z i a r i ;
- misure di tutela e garanzia.
T r a t t a m e n t i senza l'ausilio d i s t r u m e n t i e l e t t r o n i c i : i n q u e s t a s e z i o n e s o n o d e s c r i t t e le modalit
t e c n i c h e da a d o t t a r e a c u r a d e l t i t o l a r e , d e l r e s p o n s a b i l e , ove
d i t r a t t a m e n t o c o n s t r u m e n t i d i v e r s i da q u e l l i e l e t t r o n i c i .
d e s i g n a t o , e d e l l ' i n c a r i c a t o , i n caso
Enti p r i v a t i e P u b b l i c a A m m i n i s t r a z i o n e h a n n o lo s t e s s o o b b l i g o d i a d e m p i e r e alla n o r m a t i v a :
redazione
DPS;
a d e g u a m e n t o d e i s i s t e m i i n f o r m a t i v i s e c o n d o le i n d i c a z i o n i d e l l ' a l l e g a t o B d e l l a n o r m a .
Zoom su.
DPS IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DPS (COMMA 19)
Riportiamo
p e r i n t e r o il c o m m a 1 9 c h e
Entro
il 31
giudiziari
marzo
grammatico
19.1.
19.2.
dei
l'analisi
19.4.
le misure
delle
aree
19.5.
la descrizione
19.6.
compiti
dei rischi
rilevanti
dei criteri
la previsione
e delle
di interventi
programmata
misure
gi al momento
o di introduzione
19.7.
la descrizione
o di
dati
pro-
riguardo:
nell'ambito
delle
dei criteri
i dati
di dati
e la disponibilit
loro custodia
modalit
perii
degli
pi rilevanti
significativi
strutture
preposte
al
personali
personali
idonei
dei criteri
da adottare
misure
in servizio,
a rivelare
per
della
eventi
disponibilit
la
protezione
dei dati in
per renderli
dannosi,
alle relative
minime
rispetto
l'adozione
in conformit
delle
lo stato
di salute
e la vita
la cifratura
o per
la separazione
della
seguito
La
di dati
minime
all'esterno
sessuale
rischi
disciplina
che
formazione
di cambiamenti
misure
dei
responsabilit
dal titolare.
al trattamento
al codice,
edotti
dei profili
attivit, delle
adottate
nonch in occasione
rilevanti
per garantire
affidati,
nonch
23;
del trattamento,
in rapporto
sulle
dei dati,
accessibilit;
punto
per prevenire
strumenti,
da adottare
ripristino
incaricati
disponibili
dell'ingresso
di nuovi
di trattamenti
personali
informazioni
sensibili
un documento
dati;
l'integrit
modalit per aggiornarsi
sioni,
l'individuazione
sui
formativi
dei dati personali
e delle
per
di dati
designato,
personali;
di cui al successivo
sulla protezione
19.8.
se
responsabilit
ai fini della
sui dati, delle
titolare;
e delle
per garantire
o danneggiamento
del
idonee
di dati
DPS.
di un trattamento
il responsabile,
contenente
che incombono
da adottare
che incombono
in caso
il titolare
attraverso
dei trattamenti
dei
e dei locali,
ne derivano
anno,
il c o n t e n u t o d e l
dati;
19.3.
a distruzione
anche
sulla sicurezza
l'elenco
la distribuzione
trattamento
di ogni
redige
riguarda
di
man-
personali;
di
sicurezza
della
struttura
di cui al punto
di tali dati dagli
altri
24,
dati
dell'interessato.
N e i d i e c i a n n i d i v i t a il D P S
eliminazione
del 2012:
dal 2003
le
h a s u b i t o m o l t e p l i c i m o d i f i c h e p r i m a d i a r r i v a r e alla sua c o m p l e t a
riassumiamo
nella s e g u e n t e t a b e l l a .
Assenza d i d e r o g h e a l l ' o b b l i g o d i r e d a z i o n e d e l d o c u m e n t o p r o g r a m m a t i c o sul
all'agosto 2008
sicurezza
dall'agosto 2008
Articolo 34 C o m m a I b i s d.lgs 196/03.
al l u g l i o
Per i s o g g e t t i c h e t r a t t a n o s o l t a n t o d a t i p e r s o n a l i n o n sensibili e c h e t r a t t a n o c o m e
2011
unici d a t i s e n s i b i l i q u e l l i c o s t i t u i t i d a l l o s t a t o d i s a l u t e o m a l a t t i a d e i p r o p r i d i p e n d e n t i e c o l l a b o r a t o r i a n c h e a p r o g e t t o , senza i n d i c a z i o n e d e l l a relativa
diagnosi,
o v v e r o d a l l ' a d e s i o n e a o r g a n i z z a z i o n i sindacali o a c a r a t t e r e s i n d a c a l e , la t e n u t a d i
un a g g i o r n a t o d o c u m e n t o p r o g r a m m a t i c o sulla sicurezza s o s t i t u i t a d a l l ' o b b l i g o d i
a u t o c e r t i f i c a z i o n e , resa d a l t i t o l a r e d e l t r a t t a m e n t o ai sensi d e l l ' a r t i c o l o 47 d e l t e s t o
u n i c o d i cui al d e c r e t o d e l P r e s i d e n t e d e l l a R e p u b b l i c a 2 8 d i c e m b r e 2 0 0 0 , n. 4 4 5 ,
d i t r a t t a r e s o l t a n t o tali d a t i in osservanza d e l l e altre m i s u r e d i sicurezza p r e s c r i t t e .
Omississ
170
d a l l u g l i o 2011
Lezione 6
Articolo 3 4 C o m m a I b i s d.lgs 196/03.
a gennaio 2012
Per i s o g g e t t i c h e t r a t t a n o s o l t a n t o d a t i p e ' s c a
n o n sensi oiii e o e t r a t t a n o c o m e
unici d a t i sensibili e g i u d i z i a r i q u e l l i relativi a i p r o p r i d i p e n d e n t i e c o l l a b o r a t o r i , a n c h e se e s t r a c o m u n i t a r i , c o m p r e s i q u e l l i reiatwi a c o n i u g e e ai p a r e n t i , a t e n u t a d i

