Sei sulla pagina 1di 16

rezza delle reti

LEZIONE 6
NORMATIVA S U L L A S I C U R E Z Z A
E SULLA PRIVACY
IN QUESTA UNITA IMPAREREMO.

la sicurezza informatica e la riservatezza dei dati personali


l'evoluzione della giurisprudenza informatica
[la normativa relativa alla tutela della privacy e alla sicurezza dei dati

Generalit
Per s i c u r e z z a i n f o r m a t i c a si i n t e n d e u n i n s i e m e d i
o p e r a z i o n i d i seguito d e s c r i t t e :
d e f i n i z i o n e e a t t u a z i o n e d i p o l i t i c h e finalizzate a
g a r a n t i r e l a sicurezza delle i n f o r m a z i o n i ;
9 i d e n t i f i c a z i o n e delle i n f o r m a z i o n i c r i t i c h e e s t r a tegiche p e r l'azienda p r i v a t a e la P u b b l i c a . A m m i nistrazione;

SICUREZZA INFORMATICA
La s i c u r e z z a i n f o r m a t i c a s o litamente presentata c o m e JA
insieme

di strategie, t e c n i c e

e m o d e l d i m a n a g e m e n t finalizzate
protezione delle informazioni

a ;

gestite da

sistemi informativi.

i n d i v i d u a z i o n e delle possibili m i n a c c e e definizione


delle strategie operative da attuare p e r prevenirle:
9 a n a l i s i delle d i s p o s i z i o n i legali v i g e n t i e conseguente a d e g u a m e n t o d e i s i s t e m i i n f o r m a t i v i ;
9 a n a l i s i e c o n o m i c a d e i c o s t i p e r la messa i n opera degli i n t e r v e n t i d i a d e g u a m e n t o necessari p r i m
i n d i v i d u a t i e scelta delle alternative
pi
convenienti.
Le o p e r a z i o n i p e r la gestione della sicurezza d e v o n o g a r a n t i r e a t u t t e le c o m p o n e n t i dell'organiz
z a z i o n e le c a r a t t e r i s t i c h e f o n d a m e n t a l i c h e deve possedere
u n sistema i n f o r m a t i v o s i c u r o , e cio:
I inu
: i d a t i n o n d e v o n o essere m o d i f i c a t i o a l t e r a t i d a n e s s u n o c h e n o n a b b i a le adeguate
autorizzazioni
9 confidenzialit (riservatezza): n i d a t i m e m o r i z z a t i n q u e l l i trasmessi d e v o n o essere c o m p r e n s i b i l i a c h i n o n ha i d i r i t t i p e r p o t e r l i u t i l i z z a r e ;
disponibilit: i d a t i d e v o n o essere s e m p r e a d i s p o s i z i o n e d i c h i a u t o r i z z a t o a f r u i r n e ;
Queste t r e c o m p o n e n t i sono i princpi b a s e d i :
d i t u t t e le r e c e n t i n o r m a t i v e ;
degli s t a n d a r d sulla sicurezza;
I d e l l ' o r g a n i z z a z i o n e della c o m p l i a n c e .

162

N o r m a t i v a sulla s i c u r e z z a e sulla p r i v a c y

Nel passato i l p r o b l e m a d e l l a sicurezza n o n era p a r t i c o l a r m e n t e s e n t i t o i n q u a n t o si p r e s e n t a v a n o


rischi specifici i n t r i n s e c i solo al GED, l i m i t a t o a l l ' a m b i e n t e c h i u s o , i s o l a t o e c i r c o s c r i t t o .
Le m i n a c c e alla sicurezza riguardavano g l i
: u a l i e p i s o d i d i infedelt d e i d i p e n d e n t i , i

| predetti inconvenienti e o g n i altro rischio


erano,

guasti a l l ' h a r d w a r e e i m a l f u n z i o n a m e n t i do-

v u t i alla sviluppo d i software spesso fatto i n


m o d o " a p p r o s s i m a t i v o " , senza che venissero
rispettate regole e s t a n d a r d d i progettazione.

comunque,

isolabili e individuabili

I quindi a n c h e i dati e r a n o abbastanza protetti

N e l l ' u l t i m o d e c e n n i o i l processo d i e v o l u z i o n e t e c n o l o g i c a i n u n a societ " a c a m b i a m e n t o velocissim o " com' q u e l l a a t t u a l e h a p o r t a t o allo s v i l u p p o d i m e c c a n i s m i d i c o m u n i c a z i o n e u n t e m p o i m pensabili e, d i conseguenza, a u n a crescita
esponenziale
d i t r a t t a m e n t o dei dati.
I:>po u n p r i m o p e r i o d o d i " i n d i f f e r e n z a " anche la g i u r i s p r u d e n z a h a d o v u t o affrontare le p r o b l e m a t i c h e dell'era digitale e lo h a fatto legiferando sia i n t e r m i n i d i c r i m i n i i n f o r m a t i c i , q u i n d i i n t r o d u c e n d o
W sanzioni per i m a l i n t e n z i o n a t i e/o c o l o r o che effettuano a z i o n i i l l e c i t e , sia i n t e r m i n i d i r e g o l e p e r
[ f a t u t e l a e la r i s e r v a t e z z a d e i d a t i , i m p o n e n d o

insure m i n i m e d i sicurezza alle aziende a l -

I $i ritiene c h e " . . . u n a g e n e r a / e normativa

"l possano essere t u t e l a t i g l i u t e n t i e t u t t i


o r o che h a n n o c o m u n q u e f o r n i t o dei d a t i

j protezione

rsonali e che h a n n o d i r i t t o alla l o r o r i s e r v a -

j sviluppo

z a e alla t u t e l a d e l l a

sulla

dei dati personali


d a v v e r o il e r o ,/
/ c o n v e r g o n o i percorsi
di

della

q u a

societ

contemporanea

privacy.

Te che d a l p u n t o d i v i s t a dell'azienda la sicurezza d e i d a t i q u i n d i d i v e n u t a d i i m p o r t a n z a c e n k per l ' u t e n t e : la t u t e l a d e i d a t i p e r s o n a l i , a n c h e s p i n t a d a l A g a r a n t e d e l l a p r i v a c y , o g g i u n o


Ei e l e m e n t i f o n d a m e n t a l i n e l l ' a m b i t o del t r a t t a m e n t o delle i n f o r m a z i o n i e le c o n d i z i o n i g i u r i d i ; Ja t u t e l a r e i n c i d o n o s u l peso d e i f a t t o r i p r o d u t t i v i e s u l l ' o r g a n i z z a z i o n e del l a v o r o a l l ' i n t e r n o
l e aziende.

\
G a r a n t e d e l l a p r i v a c y II g a r a n t e p e r la p r o t e z i o n e d e i d a t i p e r s o n a l i ( p r i v a c y ) u n ' a u t o r i t i n d i p e n e r t e i s t i t u i t a d a l l a l e g g e 6 7 5 / 1 9 9 6 (di s e g u i t o s u c c i n t a m e n t e d e s c r i t t a ) p e r a s s i c u r a r e la t u t e l a d e i
rrt e d e l l e libert f o n d a m e n t a l i e il r i s p e t t o d e l l a dignit n e l t r a t t a m e n t o d e i d a t i p e r s o n a l i .
; a n o c o l l e g i a l e , c o m p o s t o d a q u a t t r o m e m b r i e l e t t i d a l P a r l a m e n t o , i q u a l i r i m a n g o n o in c a r i c a
erun m a n d a t o di quattro anni rinnovabile.

illa riservatezza r i c h i e d e d i esercitare u n c o n t r o l l o s u i d a t i p e r s o n a l i i n m o d o da s t a b i l i r e


-ne e q u a n d o le i n f o r m a z i o n i che c i riguardano possono essere r a c c o l t e e messe a disposizione
H f a altri.
_ i e i t a l i a n a , a differenza d i q u a n t o p r e v e d o n o le analoghe d i s c i p l i n e s t r a n i e r e e la d i r e t t i v a
~ i t a r i a per l a t u t e l a d e i d a t i p e r s o n a l i , prevede i n o l t r e che possano essere t u t e l a t i anche i d a t i
B p e r i g u a r d a n o le p e r s o n e g i u r i d i c h e .

ri uri sprudenza informatica


^ : i m i 2 1 a n n i si assistito a u n a v e r a e p r o p r i a r i v o l u z i o n e n e l settore del d i r i t t o n e l l ' a m b i t o
n o v e tecnologie informatiche: l'evoluzione tecnologica ha infatti determinato l'introduzione
ostro p a n o r a m a g i u r i d i c o d i n u o v i c o n c e t t i g i u r i d i c i , d i n u o v i b e n i t u t e l a t i , d i n u o v i r e a t i e d i
forme c o n t r a t t u a l i (si p e n s i alla l i c e n z a d'uso d e i p r o g r a m m i ).
. _ civile che q u e l l o penale h a n n o i n t r o d o t t o a r t i c o l i i n m e r i t o a i d i v e r s i a s p e t t i d e l l ' i n f o r n a i quali ricordiamo quelli relativi:

La s i c u r e z z a d e l l e r e t i

LEZIONE 6
NORMATIVA S U L L A S I C U R E Z Z A
E SULLA PRIVACY

IN Q U E S T A U N I T A I M P A R E R E M O . . .

la sicurezza informatica e la riservatezza dei dati personali


l'evoluzione della giurisprudenza informatica
la normativa relativa alla tutela della privacy e alla sicurezza dei dati

Generalit
SICUREZZA INFORMATICA

Per sicurezza i n f o r m a t i c a s i i n t e n d e u n i n s i e m e d i
o p e r a z i o n i d i seguito d e s c r i t t e :
I d e f i n i z i o n e e a t t u a z i o n e d i p o l i t i c h e finalizzate a
g a r a n t i r e l a sicurezza delle i n f o r m a z i o n i ;
* i d e n t i f i c a z i o n e delle i n f o r m a z i o n i c r i t i c h e e s t r a tegiche p e r l'azienda p r i v a t a e l a P u b b l i c a A m m i nistrazione;

La s i c u r e z z a i n f o r m a t i c a s o litamente presentata c o m e un
insieme
e model

di strategie,

tecniche

di m a n a g e m e n t finalizzate

protezione delle informazioni

alla

gestite dai

sistemi informativi.

