Sei sulla pagina 1di 21

Il Piano della Sicurezza

e le Responsabilit della Privacy


Roberto Di Pietro, PhD

Dipartimento di Informatica - Universit di Roma La Sapienza

dipietro@di.uniroma1.it
CNR-ISTI, Pisa

roberto.dipietro@isti.cnr.it

Agenda
Il Codice in materia di protezione dei
dati personali (D. Lgs. 196/2003)
il trattamento dati;
il Documento Programmatico sulla
Sicurezza,
Il piano della sicurezza;
Conclusioni e spunti di ricerca.

Decreto legislativo 30 giugno 2003, n. 196


Codice in materia
di protezione dei dati personali
Art. 1

Chiunque ha diritto alla protezione


dei dati personali che lo riguardano.

DATI PERSONALI

Qualunque informazione

Origine razziale ed etnica

DATI SENSIBILI

Convinzioni religiose, filosofiche e simili


Opinioni politiche
Adesione a partiti, sindacati, associazioni a
carattere
religioso, politico, filosofico
Stato di salute
Vita sessuale

SICUREZZA dei DATI e dei SISTEMI

Art. 31- 36

ALLEGATO B)

DLsg
196/2003

DLgs 196/2003

MINIME
(Allegato B))

IDONEE
(art. 31, 1)

IDONEE

ridurre al minimo il rischio di


distruzione o perdita anche
accidentale, dei dati, di accesso
non autorizzato o di
trattamento non consentito, in
relazione alle conoscenze
acquisite:
- in base al progresso tecnico;
-alla natura dei dati;
-alle specifiche caratteristiche
del trattamento.

Risarcimento del
danno
(art. 15)

MINIME

Omissione anche se non c stato


danno:
- arresto fino a due anni;

Sanzioni
Penali

- ammenda da 10.000 a 50.000

art. 169
RAVVEDIMENTO OPEROSO
- Onere di adeguarsi alle misure minime;
- pagamento di del massimo dellammenda;
- estinzione del reato.

Chi responsabile civilmente e penalmente riguardo


alle misure di sicurezza?
- il titolare;
- insieme al titolare, il responsabile (se non
escluso);
- soggetti esterni ( attestazione di
conformit ex punto 25 dellAllegato B)

- la

persona fisica, se si tratta di ditta individuale;

- lamministratore delegato
altrimenti.

(o figura equivalente)

ADEMPIMENTI
PER IL TRATTAMENTO DI TUTTI I TIPI DI DATI

ADOZIONE di un DISCIPLINARE
TECNICO ai sensi dellALLEGATO B)
- tipo di dati
-modalit di trattamento
- analisi dei rischi
- misure adottate
- nomina soggetti
- istruzioni dettagliate

PER I DATI SENSIBILI O


GIUDIZIARI
ANCHE

DOCUMENTO PROGRAMMATICO
SULLA SICUREZZA

Il Documento Programmatico
sulla Sicurezza

Il Documento Programmatico
sulla Sicurezza
Il Documento Programmatico sulla sicurezza, ..sulla base
dellanalisi dei rischi e dellorganizzazione del personale e dei
compiti,.. deve descrivere:
Criteri tecnici e organizzativi per la protezione delle aree e dei
locali interessati al trattamento, nonch le procedure per
controllare laccesso ai locali medesimi
Criteri e le procedure per assicurare lintegrit dei dati
Criteri e procedure per la sicurezza delle trasmissioni dei dati
e delle restrizioni imposte per laccesso per via telematica ai
dati
Piano di formazione per rendere edotto il personale sui rischi
individuati e sulle procedure da applicare per prevenire danni

Il Documento Programmatico
sulla Sicurezza
Finalizzato alla costruzione di un sistema sicuro
che soddisfi le seguenti propriet:
Disponibilit: degli elaboratori, dei programmi e dei
servizi di rete e di supporto
Integrit: delle informazioni, e quindi il rispetto delle
autorizzazioni assegnate al personale che stabiliscono chi
pu effettuare operazioni di modifica, cancellazione,
creazione
Autenticit: garanzia e certificazione della provenienza
dei dati
Confidenzialit e riservatezza: linformazione
accessibile soltanto al personale autorizzato

Il Documento Programmatico
sulla Sicurezza
Costituisce loccasione per progettare la sicurezza di
unorganizzazione per soddisfare i vincoli del diritto di
domicilio elettronico ex art. 615 ter c.p.

Chiunque abusivamente si introduce in un sistema informatico o


telematico protetto da misure di sicurezza ovvero vi si
mantiene contro la volont espressa o tacita di chi ha il diritto
di escluderlo, punito

Inoltre, ladozione di misure di sicurezza pu essere


finalizzata alla tutela di:
Condotta omissiva (Art. 40 c.p.)
Culpa in eligendo
Culpa in vigilando

Il Documento Programmatico
sulla Sicurezza
Lapproccio:
Valutare la sicurezza del sistema informativo
dal punto di vista del progresso tecnologico
individuando gli obiettivi di sicurezza aziendali
Applicare soluzioni adeguate ai rischi
Costruire un processo di revisione ed
adattamento del livello di sicurezza, tale per
assicurare, nel tempo, una adeguata applicazione
delle misure conformi con i requisiti di legge e
con gli obiettivi di business

Il Documento Programmatico
sulla Sicurezza
Lapproccio utilizzato deve
necessariamente passare per una fase di
progettazione ed analisi del sistema
informativo, dei requisiti di legge e di
business
E opportuno inserire il progetto di stesura
del Documento Programmatico in un
processo pi articolato e completo: la
stesura di un Piano della Sicurezza

Il Piano della Sicurezza di un


Sistema Informativo

Analisi dei Rischi


Definizione delle Politiche di Sicurezza
Gestione del Rischio
Il Piano Operativo
Monitoraggio
Formazione
Organizzazione

Conclusioni
Il legislatore ha iniziato a tributare
ampie responsabilita agli operatori nel
settore IS;
Panorama legislativo in evoluzione;
La sicurezza un tassello: senza
Tecnologie;
Formazione;
Misure organizzative

NON potra rispondere ai principi di


efficacia, efficienza ed economicit.

Alcuni spunti di ricerca


Armonizzazione norme privacy/sicurezza in
ambito UE?
Metodologie e Strumenti che permettano di
implementare politiche di sicurezza flessibili in
maniera dinamica, relazionate al contesto.
Necessit di Linguaggi che consentano di catturare
in maniera espressiva, sintetica e comprensibile,
tematiche di privacy legate ai dati gestiti dalle
organizzazioni.

Alcuni Riferimenti
Handbook of Information Security Management
Micki Krause, Harold F. Tipton; ISBN: 0849399475
Security engineering
Ross Anderson; ISBN: 0471389226
Roberto Di Pietro and Luigi V. Mancini. Security and privacy
issues of handheld/wearable wireless devices.
In Communications of the ACM, vol. 46(9), pages 75-79, 2003.
WEB
Centro nazionale per l'informatica nella pubblica
amministrazione.
http://www.cnipa.gov.it
Garante per la privacy
www.garanteprivacy.it/

Interlex

www.interlex.it