un a g g i o r n a t o d o c u m e n t o p r o g r a m m a t e c i s~ a s c ^ - e z z a e s o s t a t a oa ' o o o i ' g o d i
a u t o c e r t i f i c a z i o n e , resa d a l t i t o l a r e d e l t r a t t a m e n t o a i sensi d e l l ' a r t i c o l o 4 7 d e l t e s t o
u n i c o d i cui al d e c r e t o d e l P r e s i d e n t e d e l l a R e p u b b t c a 2 8 d i c e m b r e 2 0 0 0 , n . 4 4 5 , d i
t r a t t a r e s o l t a n t o tali d a t i in osservanza o e e m i w e m i n a n e d sicurezza
previste dal
i !
p r e s e n t e c o d i c e e d a l d i s c i p l i n a r e t e c n i c o c o n t e n u t o netalcgato
B).
Omississ
A b r o g a z i o n e i n t e g r a l e D o c u m e n t o P r o g i a m m a t i c o S u b Sicurezza.
gennaio 2012
L'articolo 9 8 del d.lgs. 30/2005

U
d e c r e t o 3 0 / 2 0 0 5 r i g u a r d a n t e i l Codice
della
Propriet
Industriale
l ' a r t i c o l o 9 8 fa
riferimenti
alle
informazioni c o m m e r c i a l i s e g r e t e , e ha stabilito che:

D
costituiscono
oggetto
striali,
comprese
tali
informazioni:
siano
segrete,
abbiano
siano
valore
costituiscono
dinata
agricoli
del
altres
oggetto
l'autorizzazione
implicanti
delle
note
controllo
o nella
tecnico-indu-
del detentore,
precisa
configurazione
o facilmente
accessibili
di protezione
i dati
un considerevole
di nuove
al cui legittimo
adeguate
sono
segrete.
relativi
o altri
impegno
in commercio
sostanze
controllo
a mantenerle
quella evoluzione
agli
a prove
soggette,
dati
e alla cui presentazione

di prodotti
chimici,
segreti,
sia
a
la
subor-
farmaceutici
chimiche.
L e m i s u r e d i s i c u r e z z a d e f i n i t e a l l ' i n t e r n o d e l D i s c i p l i n a r e r a p p r e s e n t a n o /'/ punto

oer
ove
segrete;
persone
dell'immissione
l'uso
nel loro insieme
e le esperienze
settore;
ragionevolmente
comporti
al legittimo
generalmente
in quanto
da parte
da ritenersi
cui elaborazione
elementi
economico
sottoposte,
misure
0
operatori
aziendali
soggette
che non siano
dei loro
e agli
le informazioni
commerciali,
nel senso
e combinazione
esperti
di tutela
quelle
di
partenza
v e r s o l o " s t a t o d e l l ' a r t e " d i c u i f a c e n n o l'art. 3 1 d e l d . l g s 1 9 6 / 2 0 0 3 :
officile pensare a un utilizzo d i s t a n d a r d d i sicurezza senza aver prima p r o v v e d u t o a i m p i e g a r e correttamente q u a n t o richiesto p e r legge.
Legge 18 marzo 2 0 0 8 , n. 4 8 C r i m i n i informatici