I i n d i v i d u a z i o n e delle possibili m i n a c c e e definizione


delle strategie operative da attuare p e r prevenirle;
I a n a l i s i delle d i s p o s i z i o n i legali v i g e n t i e conseguente a d e g u a m e n t o d e i s i s t e m i i n f o r m a t i v i ;
I a n a l i s i e c o n o m i c a d e i c o s t i p e r la messa i n o p e r a degli i n t e r v e n t i d i a d e g u a m e n t o necessari p r i m a
i n d i v i d u a t i e scelta delle a l t e r n a t i v e pi c o n v e n i e n t i .
L e o p e r a z i o n i p e r la gestione della sicurezza d e v o n o g a r a n t i r e a t u t t e le c o m p o n e n t i d e l l ' o r g a n i z z a z i o n e le c a r a t t e r i s t i c h e f o n d a m e n t a l i c h e deve possedere u n sistema i n f o r m a t i v o s i c u r o , e cio:
f integrit: i d a t i n o n d e v o n o essere m o d i f i c a t i o a l t e r a t i da nessuno c h e n o n a b b i a le adeguate
autorizzazioni
f confidenzialit (riservatezza): n i d a t i m e m o r i z z a t i n q u e l l i t r a s m e s s i d e v o n o essere c o m p r e n sibili a c h i n o n ha i d i r i t t i per p o t e r l i utilizzare:
I disponibilit: i d a t i d e v o n o essere s e m p r e a d i s p o s i z i o n e d i c h i a u t o r i z z a t o a f r u i r n e ;
Queste t r e c o m p o n e n t i sono i princpi base d i :
d i t u t t e le r e c e n t i n o r m a t i v e ;
degli s t a n d a r d sulla sicurezza;
I dell'organizzazione della compliance.

162

N o r m a t i v a sulla s i c u r e z z a e s u l l a p r i v a c y

Nel passato i l p r o b l e m a della sicurezza n o n era p a r t i c o l a r m e n t e s e n t i t o i n q u a n t o si p r e s e n t a v a n o


r i s c h i specifici i n t r i n s e c i solo al CHI), l i m i t a t o a l l ' a m b i e n t e c h i u s o , isolato e c i r c o s c r i t t o .
Le m i n a c c e alla sicurezza riguardavano gli
eventuali episodi d i infedelt dei d i p e n d e n t i , i
I p r e d e t t i inconvenienti e o g n i altro rischio
guasti a l l ' h a r d w a r e e i m a l f u n z i o n a m e n t i doe r a n o , c o m u n q u e , isolabili e individuabili e
v u t i alla sviluppo d i software spesso fatto i n
quindi anche i dati erano abbastanza protetti
m o d o " a p p r o s s i m a t i v o " , senza che venissero
d a usi illeciti e d a m a l i n t e n z i o n a t i .
rispettate regole e s t a n d a r d d i progettazione.
N e l l ' u l t i m o d e c e n n i o i l processo d i e v o l u z i o n e tecnologica i n u n a societ ' a c a m b i a m e n t o velocissim o " com' q u e l l a a t t u a l e h a p o r t a t o allo s v i l u p p o d i m e c c a n i s m i d i c o m u n i c a z i o n e u n t e m p o i m p e n s a b i l i e, d i conseguenza, a u n a crescita
esponenziale
d i t r a t t a m e n t o dei d a t i .
Dopo u n p r i m o p e r i o d o d i " i n d i f f e r e n z a " anche la g i u r i s p r u d e n z a ha d o v u t o affrontare le p r o b l e m a t i che dell'era digitale e lo ha fatto legiferando sia i n t e i r n i n i d i c r i m i n i i n f o r m a t i c i , q u i n d i i n t r o d u c e n d o
le sanzioni per i m a l i n t e n z i o n a t i e/o c o l o r o che effettuano a z i o n i i l l e c i t e , sia i n t e r m i n i d i r e g o l e p e r
la t u t e l a e la r i s e r v a t e z z a d e i d a t i , i m p o n e n d o

isure m i n i m e d i sicurezza alle aziende affinch possano essere t u t e l a t i g l i u t e n t i e t u t t i


coloro che h a n n o c o m u n q u e f o r n i t o dei d a t i
'iiali e che h a n n o d i r i t t o alla l o r o r i s e r v a t e z z a e alla t u t e l a d e l l a

privacy.

Si

ritiene

c h e " . . . u n a generale

protezione
cevia
sviluppo

dei dati

verso

il quale

della

normativa

personali

societ

davvero

convergono

sulla
il

i percorsi

crodi

contemporanea".

O l t r e che d a l p u n t o d i v i s t a dell'azienda la sicurezza d e i d a t i q u i n d i d i v e n u t a d i i m p o r t a n z a c e n trale per l ' u t e n t e : l a t u t e l a d e i d a t i p e r s o n a l i , a n c h e s p i n t a d a l < g a r a n t e d e l l a p r i v a c y , oggi u n o


Egli e l e m e n t i f o n d a m e n t a l i n e l l ' a m b i t o d e l t r a t t a m e n t o delle i n f o r m a z i o n i e le c o n d i z i o n i g i u r i d i che da t u t e l a r e i n c i d o n o s u l peso dei f a t t o r i p r o d u t t i v i e s u l l ' o r g a n i z z a z i o n e d e l l a v o r o a l l ' i n t e r n o
delle aziende.

^ G a r a n t e d e l l a p r i v a c y II g a r a n t e p e r la p r o t e z i o n e d e i d a t i p e r s o n a l i ( p r i v a c y ) u n ' a u t o r i t i n d i p e n d e n t e i s t i t u i t a d a l l a l e g g e 6 7 5 / 1 9 9 6 (di s e g u i t o s u c c i n t a m e n t e d e s c r i t t a ) p e r a s s i c u r a r e la t u t e l a d e i
z

t t i e d e l l e libert f o n d a m e n t a l i e il r i s p e t t o d e l l a d i g n i t n e l t r a t t a m e n t o d e i d a t i p e r s o n a l i .

E j n o r g a n o c o l l e g i a l e , c o m p o s t o d a q u a t t r o m e m b r i e l e t t i d a l P a r l a m e n t o , i q u a l i r i m a n g o n o in c a r i c a
per un m a n d a t o di q u a t t r o anni rinnovabile.

t o alla r i s e r v a t e z z a richiede d i esercitare u n c o n t r o l l o s u i d a t i p e r s o n a l i i n m o d o da s t a b i l i r e


. me e q u a n d o le i n f o r m a z i o n i che c i r i g u a r d a n o possono essere r a c c o l t e e messe a disposizione
legli a l t r i .
- a legge i t a l i a n a , a differenza d i q u a n t o p r e v e d o n o le analoghe d i s c i p l i n e s t r a n i e r e e la d i r e t t i v a
somunitaria per l a t u t e l a d e i d a t i p e r s o n a l i , prevede i n o l t r e che possano essere t u t e l a t i a n c h e i d a t i
i l e riguardano le p e r s o n e g i u r i d i c h e .

Giurisprudenza informatica
J i u l t i m i 2 1 a n n i si assistito a u n a v e r a e p r o p r i a r i v o l u z i o n e n e l settore del d i r i t t o n e l l ' a m b i t o
.Ae n u o v e t e c n o l o g i e i n f o r m a t i c h e : l ' e v o l u z i o n e t e c n o l o g i c a h a i n f a t t i d e t e r m i n a t o l ' i n t r o d u z i o n e
. nostro panorama giuridico d i nuovi concetti giuridici, di nuovi beni tutelati, di nuovi reati e d i
n o v e f o r m e c o n t r a t t u a l i (si p e n s i alla l i c e n z a d'uso d e i p r o g r a m m i ) .
il c o d i c e c i v i l e che q u e l l o penale h a n n o i n t r o d o t t o a r t i c o l i i n m e r i t o ai d i v e r s i aspetti d e l l ' i n f o r | snatica, t r a i q u a l i r i c o r d i a m o q u e l l i r e l a t i v i :

163

La s i c u r e z z a d e l l e reti

I al software (d.lgs. 518/92 - 1 . 633/41 ) e alle f o r m e n u o v e d i l i c e n z a ( o p e n s o u r c e ) ;


alla p r i v a c y (d.lgs. 196/03):
I alla frode i n f o r m a t i c a ( a r t . 6 4 0 t e r c.p. ):
I al d o m i c i l i o i n f o r m a t i c o ( a r t . 6 1 5 ter c.p.):
a i v i r u s ( a r t . 6 1 5 q u i n q u i e s c.p.);
I alla posta e l e t t r o n i c a ( a r t . 6 1 6 c.p.);
k al v a l o r e legale della f i r m a d i g i t a l e (d.lgs. 235/10).
R i p e r c o r r i a m o b r e v e m e n t e le p r i n c i p a l i t a p p e della g i u r i s p r u d e n z a i n f o r m a t i c a fino a d e s c r i v e r e i l
d . l g s . 1 9 6 / 0 3 c h e . d i f a t t o , ha a v u t o u n r u o l o f o n d a m e n t a l e nella s i c u r e z z a e nella p r i v a c y .