E cita p u b b l i c a t a n e l l a G a z z e t t a Ufficiale n . 8 0 d e l 4 a p r i l e 2 0 0 8 S u p p l e m e n t o o r d i n a r i o n . 7 9 c o n
"Ratifica
ed esecuzione
t'atta a Budapest
della
Convenzione
il 23 novembre
del Consiglio
2001, e norme
d'Europa
di adeguamento
sulla
criminalit
dell'ordinamento
informainterno".
C o n l a legge 48/2008 l ' I t a l i a s i d o t a t a d i u n a n u o v a n o r m a t i v a s u i c r i m i n i i n f o r m a t i c i , pi a t t u a l e e

aerer d e l l a p r e c e d e n t e i n t r o d o t t a i l 2 3 d i c e m b r e 1 9 9 3 c o n l a legge n . 5 4 7 .
pfco-rganizzata i n 4 c a p i e 1 4 a r t i c o l i c h e i n t e r v e n g o n o c o n m o d i f i c h e , s o s t i t u z i o n i , a g g i u n t e o a b r o |anoni. s u s p e c i f i c i a r t i c o l i d e l :
codice penale;
ce p e r l a p r o t e z i o n e d e i d a t i p e r s o n a l i ;
. .-reto l e g i s l a t i v o 8 g i u g n o 2 0 1 n . 2 3 1 ;
I
.- c . c S p r o c e d u r a penale.
171
I n m e r i t o ai r e a t i i n f o r m a t i c i v e n g o n o i n t r o d o t t e n u o v e d e f i n i z i o n i , a u m e n t a t e l e s a n z i o n i p e r c h i l i
c o m m e t t e , v i e n e r i c h i e s t a u n a maggiore t u t e l a d e i d a t i p e r s o n a l i e d e f i n i t e l e s a n z i o n i a c a r i c o delle
societ n e i casi d i colpa o r g a n i z z a t i v a i n caso v e n g a n o c o m m e s s i r e a t i i n f o r m a t i c i s u i d a t i i n l o r o
possesso a d a n n o d i soggetti che l i h a n n o a l o r o a f f i d a t i .
C a m b i a a n c h e i l c o n c e t t o d i d o c u m e n t o i n f o r m a t i c o che assume u n a valenza pi a m p i a : si aggiorna
alla n u o v a t e c n o l o g i a e t i e n e c o n t o d e l l ' a u t o n o m i a s t r u t t u r a l e e f u n z i o n a l e dei d a t i r i s p e t t o a i supp o r t i che l i c o n t e n g o n o .
Le m o d i f i c h e a l l ' a r t i c o l o 6 1 5 d e l c o d i c e p e n a l e lo h a n n o t r a s f o r m a t o nella s e g u e n t e f o r m u l a z i o n e :
Art. 615-quinquies codice penale (Diffusione d i apparecchiature, dispositivi

^
o p r o g r a m m i informatici diretti a d a n n e g g i a r e o interrompere un sistema

informatico otelematico).
"Chiunque,
o telematico,
ovvero
di favorire
si procura,
mette
allo
scopo
le informazioni,
l'interruzione,
produce,
a disposizione
nito con la reclusione
di danneggiare
i dati
riproduce,
illecitamente
o i programmi
totale
o parziale,
importa,
di altri apparecchiature,
fino a due anni
in esso
o l'alterazione
diffonde,
comunica,
dispositivi
e con la multa
un sistema
contenuti
del suo
pertinenti
funzionamento,
consegna
o programmi
sino
informatico
o a esso
o,
comunque,
informatici,
a euro
pu-
10.329."
L ' a r t i c o l o , p e r essere m a g g i o r m e n t e c o m p r e n s i b i l e , v i e n e d i seguito r i p r o d o t t o c o n u n d i a g r a m m a

(elaborato
dal Dr. Fulvio
Berghella):
Chiunque
si procura,
produce,
allo scopo di danneggiare illecitamente
un sistema informatico o telematico
ovvero di favorire l'interruzione,

totale o parziale
le informazioni
i dati
o l'alterazione del suo funzionamento
riproduce,
I o i programmi
importa.
in esso contenuti
diffonde.
o a esso pertinenti
comunica.
consegna,
o, comunque,
mette a disposizione
degli altri
apparecchiature,
dispositivi
punito con la reclusione fino a due anni e con la multa sino a euro 10.329
172
o pn
informatici
C h i u n q u e d a n n e g g i a 1ecitamente un
A D a n n e g g i a m e n t o R i c o r d i a m o che c o n i l t e r m i n e d a n -
sistema
erte p u n i t o c o n l ' a r t i zoo

del
Art.
615-quinquies
Codice
neggiamento la giurisprudenza ha definito: distrugge,
de-
teriora,
parte,
inservibili,
penale.
cancella,
altera,
ne ostacola
sopprime,
rende,
gravemente
in tutto
o in
il funzionamento.
i l n u o v o testo s o n o s a n z i o n a t i n o n solo i c o m p o r t a m e n t i i l l e c i t i c o r r e l a t i a i p r o g r a m m i i n f o r ici m a a n c h e q u e l l i a f f e r e n t i alle a p p a r e c c h i a t u r e e ai d i s p o s i t i v i : v i e n e cos i n c l u s o n e l c o n c e t t o