Legge 547/93 a r t . 6 1 5 - t e r
L a legge n . 5 4 7 , a p p r o v a t a n e l 1 9 9 3 , h a a v u t o u n r u o l o i m p o r t a n t e n e l l a d e f i n i z i o n e d e i

computer

crimes.
L ' a r t i c o l o 6 J 5 ter r e n d e p e n a l m e n t e p e r s e g u i b i l e l ' a c c e s s o a b u s i v o a u n s i s t e m a i n f o r m a t i c o o telem a t i c o p r o t e t t o da m i s u r e d i sicurezza.
I I testo d e l l ' a r t i c o l o r e c i t a t e s t u a l m e n t e :
Art. 615-ter (Accesso abusivo a un sistema informatico e telematico)
Chiunque
sure

abusivamente

di sicurezza

di escluderlo,
La pena
D

della

s e il fatto
dei

abusivamente

da un pubblico
dei doveri

la professione

contro

con la reclusione

da uno a cinque

o con violazione

in un sistema

vi si mantiene

punito

reclusione

commesso

poteri

si introduce

ovvero

informatico

la volont

fino a tre

o telematico

espressa

o tacita

protetto

da

di chi ha il

mi-

diritto

anni.

anni:
ufficiale

o da un incaricato

inerenti

di investigatore

alla funzione
privato,

di un pubblico

o al servizio,

o con abuso

servizio,

con

o da chi esercita

della

qualit

abuso
anche

di operatore

del

sistema;
0

s e // colpevole
mente

per commettere

s e dal fatto

deriva

la distruzione

del suo funzionamento,


programmi
Qualora
militare

usa violenza

sulle

c o s e o alle persone,

ovvero

se

palese-

da tre a otto

la distruzione

del sistema

o il danneggiamento

o l'interruzione
dei dati,

delle

parziale

informazioni

totale

o dei

contenuti.

i fatti di cui ai commi


all'ordine

d'interesse

o il danneggiamento

ovvero

in esso

o relativi

comunque
Nel caso

il fatto

armato;

primo

pubblico

pubblico,

e secondo

riguardino

o alla sicurezza

la pena

sistemi

pubblica

, rispettivamente,

informatici

o alla sanit
della

reclusione

o telematici
o alla protezione
da uno a cinque

d'interesse
civile

anni

anni.

previsto

dal primo

comma

il delitto

punibile

querela.

Q u e s t o a r t i c o l o s t a t o f o n d a m e n t a l e p e r i successivi p r o n u n c i a m e n t i g i u r i s p r u d e n z i a l i c h e si sono
succeduti nel tempo.

Legge 675/96
I l C o n s i g l i o d ' E u r o p a h a r i b a d i t o la s a n z i o n e penale p e r "l'accesso i n m a n c a n z a del r e l a t i v o d i r i t t o
a u n s i s t e m a o a u n a rete i n f o r m a t i c i i n v i o l a z i o n e delle regole d i s i c u r e z z a " .
H a per p u n t u a l i z z a t o c o m e s e c o n d o l'art 615 ter sia necessario c h e v e n g a n o v i o l a t e le i d o n e e m i sure d i s i c u r e z z a affinch possa c o n f i g u r a r s i i l r e a t o , cio: " i n u n a p r o s p e t t i v a m a r c a t a m e n t e v i t t i m o l o g i c a l ' a r t . 615 t e r p r e v e d e c h e senza m i s u r e d i s i c u r e z z a n o n v i t u t e l a p e n a l e " .

164

N o r m a t i v a sulla s i c u r e z z a e sulla p r i v a c y

La legge n. 675/96 fa suo questo p r i n c i p i o e n e l l ' a r t . 15, d e s t i n a t o a t r a s f o r m a r e p r o f o n d a m e n t e la


percezione d i sicurezza, p o n e l ' a c c e n t o s u l l a t u t e l a e p r o t e z i o n e d e i d a t i p e r s o n a l i .

D.lgs n . 231/2001
tipa o r g a n i z z a t i v a , m o d e l l i , C o d i c e E t i c o , O r g a n i s m o d i V i g i l a n z a )
Il d e c r e t o r i g u a r d a i Prncipi generali e criteri di attribuzione
della responsabilit
amministrativa
e l'art. 6, e , del d.lgs n . 2 3 1 / 2 0 0 1 , i n t r o d u c e nelle aziende l a c u l t u r a dei controlli
interni c o m e s t r u m e n t o d i p r e v e n z i o n e d e i r e a t i ; i n f a t t i d i s p o n e c h e l'ente n o n r i s p o n d e i n caso d i reato se p r o v a c h e :
l'organo d i r i g e n t e h a a d o t t a t o e a t t u a t o u n m o d e l l o di o r g a n i z z a z i o n e i d o n e o a p r e v e n i r e r e a t i
della specie d i q u e l l o v e r i f i c a t o s i ;
I i l c o m p i t o d i v i g i l a r e s u l f u n z i o n a m e n t o , l'osservanza e l ' a g g i o r n a m e n t o d e l m o d e l l o affidato a
u n o r g a n i s m o dell'ente dotato di autonomi
poteri di iniziativa
e
controllo;
I sono i n d i v i d u a t e le attivit n e l c u i a m b i t o possono essere c o m m e s s i r e a t i :
> sono a d o t t a t e regole d i r e t t e a p r o g r a m m a r e la f o r m a z i o n e e l ' a t t u a z i o n e delle d e c i s i o n i d e l l ' e n t e i n
relazione a i r e a t i da p r e v e n i r e e i n d i v i d u a r e le modalit d i gestione delle risorse finanziarie i d o n e e
a i m p e d i r e la c o m m i s s i o n e d e i r e a t i ;
I sono p r e v i s t i o b b l i g h i d i i n f o r m a z i o n e n e i c o n f r o n t i d e l l ' O r g a n i s m o d e p u t a t o a v i g i l a r e ;
I previsto u n sistema disciplinare.
II m o d e l l o r i c h i e s t o dalla legge r i c h i e d e l a m a p p a t u r a e l ' i d e n t i f i c a z i o n e d e i rischi p o n e n d o s i c o m e
fase p r o p e d e u t i c a alla c o s t r u z i o n e delle t e c n i c h e d i p r e v e n z i o n e del rischio: i n t r o d o t t a t r a l ' a l t r o
l ' i n d i v i d u a z i o n e delle aree a r i s c h i o , cio dei " l u o g h i a z i e n d a l i " i n c u i esso si a n n i d a .
necessario q u i n d i i n p r i m o luogo a n a l i z z a r e le t i p o l o g i e d i r e a t o e i n d i v i d u a r e p e r c i a s c u n a d i esse
le aree, i soggetti, i t e m p i e le f o r m e d i operativit i n r e l a z i o n e alle q u a l i c i pu essere u n r i s c h i o d i
c o m m i s s i o n e d i q u e i r e a t i : solo se v e n g o n o svolte queste attivit l'ente n o n ne responsabile u n a
v o l t a che i r e a t i vengano e f f e t t i v a m e n t e c o m m e s s i .

D.lgs 196/2003
C o n l ' a p p r o v a z i o n e d e l D.lgs 196/2003 l a m a t e r i a della t u t e l a e della p r o t e z i o n e d e i d a t i p e r s o n a l i
subisce u n a p r o f o n d a m o d i f i c a : v e n g o n o a b r o g a t i u n a serie d i d e c r e t i l e g i s l a t i v i e leggi, sparisce u n
r e g o l a m e n t o a t t u a t i v o , sono i n t e g r a t i e r e c e p i t i i p r i n c i p i c o n t e n u t i i n u n a n u o v a d i r e t t i v a c o m u n i t a r i a e sono i n t r o d o t t e " e x n o v o " a l c u n e m i s u r e d i sicurezza a p r o t e z i o n e dei d a t i e d e i s i s t e m i .

I l decreto 196/03 del 3 0 giugno 2 0 0 3


Il d e c r e t o legislativo 3 0 g i u g n o 2 0 0 3 , n . 196 C o d i c e in m a t e r i a di
p r o t e z i o n e d e i d a t i p e r s o n a l i p u b b l i c a t o n e l l a Gazzetta
Ufficiale n .
174 del 2 9 l u g l i o 2003 - S u p p l e m e n t o O r d i n a r i o n . 123, h a a v u t o
u n r u o l o d e t e r m i n a n t e n e l d i r i t t o sulla sicurezza e sulla p r i v a c y i n
quanto:
> i n t r o d u c e u n n u o v o f o n d a m e n t a l e d i r i t t o : i l d i r i t t o alla p r o t e z i o n e
dei dati personali;
> c o n t i e n e le p r e s c r i z i o n i e le regole p e r la s i c u r e z z a dei d a t i e d e i

GAZZETTA %
MOLLA t r t BMJOA FT ALI AX A

ITO 11
t fa ni I

li i

ei ari

sistemi.
Il n o m e d e l d e c r e t o 196/03 q u e l l o p r i m a
I

riportato,

cio C o d i c e

d a t i p e r s o n a l i , m a n o t o c o m u n e m e n t e a n c h e c o m e T e s t o u n i c o sulla privacy.

165

La s i c u r e z z a d e l l e reti

Con i l decreto 1
la m a t e r i a della t u t e l a e della p r o t e z i o n e d e i d a t i p e r s o n a l i subisce u n a p r o fonda m o d i f i c a : v e n g o n o a b r o g a t i u n a serie d i d e c r e t i l e g i s l a t i v i e leggi, t r a c u i legge 675/96, s p a r i sce u n r e g o l a m e n t o a t t u a t i v o , sono i n t e g r a t i e r e c e p i t i i p r i n c i p i c o n t e n u t i i n u n a n u o v a d i r e t t i v a
c o m u n i t a r i a e sono i n t r o d o t t e " e x n o v o " a l c u n e m i s u r e d i s i c u r e z z a a p r o t e z i o n e d e i d a t i p e r s o n a l i
e dei sistemi:
I la n o r m a t i v a sancisce i l d i r i t t o alla p r o t e z i o n e d e i p r o p r i d a t i p e r s o n a l i facendo i n m o d o c h e i l
p r o p r i e t a r i o d e i d a t i n o n c h i t r a t t a l ' i n f o r m a z i o n e m a le p e r s o n e a c u i i d a t i si
riferiscono;
I c h i t r a t t a d a t i p e r s o n a l i h a i l dovere d i p r o t e g g e r l i .
II d e c r e t o c o m p o s t o da 186 a r t i c o l i s t r u t t u r a t i i n t r e p a r t i e d a d u e allegati:

Allegati

186 articoli

1 parte

Codici deontologici:
- attivit giornalistica
- scopi storici
- scopi statistici
(Ambito Sistan)
- scopi staistici
e scientifici
- credito al consumo,
affidabilit
e puntualit
pagamenti (privati)

Disposizioni generali
applicabili a tutti
i trattamenti
Esclusione
di alcuni trattamenti
pubblici e privati

Allegato B:
disciplinare tecnico
o criteri minimi
di sicurezza

Il t e s t o c o i

disponibile

03196dl.htm oppure
v a t o al presente

all'indirizzo h t t p : / / w w w . p a r l a m e n t o . i t / p a r l a m / l e g g i / d e l e g h e /
lateriali della sezione d e l sito www.hoepllscuola.it

nella

riser-

volume

D i seguito r i p r e n d i a m o s i n t e t i c a m e n t e g l i a r t i c o l i p r i n c i p a l i , c h e a n c o r a oggi sono d i f o n d a m e n t a l e


i m p o r t a n z a n e l l a r e a l i z z a z i o n e d i s i s t e m i i n f o r m a t i v i e d i p a c c h e t t i software a p p l i c a t i v i , e c h e devon o r i e n t r a r e n e l "bagaglio delle c o n o s c e n z e " d i c h i u n q u e o p e r i n e l settore i n f o r m a t i c o .

Art. 1 (Diritto alla protezione d e i dati di carattere


"Chiunque

ha diritto

dei dati di carattere


riguardano".

166

alla
personale

protezione
che lo

personale)

Il p r i m o a r t i c o l o della 196/03 riproduce i l p r i m o


c o m m a dell'art. 8 della C a r t a d e i diritti f o n d a m e n t a l i d e l l ' U n i o n e E u r o p e a (ora presente anche

agli a r t i c o l i 1-51 e 11-68 d e l Progetto d i T r a t t a t o


che istituisce u n a C o s t i t u z i o n e p e r l ' E u r o p a ) :

N o r m a t i v a sulla s i c u r e z z a e sulla p r i v a c y

"Protezione

dei dati di carattere

di carattere

personale

personale:

che lo riguardano.

ogni

individuo

ha diritto

alla protezione

dei

Lezione 6

dati

"

In m e r i t o a q u e s t o d e c r e t o , r i c o r d i a m o u n p a s s a g g i o r i p o r t a t o n e l l a r e l a z i o n e d e l

Garante

d e l l a p r i v a c y al P r e s i d e n t e d e l l a R e p u b b l i c a d e l 2 8 a p r i l e 2 0 0 4 : *H t r a s f e r i m e n t o d i

questa

n o r m a n e l s i s t e m a i t a l i a n o r e n d e n o n pi p r o p o n i b i l i interpretazioni riduttive d e l l a p r o t e z i o n e
dei dati

personali".

A r t . 4 (Definizioni)
L ' a r t i c o l o 4 del d.lgs. 1 9 6 / 2 0 0 3 n e l p r i m o c o m m a m t r o d u c e u n a c l a s s i f i c a z i o n e d e i d a t i i n :

" d a t o p e r s o n a l e " , q u a l u n q u e i n f o r m a z i o n e r e l a t i v a a p e r s o n a fisica, i d e n t i f i c a t a o i d e n t i f i c a b i l e ,


a n c h e i n d i r e t t a m e n t e , m e d i a n t e r i f e r i m e n t o a qualsiasi a l t r a i n f o r m a z i o n e , i v i c o m p r e s o u n n u mero d i identificazione

personale:

" d a t i identificativi", i dati personali che p e r m e t t o n o l'identificazione diretta dell'interessato;

" d a t i s e n s i b i l i " , i d a t i p e r s o n a l i i d o n e i a rivelare l ' o r i g i n e razziale e d e t n i c a , le c o n v i n z i o n i r e l i giose,

filosofiche

o d i a l t r o genere, le o p i n i o n i p o l i t i c h e , l'adesione a p a r t i t i , s i n d a c a t i , associazio-

n i o d o r g a n i z z a z i o n i a c a r a t t e r e religioso,

filosofico,

p o l i t i c o o sindacale, nonch i d a t i p e r s o n a l i

i d o n e i a r i v e l a r e lo stato d i salute e la v i t a sessuale;


" d a t i g i u d i z i a r i " , i d a t i p e r s o n a l i i d o n e i a rivelare p r o v v e d i m e n t i d i c u i a l l ' a r t i c o l o 3 , c o m m a 1 ,

l e t t e r e da a) a o) e da r ) a u ) , d e l D.P.R. 1 4 n o v e m b r e 2 0 0 2 , n . 3 1 3 , i n m a t e r i a d i casellario g i u diziale, d i anagrafe delle s a n z i o n i a m m i n i s t r a t i v e d i p e n d e n t i da reato e d e i r e l a t i v i c a r i c h i p e n d e n t i , o la qualit d i i m p u t a t o o d i i n d a g a t o ai sensi degli a r t i c o l i 6 0 e 6 1 del c o d i c e d i p r o c e d u r a
penale.

Nel c o m m a 3 v i e n e data l a d e f i n i z i o n e d i m i s u r e m i n i m e d i sicurezza.


C o n m i s u r e m i n i m e si
ganizzative,

i n t e n d e il c o m p l e s s o

d e l l e m i s u r e t e c n i c h e , i n f o r m a t i c h e , or-

l o g i s t i c h e e p r o c e d u r a l i d i s i c u r e z z a c h e c o n f i g u r a n o il l i v e l l o m i n i m o

di

p r o t e z i o n e r i c h i e s t o in r e l a z i o n e a i r i s c h i p r e v i s t i n e l l ' a r t i c o l o 3 1 , c i o :
D

distruzione o perdita anche accidentale;

accesso n o n

trattamento non consentito.

autorizzato;

Art. 11 (Modalit del trattamento e r e q u i s i t i dei dati)


I d a t i p e r s o n a l i t r a t t a t i i n v i o l a z i o n e della d i s c i p l i n a r i l e v a n t e i n m a t e r i a d i t r a t t a m e n t o dei d a t i
p e r s o n a l i n o n possono essere u t i l i z z a t i .
Il d a t o s e n s i b i l e e g i u d i z i a r i o

autorizzato

a l t r a t t a m e n t o s o l o se c o n s e n t i t o d a n o r m a

di

l e g g e e s p l i c i t a n d o t i p i d i d a t i , o p e r a z i o n i e s e g u i t e e finalit nel r e g o l a m e n t o d a t i s e n s i b i l i .
Per gli e n t i p u b b l i c i d i t i p o n o n e c o n o m i c o n o n

richiesto

il

del dato

personale.

167

UdA 3

La s i c u r e z z a d e l l e reti

A r t . I n ( D a n n i cagionati per effetto del trattamento)


C h i u n q u e cagiona d a n n i ad a l t r i per effetto d e l t r a t t a m e n t o d i d a t i p e r s o n a l i t e n u t o al r i s a r c i m e n to a i sensi d e l l ' a r t i c o l o 2 0 5 0 d e l c o d i c e c i v i l e che
riporta:

(Responsabilit per l'esercizio di attivit pericolose)


"chiunque

cagiona

danno

o per la natura

dei mezzi

tutte

idonee

le misure

ad altri nello
adoperati,

a evitare

il

svolgimento

tenuto

di un'attivit

al risarcimento

pericolosa,

se non prova

per sua
di avere

natura
adottato

danno".

C o n q u e s t o a r t i c o l o viene i n t r o d o t t a l ' i n v e r s i o n e d e l l ' o n e r e d e l l a p r o v a : p e r evitare i l r i s a r c i m e n t o


sar necessario d i m o s t r a r e d i aver a d o t t a t o t u t t e le m i s u r e i d o n e e a p r e v e n i r e i l d a n n o .

Senza sicurezza i t r a t t a m e n t i n o n s o n o consentiti dalla l e g g e .

Art.31 (Obblighi di s i c u r e z z a a tutela del diritto a l l a protezione dei propri


dati personali)
Il p r i m o g r u p p o i n t r o d u c e c o n l ' a r t . 3 1 i n t i t o l a t o " o b b l i g h i d i s i c u r e z z a " q u e l l e m i s u r e pi a m p i e , o
" i d o n e e " , decise i n a u t o n o m i a d a l t i t o l a r e i n relazione alle p r o p r i e specificit c h e , se n o n adottate,
i n caso d i d a n n o d o v u t o a t r a t t a m e n t i d i d a t i n o n p r o t e t t i a d e g u a t a m e n t e c o n c o r r e r a n n o alla i n d i v i d u a z i o n e delle responsabilit e d e l c o n s e g u e n t e
I

risarcimento

economico.