solo i l software ( c o m e era p r e c e d e n t e m e n t e a esso), m a a n c h e l ' h a r d w a r e .
i r e i n o l t r e s a n z i o n a b i l e a n c h e l a s e m p l i c e d e t e n z i o n e d i software o h a r d w a r e i l l e g i t t i m o .
'
illazioni e pene
pecuniarie
- 7 della legge 48/2008 h a i m p o r t a n t i effetti o r g a n i z z a t i v i : i n t r o d u c e l ' a r t i c o l o 24-i's al d e c r e t o

legislativo 8 giugno 2 0 0 1 , n . 2 3 1 a m p l i a n d o la p o r t a t a della c o s i d d e t t a " c o l p a o r g a n i z z a t i v a " a i defini
informatici e trattamento illecito di dati.
. sanzioni p e c u n i a r i e p e r a z i e n d e e d e n t i s o n o i m p o r t a n t i e si a p p l i c a n o n e i casi d i v i o l a z i o n e d e i
seguenti a r t i c o l i del c o d i c e penale:
I
a c c e s s o a b u s i v o a u n s i s t e m a i n f o r m a t i c o o t e l e m a t i c o - a r t . 615-ter.
chiunque abusivamente
si i n t r o d u c e i n u n s i s t e m a i n f o r m a t i c o o t e l e m a t i c o p r o t e t t o da m i s u r e d i s i c u r e z z a o v v e r o v i s i
m a n t i e n e c o n t r o la volont espressa o t a c i t a d i c h i ha i l d i r i t t o d i e s c l u d e r l o ;
intercettazione,
impedimento
che - a r t . 617-quater.
o i n t e r r u z i o n e illecita di c o m u n i c a z i o n i i n f o r m a t i c h e
telemati-
c h i u n q u e fraudolentemente intercetta c o m u n i c a z i o n i relative a u n sistema
i n f o r m a t i c o o t e l e m a t i c o o i n t e r c o r r e n t i t r a pi s i s t e m i , o v v e r o le i m p e d i s c e o le i n t e r r o m p e , ...
c h i u n q u e r i v e l a , m e d i a n t e qualsiasi m e z z o d ' i n f o r m a z i o n e a l p u b b l i c o , i n t u t t o o i n p a r t e , i l c o n t e n u t o delle c o m u n i c a z i o n i ( d i c u i al p r i m o c o m m a ) ;
I
istallazione
di a p p a r e c c h i a t u r e a t t e a i n t e r c e t t a r e ,
f o r m a t i c h e o t e l e m a t i c h e - a r t . 617-qu'mquies:
impedire o interrompere comunicazioni
in-
c h i u n q u e , f u o r i d a i casi c o n s e n t i t i dalla legge,
installa a p p a r e c c h i a t u r e atte a i n t e r c e t t a r e , i m p e d i r e o i n t e r r o m p e r e c o m u n i c a z i o n i r e l a t i v e a u n
r-istema i n f o r m a t i c o o t e l e m a t i c o o v v e r o i n t e r c o r r e n t i t r a pi s i s t e m i ;
I
d a n n e g g i a m e n t o d i i n f o r m a z i o n i , d a t i e p r o g r a m m i i n f o r m a t i c i - a r t . 635-bis:
c h i u n q u e distrugge,
t e r i o r a , cancella, a l t e r a o s o p p r i m e i n f o r m a z i o n i , d a t i o p r o g r a m m i i n f o r m a t i c i a l t r u i ;
I d a n n e g g i a m e n t o di informazioni, dati e p r o g r a m m i
informatici utilizzati dallo S t a t o o d a altro
e n t e p u b b l i c o o c o m u n q u e di p u b b l i c a u t i l i t - a r t . 635-ter:
c h i u n q u e c o m m e t t e u n fatto d i r e t t o a
distruggere, d e t e r i o r a r e , c a n c e l l a r e , a l t e r a r e o s o p p r i m e r e i n f o r m a z i o n i , d a t i o p r o g r a m m i i n f o r m a t i c i u t i l i z z a t i dallo Stato o da a l t r o e n t e p u b b l i c o o a essi p e r t i n e n t i , o c o m u n q u e d i p u b b l i c a utilit;