D a l l a l e t t u r a d e l l ' a r t i c o l o e d e l l a r e l a z i o n e a c c o m p a g n a t o r i a a l c o d i c e si d e d u c e c o m e il c o n t e n u t o d e l l ' a r t i c o l o 1 5 , c o m m a 1 d e l l a l e g g e 6 7 5 / 9 6 sia s t a t o r i p r o d o t t o p r a t i c a m e n t e i m m u t a t o nei suoi tre princpi: c u s t o d i a , c o n t r o l l o , r i d u z i o n e d e i rischi.

I r i s c h i da r i d u r r e p r e v e n t i v a m e n t e , m e d i a n t e l ' a d o z i o n e d i i d o n e e m i s u r e d i sicurezza, sono i quatt r o gi e l e n c a t i , e cio:

RISCHIO

Distruzione
o perdita anche
accidentale

Accesso
non autorizzato

Trattamento
non consentito

Trattamento
non conforme
alle finalit

Artt. d a 3 3 a 3 5 ( M i s u r e m i n i m e )
Il secondo gruppo introduce c o n l'art. 33 quelle misure " m i n i m e " , la c u i mancata adozione comporta s a n z i o n i p e n a l i per i l T i t o l a r e e, se designato, per i l Responsabile del T r a t t a m e n t o .
I successivi a r t i c o l i 3 4 e 35 sono r i s p e t t i v a m e n t e d e d i c a t i a l t r a t t a m e n t o effettuato c o n l'ausilio d i
s t r u m e n t i e l e t t r o n i c i e senza l ' a u s i l i o degli stessi.

168

N o r m a t i v a sulla s i c u r e z z a e sulla p r i v a c y

Art. 3 4 c o m m a 1 : T r a t t a m e n t i con s t r u m e n t i e l e t t r o n i c i
// trattamento

nei modi

misure

minime:

autenticazione

adozione

utilizzazione

aggiornamento

di gestione

di un sistema

protezione

degli

tecnico

credenziali

dell'individuazione

strumenti

elettronici

consentito

contenuto

elettronici

per

di

nell'allegato

solo

se s o n o

B), le

seguenti

autenticazione;

dell'ambito

o alla manutenzione

del

degli

e dei dati rispetto

programmi

di procedure

e dei

con strumenti

autorizzazione;

alla gestione

e a determinati

adozione

effettuato
dal disciplinare

delle

di

periodico

e addetti

consentiti

previsti

informatica;

di procedure

caricati
@

di dati personali

adottate,

trattamento

strumenti

consentito

ai singoli

in-

elettronici;

a trattamenti

illeciti

di dati,

ad accessi

non

informatici;

la custodia

di copie

di sicurezza,

il ripristino

della

disponibilit

dei

dati

sistemi;

tenuta

adozione

di un aggiornato
di tecniche

a rivelare

lo stato

documento
di cifratura

di salute

programmatico

o di codici

sulla

identificativi

o la vita sessuale

effettuati

sicurezza;
per

determinati

da organismi

trattamenti

di dati

idonei

sanitari.

Art. 3 5 c o m m a 1 : T r a t t a m e n t i senza l'ausilio d i s t r u m e n t i e l e t t r o n i c i


trattamento
adottate,
O

previsione
previsione
disciplina

effettuato

unit

dell'individuazione
per

dei relativi
di procedure

l'ausilio

tecnico

di strumenti

contenuto

elettronici

nell'allegato

dell'ambito

del

consentito

B), le seguenti

trattamento

solo
misure

consentito

se

sono
minime:

ai singoli

in-

organizzative;

di procedure

delle

senza

dal disciplinare

periodico

o alle

svolgimento

previsti

aggiornamento
caricati

di dati personali

nei modi

un'idonea

custodia

di atti e documenti

affidati

agli

incaricati

per

lo

compiti;
per la conservazione

modalit

di accesso

finalizzata

di determinati

atti in archivi

all'identificazione

degli

ad accesso

selezionato

C o n q u e s t i d u e articoli v i e n e e f f e t t i v a m e n t e tracciata una linea d i d e m a r c a z i o n e n e t t a tra


so o m e n o d i P e r s o n a l C o m p u t e r p e r e l a b o r a r e i n f o r m a z i o n i

incaricati.

l'u-

a c a r a t t e r e p e r s o n a l e : o l t r e alla

d e s c r i z i o n e d i q u e l l e c h e s o n o le m i s u r e m i n i m e d a a d o t t a r e , n e g l i a r t i c o l i v i e n e o p e r a t o u n
r i m a n d o al D i s c i p l i n a r e t e c n i c o c h e , s t r u t t u r a t o c o m e u n e l e n c o , s t a b i l i s c e u n a s e r i e d i r e g o l e
I

e p r e s c r i z i o n i c h e il T i t o l a r e d e l t r a t t a m e n t o t e n u t o a d a d o t t a r e ( A l l e g a t o

B).

Allegato B : d i s c i p l i n a r e tecnico i n m a t e r i a di m i s u r e m i n i m e d i s i c u r e z z a
i A r t t . da 33 a 3 6 d e l c o d i c e )
ispanizzato i n d u e
I Trattamenti con

sezioni.

s t r u m e n t i e l e t t r o n i c i : i n q u e s t a s e z i o n e s o n o d e s c r i t t e le modalit t e c n i c h e da

a d o t t a r e a c u r a d e l t i t o l a r e , del r e s p o n s a b i l e ove d e s i g n a t o e d e l l ' i n c a r i c a t o , i n caso d i t r a t t a m e n t o


c o n s t r u m e n t i e l e t t r o n i c i , i n p a r t i c o l a r e i n m e r i t o a:
- sistema di autenticazione informatica;
- sistema d i autorizzazione;
- a l t r e m i s u r e d i s i c u r e z z a ( a g g i o r n a m e n t o del sw e salvataggio d e i d a t i ) ;
- d o c u m e n t o p r o g r a m m a t i c o sulla sicurezza (DPS);
- u l t e r i o r i m i s u r e i n caso d i t r a t t a m e n t o d i d a t i s e n s i b i l i o g i u d i z i a r i ;
- misure di tutela e garanzia.
T r a t t a m e n t i senza l'ausilio d i s t r u m e n t i e l e t t r o n i c i : i n q u e s t a s e z i o n e s o n o d e s c r i t t e le modalit
t e c n i c h e da a d o t t a r e a c u r a d e l t i t o l a r e , d e l r e s p o n s a b i l e , ove
d i t r a t t a m e n t o c o n s t r u m e n t i d i v e r s i da q u e l l i e l e t t r o n i c i .

d e s i g n a t o , e d e l l ' i n c a r i c a t o , i n caso

La s i c u r e z z a d e l l e reti

Enti p r i v a t i e P u b b l i c a A m m i n i s t r a z i o n e h a n n o lo s t e s s o o b b l i g o d i a d e m p i e r e alla n o r m a t i v a :
redazione

DPS;

a d e g u a m e n t o d e i s i s t e m i i n f o r m a t i v i s e c o n d o le i n d i c a z i o n i d e l l ' a l l e g a t o B d e l l a n o r m a .

Zoom su.
DPS IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA DPS (COMMA 19)
Riportiamo

p e r i n t e r o il c o m m a 1 9 c h e
Entro

il 31

giudiziari

marzo

grammatico
19.1.
19.2.

dei

l'analisi

19.4.

le misure

delle

aree

19.5.

la descrizione

19.6.

compiti

dei rischi

rilevanti

dei criteri

la previsione

e delle

di interventi

programmata

misure

gi al momento

o di introduzione

19.7.

la descrizione

o di

dati
pro-

riguardo:

nell'ambito

delle

dei criteri

i dati

di dati

e la disponibilit

loro custodia

modalit

perii

degli

pi rilevanti

significativi

strutture

preposte

al

personali

personali

idonei

dei criteri

da adottare

misure

in servizio,

a rivelare
per

della

eventi

disponibilit

la

protezione

dei dati in

per renderli

dannosi,

alle relative
minime

rispetto

l'adozione

in conformit

delle

lo stato

di salute

e la vita

la cifratura

o per

la separazione

della

seguito

La
di dati

minime

all'esterno
sessuale

rischi

disciplina
che

formazione

di cambiamenti

misure

dei

responsabilit

dal titolare.

al trattamento

al codice,

edotti

dei profili

attivit, delle

adottate

nonch in occasione

rilevanti

per garantire
affidati,

nonch

23;

del trattamento,

in rapporto
sulle

dei dati,

accessibilit;

punto

per prevenire

strumenti,

da adottare

ripristino

incaricati

disponibili

dell'ingresso

di nuovi

di trattamenti

personali

informazioni

sensibili

un documento

dati;

l'integrit

modalit per aggiornarsi

sioni,

l'individuazione

sui

formativi

dei dati personali

e delle

per

di dati

designato,

personali;

di cui al successivo

sulla protezione

19.8.

se

responsabilit

ai fini della

sui dati, delle

titolare;

e delle

per garantire

o danneggiamento

del

idonee

di dati

DPS.

di un trattamento

il responsabile,

contenente

che incombono

da adottare

che incombono

in caso

il titolare

attraverso

dei trattamenti
dei

e dei locali,

ne derivano

anno,

il c o n t e n u t o d e l

dati;

19.3.

a distruzione

anche

sulla sicurezza

l'elenco

la distribuzione

trattamento

di ogni

redige

riguarda

di

man-

personali;

di

sicurezza

della

struttura

di cui al punto

di tali dati dagli

altri

24,
dati

dell'interessato.