I d a n n e g g i a m e n t o di s i s t e m i i n f o r m a t i c i o t e l e m a t i c i - a r t . 635-quater.
c h i u n q u e , m e d i a n t e le c o n -
d o t t e d i c u i a l l ' a r t i c o l o 6 3 5 - b i s , o v v e r o a t t r a v e r s o l ' i n t r o d u z i o n e o la t r a s m i s s i o n e d i d a t i , i n f o r m a z i o n i o p r o g r a m m i , distrugge, danneggia, r e n d e , i n t u t t o o i n p a r t e , i n s e r v i b i l i s i s t e m i i n f o r m a t i c i

o t e l e m a t i c i a l t r u i o n e ostacola g r a v e m e n t e i l f u n z i o n a m e n t o :
I d a n n e g g i a m e n t o di s i s t e m i i n f o r m a t i c i o t e l e m a t i c i di p u b b l i c a u t i l i t - art. 635-qu/nqu/es: se i l fatto
d i c u i all'articolo 6 3 5 - q u a t e r d i r e t t o a distruggere, danneggiare, rendere, i n t u t t o o i n parte, inservib i l i sistemi i n f o r m a t i c i o t e l e m a t i c i d i p u b b l i c a utilit o a ostacolarne gravemente i l f u n z i o n a m e n t o .
A q u e s t i si aggiungono:
I la f r o d e i n f o r m a t i c a d e l soggetto c h e presta s e r v i z i d i c e r t i f i c a z i o n e
elettronica:
I la f a l s a d i c h i a r a z i o n e o a t t e s t a z i o n e al c e r t i f i c a t o r e d i firma e l e t t r o n i c a sull'identit o su qualit

personali proprie o d i altri;
r e l i t t i i n f o r m a t i c i e t r a t t a m e n t o i l l e c i t o d i d a t i sono i n s e r i t i n e l l ' a m b i t o delle p r e v i s i o n i d e l dec r e t o legislativo 8 g i u g n o 2 0 0 1 , n . 2 3 1 .
173
D a t i personali
A t u t t i gli effetti la L. 48/2008 esegue u n a i n t e g r a z i o n e t r a la L. 547/93, i l d.lgs. 196/2003 i n t r o d u c e n d o l'aspetto penale del reato i n f o r m a t i c o : i d a t i p e r s o n a l i d e v o n o essere p r o t e t t i c o n t r o i l r i s c h i o
d i i n t r u s i o n e e dell'azione d i p r o g r a m m i d i c u i a l l ' a r t . 615-quinquies
del c o d i c e penale m e d i a n t e
l ' a t t i v a z i o n e d i idonei strumenti
e l e t t r o n i c i da aggiornare
con cadenza almeno
semestrale.
L'allegato B della 19671 >3, n e l c o m m a che t r a t t a "Ulteriori
misure in caso di trattamento
di dati sensibili o giudiziari",
ora cos f o r m u l a t o : "i dati sensibili
o giudiziari
sono protetti contro
l'accesso
abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo
di idonei strumenti
elettronici".
Finalit a m m i n i s t r a t i v e e contabili
V i e n e per i n t r o d o t t a la n o z i o n e d i t r a t t a m e n t o p e r finalit a m m i n i s t r a t i v e e c o n t a b i l e .
L'articolo 34 c o m m a 1 t e r d.lgs 196/03:
ai fini dell'applicazione
effettuati
di natura
dati
In particolare,
della
disposizioni
in materia
organizzativa,
sono
amministrativa,
finanziaria
di protezione
quelli
dei dati personali,
connessi
e contabile,
allo svolgimento
a prescindere
trattamenti
delle
dalla
attivit
natura
dei
trattati.
obblighi
salute,
delle
per finalit amministrativo-contabili
perseguono
contrattuali
contabilit
igiene
tali finalit le attivit organizzative
e precontrattuali,
e all'applicazione
e sicurezza
sul
alla gestione
delle
norme
interne,
del rapporto
in materia
fiscale,
quelle
di lavoro
sindacale,
funzionali
in tutte
l'adempimento
le sue
previdenziale
fasi,
alla
di
tenuta
assistenziale,
di
lavoro.
V e n g o n o q u i n d i i n t r o d o t t e delle " s e m p l i f i c a z i o n i d i t a l u n i a d e m p i m e n t i i n a m b i t o p u b b l i c o e p r i v a t o rispetto a t r a t t a m e n t i p e r finalit a m m i n i s t r a t i v e e c o n t a b i l i " dove si legge:

"diverse
realt, specie
relazione
a obblighi
amministrativo
clienti,
fornitori,
imprenditoriali
contrattuali,
e contabile
(gestione
realt esterne
di piccole
precontrattuali
di ordinativi,
di supporto
anche
e medie
o di legge,
buste
dimensioni,
trattano
esclusivamente
paga
in outsourcing
e di ordinaria
dipendenti);
dati,
anche
per finalit di
corrispondenza
in
ordine
con
omississ"
Q u i n d i le a z i e n d e che t r a t t a n o i n p r e v a l e n z a d a t i p e r s o n a l i ( a d e s e m p i o n o m e , c o g n o m e , i n d i r i z z o ,
n u m e r o d i telefono, p a r t i t a i v a , c o d i c e fiscale) p e r finalit a m m i n i s t r a t i v e h a n n o solo 1' obbligo d i
u n a i n f o r m a t i v a sulle modalit e finalit d i gestione del d a t o senza r i c h i e d e r e i l consenso s c r i t t o
degli i n t e r e s s a t i .
Ultimi decreti e/o leggi

I l 2 0 1 1 e i l 2 0 1 2 sono s t a t i c a r a t t e r i z z a t i da i m p o r t a n t i novit n e l settore n o r m a t i v o della sicurezza
dei sistemi informativi:
> a b o l i z i o n e d e c r e t o Pisano c i r c a l ' o b b l i g o d i i d e n t i f i c a z i o n e degli u t e n t i ;
p r o v v e d i m e n t o d e l G a r a n t e p e r l a p r o t e z i o n e d e i d a t i p e r s o n a l i 12 maggio 2 0 1 1 i n e r e n t e la tracciabilit degli accessi ai d a t i b a n c a r i :
i d e c r e t o legge n . 70/2011 " S e m e s t r e E u r o p e o - P r i m e d i s p o s i z i o n i u r g e n t i p e r l ' e c o n o m i a " success i v a m e n t e c o n v e r t i t o c o n legge n . 1 0 6 / 2 0 1 1 :
> d e c r e t o legge n . 2 0 1 / 2 0 1 1 , n o t o c o m e d e c r e t o Salva Italia, c o n t e n e n t e le " D i s p o s i z i o n i u r g e n t i per
la c r e s c i t a , l'equit e i l c o n s o l i d a m e n t o dei c o n t i p u b b l i c i " , c o n v e r t i t o c o n la legge d e l 22 d i c e m bre 2 0 1 1 , n. 214
d e c r e t o S e m p l i f i c a z i o n i 5/2012 a p p r o v a t o i l 2 7 . 0 1 . 2 0 1 2 c o n v e r t i t o c o n l a legge 4 a p r i l e 2 0 1 2 n . 3 5 :
174
Lezione 6
le a l t r e cose le m o d i f i c h e h a n n o
riguardato:
b n o z i o n e d i dato personale c o n q u i n d i i n c i d e n z a sulla a p p l i c a z i o n e del d.lgs 1 9 6 / 0 3 :
T a m b i t o d i a p p l i c a z i o n e p r i m a , e l'esistenza p o i , del D o c u m e n t o P r o g r a m m a t i c o sulla Sicurezza.
r t i a m o a t i t o l o d i e s e m p i o l ' a r t . 4 5 della legge 4 a p r i l e 2 0 1 2 n . 3 5
(Semplificazioni
D
al codice
gno
2003,
n. 196,
all'articolo
diziari
in m a t e r i a d i d a t i p e r s o n a l i ) :
In materia
21 dopo
altres
prevenzione
stero
di protezione
sono
il comma
consentito
30 luglio
1999,
personali),
che specificano
all'articolo
27,
Si
quanto
comma
all'articolo
nel disciplinare
tecnico
sono
i paragrafi
. a r t i c o l o scritto
34 soppressa
naturalmente
periferici
(previo
la lettera
in materia
per
infine,
dall'articolo
Il trattamento
organizzata
30
giu-
dei dati
giu-
comma
g) del comma
e
d'intesa
stipulati
15, comma
del Garante
per
con il
2, del
per la protezione
e delle
il seguente
21,
di misure
da 19 a 19.8
legislativo)
di protocolli
di cui all'articolo
parere
dei dati trattati
1, aggiunto,
1-bis.
in attuazione
di criminalit
la tipologia
previsto
soppressi
n. 300
il seguente:
effettuato
dei fenomeni
di cui al decreto
modificazioni:
1 inserito
o con i suoi uffici
legislativo
applica
le seguenti
quando
e il contrasto
dell'interno
dei dati personali,
apportate
operazioni
la
Minidecreto
dei
dati
eseguibili;
periodo:
1-bis;
1 ed abrogato
minime
di sicurezza
il comma
1-bis;
di cui all'allegato
26.
g l i a d d e t t i ai l a v o r i c h e " c o n o s c o n o a m e m o r i a "
ogni
e g g e , articolo, c o m m a e lettera del c o m m a !

T u t t i g l i a l t r i n e a s p e t t a n o la " t r a d u z i o n e " in l i n g u a g g i o c o m p r e n s i b i l e , e p e r q u a n t o r i g u a r d a
questo articolo sostanzialmente
namento del
si s i n t e t i z z a in " n o n p i o b b l i g a t o r i a la r e d a z i o n e e l ' a g g i o r -
n vi l ' o b b l i g o s o s t i t u t i v o d i a u t o c e r t i f i c a z i o n e " .
Conclusioni
enzione:
con
l a legge 3 5 / 2 0 1 2
non
-tate a b o l i t e le m i s u r e m i n i m e d i
Con
l'avvento
delle
nuove
tecnologie
come
o u t s o u r c i n g e il c l o u d i s i s t e m i s t i d e v o n o v a l u t a r e
r e z z a , cio n o n s t a t o a b o l i t o c o m a t t e n t a m e n t e le c l a u s o l e c o n t r a t t u a l i p r e v i s t e a t u l e n t e l'allegato B a l d.lgs 1 9 6 / 0 3 ,