N e i d i e c i a n n i d i v i t a il D P S
eliminazione

del 2012:

dal 2003

le

h a s u b i t o m o l t e p l i c i m o d i f i c h e p r i m a d i a r r i v a r e alla sua c o m p l e t a
riassumiamo

nella s e g u e n t e t a b e l l a .

Assenza d i d e r o g h e a l l ' o b b l i g o d i r e d a z i o n e d e l d o c u m e n t o p r o g r a m m a t i c o sul

all'agosto 2008

sicurezza

dall'agosto 2008

Articolo 34 C o m m a I b i s d.lgs 196/03.

al l u g l i o

Per i s o g g e t t i c h e t r a t t a n o s o l t a n t o d a t i p e r s o n a l i n o n sensibili e c h e t r a t t a n o c o m e

2011

unici d a t i s e n s i b i l i q u e l l i c o s t i t u i t i d a l l o s t a t o d i s a l u t e o m a l a t t i a d e i p r o p r i d i p e n d e n t i e c o l l a b o r a t o r i a n c h e a p r o g e t t o , senza i n d i c a z i o n e d e l l a relativa

diagnosi,

o v v e r o d a l l ' a d e s i o n e a o r g a n i z z a z i o n i sindacali o a c a r a t t e r e s i n d a c a l e , la t e n u t a d i
un a g g i o r n a t o d o c u m e n t o p r o g r a m m a t i c o sulla sicurezza s o s t i t u i t a d a l l ' o b b l i g o d i
a u t o c e r t i f i c a z i o n e , resa d a l t i t o l a r e d e l t r a t t a m e n t o ai sensi d e l l ' a r t i c o l o 47 d e l t e s t o
u n i c o d i cui al d e c r e t o d e l P r e s i d e n t e d e l l a R e p u b b l i c a 2 8 d i c e m b r e 2 0 0 0 , n. 4 4 5 ,
d i t r a t t a r e s o l t a n t o tali d a t i in osservanza d e l l e altre m i s u r e d i sicurezza p r e s c r i t t e .
Omississ

170

N o r m a t i v a sulla s i c u r e z z a e sulla p r i v a c y

d a l l u g l i o 2011

Lezione 6

Articolo 3 4 C o m m a I b i s d.lgs 196/03.

a gennaio 2012

Per i s o g g e t t i c h e t r a t t a n o s o l t a n t o d a t i p e ' s c a

n o n sensi oiii e o e t r a t t a n o c o m e

unici d a t i sensibili e g i u d i z i a r i q u e l l i relativi a i p r o p r i d i p e n d e n t i e c o l l a b o r a t o r i , a n c h e se e s t r a c o m u n i t a r i , c o m p r e s i q u e l l i reiatwi a c o n i u g e e ai p a r e n t i , a t e n u t a d i


un a g g i o r n a t o d o c u m e n t o p r o g r a m m a t e c i s~ a s c ^ - e z z a e s o s t a t a oa ' o o o i ' g o d i
a u t o c e r t i f i c a z i o n e , resa d a l t i t o l a r e d e l t r a t t a m e n t o a i sensi d e l l ' a r t i c o l o 4 7 d e l t e s t o
u n i c o d i cui al d e c r e t o d e l P r e s i d e n t e d e l l a R e p u b b t c a 2 8 d i c e m b r e 2 0 0 0 , n . 4 4 5 , d i
t r a t t a r e s o l t a n t o tali d a t i in osservanza o e e m i w e m i n a n e d sicurezza

previste dal

i !

p r e s e n t e c o d i c e e d a l d i s c i p l i n a r e t e c n i c o c o n t e n u t o netalcgato

B).

Omississ
A b r o g a z i o n e i n t e g r a l e D o c u m e n t o P r o g i a m m a t i c o S u b Sicurezza.

gennaio 2012

L'articolo 9 8 del d.lgs. 30/2005


U

d e c r e t o 3 0 / 2 0 0 5 r i g u a r d a n t e i l Codice

della

Propriet

Industriale

l ' a r t i c o l o 9 8 fa

riferimenti

alle

informazioni c o m m e r c i a l i s e g r e t e , e ha stabilito che:


D

costituiscono

oggetto

striali,

comprese

tali

informazioni:

siano

segrete,

abbiano

siano

valore

costituiscono
dinata

agricoli

del

altres

oggetto

l'autorizzazione
implicanti

delle

note

controllo
o nella

tecnico-indu-

del detentore,

precisa

configurazione

o facilmente

accessibili

di protezione

i dati

un considerevole
di nuove

al cui legittimo

adeguate

sono

segrete.

relativi

o altri

impegno

in commercio

sostanze

controllo

a mantenerle

quella evoluzione

agli

a prove

soggette,

dati

e alla cui presentazione


di prodotti

chimici,

segreti,
sia

a
la
subor-

farmaceutici

chimiche.

L e m i s u r e d i s i c u r e z z a d e f i n i t e a l l ' i n t e r n o d e l D i s c i p l i n a r e r a p p r e s e n t a n o /'/ punto


oer

ove

segrete;

persone

dell'immissione

l'uso

nel loro insieme

e le esperienze

settore;

ragionevolmente

comporti

al legittimo

generalmente

in quanto

da parte

da ritenersi

cui elaborazione

elementi

economico

sottoposte,

misure
0

operatori

aziendali

soggette

che non siano

dei loro

e agli

le informazioni

commerciali,

nel senso

e combinazione
esperti

di tutela

quelle

di

partenza

v e r s o l o " s t a t o d e l l ' a r t e " d i c u i f a c e n n o l'art. 3 1 d e l d . l g s 1 9 6 / 2 0 0 3 :

officile pensare a un utilizzo d i s t a n d a r d d i sicurezza senza aver prima p r o v v e d u t o a i m p i e g a r e correttamente q u a n t o richiesto p e r legge.

Legge 18 marzo 2 0 0 8 , n. 4 8 C r i m i n i informatici


E cita p u b b l i c a t a n e l l a G a z z e t t a Ufficiale n . 8 0 d e l 4 a p r i l e 2 0 0 8 S u p p l e m e n t o o r d i n a r i o n . 7 9 c o n
"Ratifica

ed esecuzione

t'atta a Budapest

della

Convenzione

il 23 novembre

del Consiglio

2001, e norme

d'Europa

di adeguamento

sulla

criminalit

dell'ordinamento

informainterno".

C o n l a legge 48/2008 l ' I t a l i a s i d o t a t a d i u n a n u o v a n o r m a t i v a s u i c r i m i n i i n f o r m a t i c i , pi a t t u a l e e


aerer d e l l a p r e c e d e n t e i n t r o d o t t a i l 2 3 d i c e m b r e 1 9 9 3 c o n l a legge n . 5 4 7 .
pfco-rganizzata i n 4 c a p i e 1 4 a r t i c o l i c h e i n t e r v e n g o n o c o n m o d i f i c h e , s o s t i t u z i o n i , a g g i u n t e o a b r o |anoni. s u s p e c i f i c i a r t i c o l i d e l :
codice penale;
ce p e r l a p r o t e z i o n e d e i d a t i p e r s o n a l i ;
. .-reto l e g i s l a t i v o 8 g i u g n o 2 0 1 n . 2 3 1 ;
I

.- c . c S p r o c e d u r a penale.

171

La s i c u r e z z a d e l l e reti

I n m e r i t o ai r e a t i i n f o r m a t i c i v e n g o n o i n t r o d o t t e n u o v e d e f i n i z i o n i , a u m e n t a t e l e s a n z i o n i p e r c h i l i
c o m m e t t e , v i e n e r i c h i e s t a u n a maggiore t u t e l a d e i d a t i p e r s o n a l i e d e f i n i t e l e s a n z i o n i a c a r i c o delle
societ n e i casi d i colpa o r g a n i z z a t i v a i n caso v e n g a n o c o m m e s s i r e a t i i n f o r m a t i c i s u i d a t i i n l o r o
possesso a d a n n o d i soggetti che l i h a n n o a l o r o a f f i d a t i .
C a m b i a a n c h e i l c o n c e t t o d i d o c u m e n t o i n f o r m a t i c o che assume u n a valenza pi a m p i a : si aggiorna
alla n u o v a t e c n o l o g i a e t i e n e c o n t o d e l l ' a u t o n o m i a s t r u t t u r a l e e f u n z i o n a l e dei d a t i r i s p e t t o a i supp o r t i che l i c o n t e n g o n o .
Le m o d i f i c h e a l l ' a r t i c o l o 6 1 5 d e l c o d i c e p e n a l e lo h a n n o t r a s f o r m a t o nella s e g u e n t e f o r m u l a z i o n e :

Art. 615-quinquies codice penale (Diffusione d i apparecchiature, dispositivi


^

o p r o g r a m m i informatici diretti a d a n n e g g i a r e o interrompere un sistema


informatico otelematico).
"Chiunque,

o telematico,
ovvero

di favorire

si procura,
mette

allo

scopo

le informazioni,
l'interruzione,

produce,

a disposizione

nito con la reclusione

di danneggiare

i dati

riproduce,

illecitamente

o i programmi

totale

o parziale,

importa,

di altri apparecchiature,
fino a due anni

in esso

o l'alterazione

diffonde,

comunica,

dispositivi

e con la multa

un sistema

contenuti

del suo

pertinenti
funzionamento,

consegna

o programmi

sino

informatico

o a esso
o,

comunque,

informatici,

a euro

pu-

10.329."

L ' a r t i c o l o , p e r essere m a g g i o r m e n t e c o m p r e n s i b i l e , v i e n e d i seguito r i p r o d o t t o c o n u n d i a g r a m m a


(elaborato
dal Dr. Fulvio
Berghella):

Chiunque

si procura,
produce,

allo scopo di danneggiare illecitamente

un sistema informatico o telematico

ovvero di favorire l'interruzione,


totale o parziale

le informazioni
i dati

o l'alterazione del suo funzionamento

riproduce,

I o i programmi

importa.

in esso contenuti

diffonde.

o a esso pertinenti

comunica.
consegna,
o, comunque,
mette a disposizione
degli altri

apparecchiature,

dispositivi

punito con la reclusione fino a due anni e con la multa sino a euro 10.329

172

o pn

informatici

N o r m a t i v a sulla s i c u r e z z a e sulla p r i v a c y

C h i u n q u e d a n n e g g i a 1ecitamente un

A D a n n e g g i a m e n t o R i c o r d i a m o che c o n i l t e r m i n e d a n -

sistema

erte p u n i t o c o n l ' a r t i zoo


del

Art.

615-quinquies

Codice

neggiamento la giurisprudenza ha definito: distrugge,

de-

teriora,

parte,

inservibili,

penale.

cancella,

altera,

ne ostacola

sopprime,

rende,

gravemente

in tutto

o in

il funzionamento.

i l n u o v o testo s o n o s a n z i o n a t i n o n solo i c o m p o r t a m e n t i i l l e c i t i c o r r e l a t i a i p r o g r a m m i i n f o r ici m a a n c h e q u e l l i a f f e r e n t i alle a p p a r e c c h i a t u r e e ai d i s p o s i t i v i : v i e n e cos i n c l u s o n e l c o n c e t t o


solo i l software ( c o m e era p r e c e d e n t e m e n t e a esso), m a a n c h e l ' h a r d w a r e .
i r e i n o l t r e s a n z i o n a b i l e a n c h e l a s e m p l i c e d e t e n z i o n e d i software o h a r d w a r e i l l e g i t t i m o .

'

illazioni e pene

pecuniarie

- 7 della legge 48/2008 h a i m p o r t a n t i effetti o r g a n i z z a t i v i : i n t r o d u c e l ' a r t i c o l o 24-i's al d e c r e t o


legislativo 8 giugno 2 0 0 1 , n . 2 3 1 a m p l i a n d o la p o r t a t a della c o s i d d e t t a " c o l p a o r g a n i z z a t i v a " a i defini

informatici e trattamento illecito di dati.

. sanzioni p e c u n i a r i e p e r a z i e n d e e d e n t i s o n o i m p o r t a n t i e si a p p l i c a n o n e i casi d i v i o l a z i o n e d e i
seguenti a r t i c o l i del c o d i c e penale:
I

a c c e s s o a b u s i v o a u n s i s t e m a i n f o r m a t i c o o t e l e m a t i c o - a r t . 615-ter.

chiunque abusivamente

si i n t r o d u c e i n u n s i s t e m a i n f o r m a t i c o o t e l e m a t i c o p r o t e t t o da m i s u r e d i s i c u r e z z a o v v e r o v i s i
m a n t i e n e c o n t r o la volont espressa o t a c i t a d i c h i ha i l d i r i t t o d i e s c l u d e r l o ;
intercettazione,

impedimento

che - a r t . 617-quater.

o i n t e r r u z i o n e illecita di c o m u n i c a z i o n i i n f o r m a t i c h e

telemati-

c h i u n q u e fraudolentemente intercetta c o m u n i c a z i o n i relative a u n sistema

i n f o r m a t i c o o t e l e m a t i c o o i n t e r c o r r e n t i t r a pi s i s t e m i , o v v e r o le i m p e d i s c e o le i n t e r r o m p e , ...
c h i u n q u e r i v e l a , m e d i a n t e qualsiasi m e z z o d ' i n f o r m a z i o n e a l p u b b l i c o , i n t u t t o o i n p a r t e , i l c o n t e n u t o delle c o m u n i c a z i o n i ( d i c u i al p r i m o c o m m a ) ;
I

istallazione

di a p p a r e c c h i a t u r e a t t e a i n t e r c e t t a r e ,

f o r m a t i c h e o t e l e m a t i c h e - a r t . 617-qu'mquies:

impedire o interrompere comunicazioni

in-

c h i u n q u e , f u o r i d a i casi c o n s e n t i t i dalla legge,

installa a p p a r e c c h i a t u r e atte a i n t e r c e t t a r e , i m p e d i r e o i n t e r r o m p e r e c o m u n i c a z i o n i r e l a t i v e a u n
r-istema i n f o r m a t i c o o t e l e m a t i c o o v v e r o i n t e r c o r r e n t i t r a pi s i s t e m i ;
I

d a n n e g g i a m e n t o d i i n f o r m a z i o n i , d a t i e p r o g r a m m i i n f o r m a t i c i - a r t . 635-bis:

c h i u n q u e distrugge,

t e r i o r a , cancella, a l t e r a o s o p p r i m e i n f o r m a z i o n i , d a t i o p r o g r a m m i i n f o r m a t i c i a l t r u i ;
I d a n n e g g i a m e n t o di informazioni, dati e p r o g r a m m i

informatici utilizzati dallo S t a t o o d a altro

e n t e p u b b l i c o o c o m u n q u e di p u b b l i c a u t i l i t - a r t . 635-ter:

c h i u n q u e c o m m e t t e u n fatto d i r e t t o a

distruggere, d e t e r i o r a r e , c a n c e l l a r e , a l t e r a r e o s o p p r i m e r e i n f o r m a z i o n i , d a t i o p r o g r a m m i i n f o r m a t i c i u t i l i z z a t i dallo Stato o da a l t r o e n t e p u b b l i c o o a essi p e r t i n e n t i , o c o m u n q u e d i p u b b l i c a utilit;


I d a n n e g g i a m e n t o di s i s t e m i i n f o r m a t i c i o t e l e m a t i c i - a r t . 635-quater.

c h i u n q u e , m e d i a n t e le c o n -

d o t t e d i c u i a l l ' a r t i c o l o 6 3 5 - b i s , o v v e r o a t t r a v e r s o l ' i n t r o d u z i o n e o la t r a s m i s s i o n e d i d a t i , i n f o r m a z i o n i o p r o g r a m m i , distrugge, danneggia, r e n d e , i n t u t t o o i n p a r t e , i n s e r v i b i l i s i s t e m i i n f o r m a t i c i


o t e l e m a t i c i a l t r u i o n e ostacola g r a v e m e n t e i l f u n z i o n a m e n t o :
I d a n n e g g i a m e n t o di s i s t e m i i n f o r m a t i c i o t e l e m a t i c i di p u b b l i c a u t i l i t - art. 635-qu/nqu/es: se i l fatto

d i c u i all'articolo 6 3 5 - q u a t e r d i r e t t o a distruggere, danneggiare, rendere, i n t u t t o o i n parte, inservib i l i sistemi i n f o r m a t i c i o t e l e m a t i c i d i p u b b l i c a utilit o a ostacolarne gravemente i l f u n z i o n a m e n t o .
A q u e s t i si aggiungono:
I la f r o d e i n f o r m a t i c a d e l soggetto c h e presta s e r v i z i d i c e r t i f i c a z i o n e

elettronica:

I la f a l s a d i c h i a r a z i o n e o a t t e s t a z i o n e al c e r t i f i c a t o r e d i firma e l e t t r o n i c a sull'identit o su qualit


personali proprie o d i altri;
r e l i t t i i n f o r m a t i c i e t r a t t a m e n t o i l l e c i t o d i d a t i sono i n s e r i t i n e l l ' a m b i t o delle p r e v i s i o n i d e l dec r e t o legislativo 8 g i u g n o 2 0 0 1 , n . 2 3 1 .

173

D a t i personali
A t u t t i gli effetti la L. 48/2008 esegue u n a i n t e g r a z i o n e t r a la L. 547/93, i l d.lgs. 196/2003 i n t r o d u c e n d o l'aspetto penale del reato i n f o r m a t i c o : i d a t i p e r s o n a l i d e v o n o essere p r o t e t t i c o n t r o i l r i s c h i o
d i i n t r u s i o n e e dell'azione d i p r o g r a m m i d i c u i a l l ' a r t . 615-quinquies
del c o d i c e penale m e d i a n t e
l ' a t t i v a z i o n e d i idonei strumenti
e l e t t r o n i c i da aggiornare
con cadenza almeno
semestrale.
L'allegato B della 19671 >3, n e l c o m m a che t r a t t a "Ulteriori
misure in caso di trattamento
di dati sensibili o giudiziari",
ora cos f o r m u l a t o : "i dati sensibili
o giudiziari
sono protetti contro
l'accesso
abusivo, di cui all'art. 615-ter del codice penale, mediante l'utilizzo
di idonei strumenti
elettronici".

Finalit a m m i n i s t r a t i v e e contabili
V i e n e per i n t r o d o t t a la n o z i o n e d i t r a t t a m e n t o p e r finalit a m m i n i s t r a t i v e e c o n t a b i l e .
L'articolo 34 c o m m a 1 t e r d.lgs 196/03:
ai fini dell'applicazione
effettuati
di natura
dati

In particolare,
della

disposizioni

in materia

organizzativa,

sono

amministrativa,

finanziaria

di protezione
quelli

dei dati personali,

connessi

e contabile,

allo svolgimento
a prescindere

trattamenti
delle

dalla

attivit

natura

dei

trattati.

obblighi
salute,

delle

per finalit amministrativo-contabili

perseguono

contrattuali

contabilit
igiene

tali finalit le attivit organizzative

e precontrattuali,

e all'applicazione

e sicurezza

sul

alla gestione

delle

norme

interne,

del rapporto

in materia

fiscale,

quelle

di lavoro
sindacale,

funzionali
in tutte

l'adempimento

le sue

previdenziale

fasi,

alla

di
tenuta

assistenziale,

di

lavoro.