t e l a d e l l a riservatezza p r i m a d i s t i p u l a r e a c c o r d i c o n
stata t o l t a l'obbligatoriet d i r e d i f o r n i t o r i d i q u e s t i s e r v i z i e s t e r n i alla o r g a n i z z a z i o n e :
il DPS; p e r m a n g o n o le r e s p o n s a b i a d e s e m p i o , s p e s s o i d a t a b a s e s o n o su s e r v e r l o c a p e n a l i i n caso d i m a n c a t a adoziolizzati f i s i c a m e n t e in p a e s i t r o p i c a l i , d o v e le n o r m a delle m i s u r e m i n i m e d i sicurezza e
t i v e sulla t u t e l a d e l l a p r i v a c y e riservatezza d e i d a t i
e vigente i l p r o v v e d i m e n t o sugli
g e n e r a l m e n t e sono " m o l t o carenti" e n o n rispettan i s t r a t o r i d i Sistema,
n o q u a n t o previsto dalla nostra normativa.
s i n t e s i , le m i s u r e m i n i m e d i s i c u r e z la adottare a i t i t o l a r i d e l t r a t t a m e n t o
stessi sono quelle i d o n e e a r i d u r r e al m i n i m o i rischi d i d i s t r u z i o n e o p e r d i t a a n c h e p a r z i a l e
ti. E prescritto l'utilizzo di sistemi di autenticazione, d i autorizzazione, di soluzioni antivirus
p r o t e z i o n e da i n t r u s i o n i m a l i g n e e a n c h e d i s o l u z i o n i d i sicurezza v o l t e a e v i t a r e o p r e v e n i r e la
l i s s i o n e d i r e a t i da p a r t e dei d i p e n d e n t i , c o m e i l d o w n l o a d d i file a c o n t e n u t o p e d o p o r n o g r a f i c o
- c a m b i o d i file a u d i o e v i d e o p r o t e t t i da d i r i t t o d ' a u t o r e .
Linea generale si pu affermare che u n ' a z i e n d a pu c o n t r o l l a r e i l pc d i u n d i p e n d e n t e per prevee gli a b u s i m a n o n pu fare d i questa attivit u n u t i l i z z o d i s t o r t o e finalizzato al m o n i t o r a g g i o
prestazione l a v o r a t i v a : i l legislatore e i l g a r a n t e fissano d i r i t t i e d o v e r i p e r l a v o r a t o r i e aziende,
che auspicabile e o p p o r t u n o u n a l i n e a d i c o n d o t t a e q u i l i b r a t a fra c o r r e t t a i n t e r p r e t a z i o n e
;!<.- n o r m e e u t i l i z z o delle risorse e funzionalit t e c n o l o g i c h e .
175

Norme Di Sicurezza e Privacy

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Norme Di Sicurezza e Privacy

Enviado por

Direitos autorais:

Formatos disponíveis

rezza delle reti

la sicurezza informatica e la riservatezza dei dati personali

i n d i v i d u a z i o n e delle possibili m i n a c c e e definizione

Nel passato i l p r o b l e m a d e l l a sicurezza n o n era p a r t i c o l a r m e n t e s e n t i t o i n q u a n t o si p r e s e n t a v a n o

| predetti inconvenienti e o g n i altro rischio

guasti a l l ' h a r d w a r e e i m a l f u n z i o n a m e n t i do-

v u t i alla sviluppo d i software spesso fatto i n

I quindi a n c h e i dati e r a n o abbastanza protetti

insure m i n i m e d i sicurezza alle aziende a l -

I $i ritiene c h e " . . . u n a g e n e r a / e normativa

"l possano essere t u t e l a t i g l i u t e n t i e t u t t i

rsonali e che h a n n o d i r i t t o alla l o r o r i s e r v a -

dei dati personali

Te che d a l p u n t o d i v i s t a dell'azienda la sicurezza d e i d a t i q u i n d i d i v e n u t a d i i m p o r t a n z a c e n k per l ' u t e n t e : la t u t e l a d e i d a t i p e r s o n a l i , a n c h e s p i n t a d a l A g a r a n t e d e l l a p r i v a c y , o g g i u n o

illa riservatezza r i c h i e d e d i esercitare u n c o n t r o l l o s u i d a t i p e r s o n a l i i n m o d o da s t a b i l i r e

ri uri sprudenza informatica

la sicurezza informatica e la riservatezza dei dati personali

protezione delle informazioni

I i n d i v i d u a z i o n e delle possibili m i n a c c e e definizione

Nel passato i l p r o b l e m a della sicurezza n o n era p a r t i c o l a r m e n t e s e n t i t o i n q u a n t o si p r e s e n t a v a n o

isure m i n i m e d i sicurezza alle aziende affinch possano essere t u t e l a t i g l i u t e n t i e t u t t i

t o alla r i s e r v a t e z z a richiede d i esercitare u n c o n t r o l l o s u i d a t i p e r s o n a l i i n m o d o da s t a b i l i r e