V e n g o n o q u i n d i i n t r o d o t t e delle " s e m p l i f i c a z i o n i d i t a l u n i a d e m p i m e n t i i n a m b i t o p u b b l i c o e p r i v a t o rispetto a t r a t t a m e n t i p e r finalit a m m i n i s t r a t i v e e c o n t a b i l i " dove si legge:


"diverse

realt, specie

relazione

a obblighi

amministrativo
clienti,

fornitori,

imprenditoriali

contrattuali,

e contabile

(gestione

realt esterne

di piccole

precontrattuali
di ordinativi,

di supporto

anche

e medie
o di legge,
buste

dimensioni,

trattano

esclusivamente

paga

in outsourcing

e di ordinaria
dipendenti);

dati,

anche

per finalit di
corrispondenza

in

ordine
con

omississ"

Q u i n d i le a z i e n d e che t r a t t a n o i n p r e v a l e n z a d a t i p e r s o n a l i ( a d e s e m p i o n o m e , c o g n o m e , i n d i r i z z o ,
n u m e r o d i telefono, p a r t i t a i v a , c o d i c e fiscale) p e r finalit a m m i n i s t r a t i v e h a n n o solo 1' obbligo d i
u n a i n f o r m a t i v a sulle modalit e finalit d i gestione del d a t o senza r i c h i e d e r e i l consenso s c r i t t o
degli i n t e r e s s a t i .

Ultimi decreti e/o leggi


I l 2 0 1 1 e i l 2 0 1 2 sono s t a t i c a r a t t e r i z z a t i da i m p o r t a n t i novit n e l settore n o r m a t i v o della sicurezza
dei sistemi informativi:
> a b o l i z i o n e d e c r e t o Pisano c i r c a l ' o b b l i g o d i i d e n t i f i c a z i o n e degli u t e n t i ;
p r o v v e d i m e n t o d e l G a r a n t e p e r l a p r o t e z i o n e d e i d a t i p e r s o n a l i 12 maggio 2 0 1 1 i n e r e n t e la tracciabilit degli accessi ai d a t i b a n c a r i :
i d e c r e t o legge n . 70/2011 " S e m e s t r e E u r o p e o - P r i m e d i s p o s i z i o n i u r g e n t i p e r l ' e c o n o m i a " success i v a m e n t e c o n v e r t i t o c o n legge n . 1 0 6 / 2 0 1 1 :
> d e c r e t o legge n . 2 0 1 / 2 0 1 1 , n o t o c o m e d e c r e t o Salva Italia, c o n t e n e n t e le " D i s p o s i z i o n i u r g e n t i per
la c r e s c i t a , l'equit e i l c o n s o l i d a m e n t o dei c o n t i p u b b l i c i " , c o n v e r t i t o c o n la legge d e l 22 d i c e m bre 2 0 1 1 , n. 214
d e c r e t o S e m p l i f i c a z i o n i 5/2012 a p p r o v a t o i l 2 7 . 0 1 . 2 0 1 2 c o n v e r t i t o c o n l a legge 4 a p r i l e 2 0 1 2 n . 3 5 :

174

N o r m a t i v a sulla s i c u r e z z a e sulla p r i v a c y

Lezione 6

le a l t r e cose le m o d i f i c h e h a n n o
riguardato:
b n o z i o n e d i dato personale c o n q u i n d i i n c i d e n z a sulla a p p l i c a z i o n e del d.lgs 1 9 6 / 0 3 :
T a m b i t o d i a p p l i c a z i o n e p r i m a , e l'esistenza p o i , del D o c u m e n t o P r o g r a m m a t i c o sulla Sicurezza.
r t i a m o a t i t o l o d i e s e m p i o l ' a r t . 4 5 della legge 4 a p r i l e 2 0 1 2 n . 3 5
(Semplificazioni
D

al codice
gno

2003,

n. 196,

all'articolo
diziari

in m a t e r i a d i d a t i p e r s o n a l i ) :

In materia

21 dopo

altres

prevenzione
stero

di protezione
sono

il comma

consentito

30 luglio

1999,

personali),

che specificano

all'articolo

27,

Si

quanto

comma

all'articolo

nel disciplinare

tecnico

sono

i paragrafi

. a r t i c o l o scritto

34 soppressa

naturalmente

periferici
(previo

la lettera
in materia

per

infine,

dall'articolo

Il trattamento

organizzata

30

giu-

dei dati

giu-

comma

g) del comma
e

d'intesa

stipulati

15, comma

del Garante

per

con il

2, del

per la protezione

e delle

il seguente

21,

di misure

da 19 a 19.8

legislativo)

di protocolli

di cui all'articolo

parere

dei dati trattati

1, aggiunto,

1-bis.

in attuazione

di criminalit

la tipologia

previsto

soppressi

n. 300

il seguente:

effettuato

dei fenomeni

di cui al decreto
modificazioni:

1 inserito

o con i suoi uffici

legislativo

applica

le seguenti

quando

e il contrasto

dell'interno

dei dati personali,

apportate

operazioni

la

Minidecreto

dei

dati

eseguibili;

periodo:
1-bis;

1 ed abrogato

minime

di sicurezza

il comma

1-bis;

di cui all'allegato

26.

g l i a d d e t t i ai l a v o r i c h e " c o n o s c o n o a m e m o r i a "

ogni

e g g e , articolo, c o m m a e lettera del c o m m a !


T u t t i g l i a l t r i n e a s p e t t a n o la " t r a d u z i o n e " in l i n g u a g g i o c o m p r e n s i b i l e , e p e r q u a n t o r i g u a r d a
questo articolo sostanzialmente
namento del

si s i n t e t i z z a in " n o n p i o b b l i g a t o r i a la r e d a z i o n e e l ' a g g i o r -

n vi l ' o b b l i g o s o s t i t u t i v o d i a u t o c e r t i f i c a z i o n e " .

Conclusioni
enzione:

con

l a legge 3 5 / 2 0 1 2

non

-tate a b o l i t e le m i s u r e m i n i m e d i

Con

l'avvento

delle

nuove

tecnologie

come

o u t s o u r c i n g e il c l o u d i s i s t e m i s t i d e v o n o v a l u t a r e

r e z z a , cio n o n s t a t o a b o l i t o c o m a t t e n t a m e n t e le c l a u s o l e c o n t r a t t u a l i p r e v i s t e a t u l e n t e l'allegato B a l d.lgs 1 9 6 / 0 3 ,


t e l a d e l l a riservatezza p r i m a d i s t i p u l a r e a c c o r d i c o n
stata t o l t a l'obbligatoriet d i r e d i f o r n i t o r i d i q u e s t i s e r v i z i e s t e r n i alla o r g a n i z z a z i o n e :
il DPS; p e r m a n g o n o le r e s p o n s a b i a d e s e m p i o , s p e s s o i d a t a b a s e s o n o su s e r v e r l o c a p e n a l i i n caso d i m a n c a t a adoziolizzati f i s i c a m e n t e in p a e s i t r o p i c a l i , d o v e le n o r m a delle m i s u r e m i n i m e d i sicurezza e
t i v e sulla t u t e l a d e l l a p r i v a c y e riservatezza d e i d a t i
e vigente i l p r o v v e d i m e n t o sugli
g e n e r a l m e n t e sono " m o l t o carenti" e n o n rispettan i s t r a t o r i d i Sistema,
n o q u a n t o previsto dalla nostra normativa.
s i n t e s i , le m i s u r e m i n i m e d i s i c u r e z la adottare a i t i t o l a r i d e l t r a t t a m e n t o
stessi sono quelle i d o n e e a r i d u r r e al m i n i m o i rischi d i d i s t r u z i o n e o p e r d i t a a n c h e p a r z i a l e
ti. E prescritto l'utilizzo di sistemi di autenticazione, d i autorizzazione, di soluzioni antivirus
p r o t e z i o n e da i n t r u s i o n i m a l i g n e e a n c h e d i s o l u z i o n i d i sicurezza v o l t e a e v i t a r e o p r e v e n i r e la
l i s s i o n e d i r e a t i da p a r t e dei d i p e n d e n t i , c o m e i l d o w n l o a d d i file a c o n t e n u t o p e d o p o r n o g r a f i c o
- c a m b i o d i file a u d i o e v i d e o p r o t e t t i da d i r i t t o d ' a u t o r e .
Linea generale si pu affermare che u n ' a z i e n d a pu c o n t r o l l a r e i l pc d i u n d i p e n d e n t e per prevee gli a b u s i m a n o n pu fare d i questa attivit u n u t i l i z z o d i s t o r t o e finalizzato al m o n i t o r a g g i o
prestazione l a v o r a t i v a : i l legislatore e i l g a r a n t e fissano d i r i t t i e d o v e r i p e r l a v o r a t o r i e aziende,
che auspicabile e o p p o r t u n o u n a l i n e a d i c o n d o t t a e q u i l i b r a t a fra c o r r e t t a i n t e r p r e t a z i o n e
;!<.- n o r m e e u t i l i z z o delle risorse e funzionalit t e c n o l o g i c h e .

175