I al software (d.lgs. 518/92 - 1 . 633/41 ) e alle f o r m e n u o v e d i l i c e n z a ( o p e n s o u r c e ) ;

del suo funzionamento,

i fatti di cui ai commi

La legge n. 675/96 fa suo questo p r i n c i p i o e n e l l ' a r t . 15, d e s t i n a t o a t r a s f o r m a r e p r o f o n d a m e n t e la

I l decreto 196/03 del 3 0 giugno 2 0 0 3

D i seguito r i p r e n d i a m o s i n t e t i c a m e n t e g l i a r t i c o l i p r i n c i p a l i , c h e a n c o r a oggi sono d i f o n d a m e n t a l e

Art. 1 (Diritto alla protezione d e i dati di carattere

dei dati di carattere

Il p r i m o a r t i c o l o della 196/03 riproduce i l p r i m o

agli a r t i c o l i 1-51 e 11-68 d e l Progetto d i T r a t t a t o

dei dati di carattere

" d a t o p e r s o n a l e " , q u a l u n q u e i n f o r m a z i o n e r e l a t i v a a p e r s o n a fisica, i d e n t i f i c a t a o i d e n t i f i c a b i l e ,

" d a t i identificativi", i dati personali che p e r m e t t o n o l'identificazione diretta dell'interessato;

" d a t i s e n s i b i l i " , i d a t i p e r s o n a l i i d o n e i a rivelare l ' o r i g i n e razziale e d e t n i c a , le c o n v i n z i o n i r e l i giose,

o d i a l t r o genere, le o p i n i o n i p o l i t i c h e , l'adesione a p a r t i t i , s i n d a c a t i , associazio-

i d o n e i a r i v e l a r e lo stato d i salute e la v i t a sessuale;

Nel c o m m a 3 v i e n e data l a d e f i n i z i o n e d i m i s u r e m i n i m e d i sicurezza.

distruzione o perdita anche accidentale;

trattamento non consentito.

Art. 11 (Modalit del trattamento e r e q u i s i t i dei dati)

A r t . I n ( D a n n i cagionati per effetto del trattamento)

(Responsabilit per l'esercizio di attivit pericolose)

C o n q u e s t o a r t i c o l o viene i n t r o d o t t a l ' i n v e r s i o n e d e l l ' o n e r e d e l l a p r o v a : p e r evitare i l r i s a r c i m e n t o

Senza sicurezza i t r a t t a m e n t i n o n s o n o consentiti dalla l e g g e .

Art.31 (Obblighi di s i c u r e z z a a tutela del diritto a l l a protezione dei propri

I r i s c h i da r i d u r r e p r e v e n t i v a m e n t e , m e d i a n t e l ' a d o z i o n e d i i d o n e e m i s u r e d i sicurezza, sono i quatt r o gi e l e n c a t i , e cio:

e dei dati rispetto

Art. 3 5 c o m m a 1 : T r a t t a m e n t i senza l'ausilio d i s t r u m e n t i e l e t t r o n i c i

C o n q u e s t i d u e articoli v i e n e e f f e t t i v a m e n t e tracciata una linea d i d e m a r c a z i o n e n e t t a tra

a d o t t a r e a c u r a d e l t i t o l a r e , del r e s p o n s a b i l e ove d e s i g n a t o e d e l l ' i n c a r i c a t o , i n caso d i t r a t t a m e n t o

modalit per aggiornarsi

dei dati personali

sui dati, delle

di tali dati dagli

Assenza d i d e r o g h e a l l ' o b b l i g o d i r e d a z i o n e d e l d o c u m e n t o p r o g r a m m a t i c o sul

Articolo 34 C o m m a I b i s d.lgs 196/03.

unici d a t i s e n s i b i l i q u e l l i c o s t i t u i t i d a l l o s t a t o d i s a l u t e o m a l a t t i a d e i p r o p r i d i p e n d e n t i e c o l l a b o r a t o r i a n c h e a p r o g e t t o , senza i n d i c a z i o n e d e l l a relativa

Articolo 3 4 C o m m a I b i s d.lgs 196/03.

unici d a t i sensibili e g i u d i z i a r i q u e l l i relativi a i p r o p r i d i p e n d e n t i e c o l l a b o r a t o r i , a n c h e se e s t r a c o m u n i t a r i , c o m p r e s i q u e l l i reiatwi a c o n i u g e e ai p a r e n t i , a t e n u t a d i

L'articolo 9 8 del d.lgs. 30/2005

informazioni c o m m e r c i a l i s e g r e t e , e ha stabilito che: