INFORMATICA GIURIDICA – Prof.

ssa Barbara Troncarelli – 6

CFU
Programma:
 Computer crimes
 Diritto d’autore in ambito informatico
 Tutela dei siti web
 Regolamento UE n.679/2016
 Garante per la protezione dei dati personali
 Amministratori di sistema
 Spamming e data retention
 Privacy nel web
 Introduzione informatico-giuridica alla sicurezza
 Biometria
 Videosorveglianza
 Cloud computing
 Smartphone e tablet
 Informatica e Pubblica Amministrazione
 Privacy e trasparenza in ambito pubblico-amministrativo

Il termine informatica giuridica è spesso dibattuto, si individuano

due linee di sviluppo:
 Diritto come oggetto dell’informatica – Informatica giuridica
in senso stretto: Programmi software applicati al sistema
giuridico. Programmi per scrittura atti, database di leggi.
 Informatica come oggetto del diritto – Diritto
all’informatica: Insieme di tutte le normative per la
 regolamentazione dell’informatica. Si inizia a diffondere con il
grande impatto etico sociale di Internet.
L’Italia e la maggior parte dei paesi segue il modello giuridico civil
law, i paesi anglosassoni seguono il modello common law.
• Modello civil law: le leggi nascono in Camera e Senato e sono
applicate successivamente nei tribunali.
• Modello common law: le leggi nascono direttamente nei
tribunali e le sentenze hanno valore vincolante per i casi
futuri.
In generale, la legge viene applicata ma anche interpretata
dall’operatore giudiziario in funzione di un caso specifico.
In Italia, le prime normative vennero attuate all’inizio degli anni
’90, influenzate dal “Diritto comunitario dell’informatica”,
Direttive dell’Unione Europa, molto attiva nel settore. Il diritto
all’informatica si occupa di diritto positivo. Distinguiamo:
 Giusnaturalismo: prescrizioni naturali, comandi posti
all’interno del soggetto, non sono previste sanzioni per chi le
viola.
 Giuspositivismo: prescrizioni positive, comandi posti da
un’autorità che legifera e prevede sanzioni per chi le viola.
Un bene giuridico è un bene costituzionalmente tutelato.
Un reato è un illecito di rilevanza penale. In base al relitto si
distingue:
 Dolo generico: non è necessaria una motivazione particolare.
 Dolo specifico: occorre dimostrare la volontà lesiva del
soggetto.
In informatica, quasi tutti gli illeciti sono delitti, penalmente
perseguibili
Normative più importanti in ambito informatico:
• L. 633/1941 sul diritto d’autore.
 • D.Lgs. 518/1992 sulla tutela del software, come
aggiornamento alla legge del 1941.
• D.Lgs. 39/1993 sulla informatizzazione della P.A. e relativa
istituzione dell’AIPA.
• L. 547/1993 sui computer crimes aderendo alla
Raccomandazione CEE n. 89/9.
• D.P.R. 513/1997 “Regolamento sui documenti informatici”,
da ora con pieno valore probatorio, e sulla “firma digitale”.
• D.Lgs. 196/2003 codice in materia di protezione dei dati
personali.
• D.Lgs. 82/2005 relativo alla digitalizzazione della P.A. come
aggiornamento al d.lgs. del 1993.
• L. 48/2008 ratifica della “Convenzione di Budapest sulla
criminalità informatica” del 2001.
• “Regolamento sulla protezione dei dati personali” 2016, verrà
ratificato nel 2018 per uniformarci al “diritto comunitario”.

Computer crimes
L. 547/1993
La legislazione italiana ha introdotto nel 1993 la Legge intitolata
“Modificazioni e integrazioni delle norme del Codice penale in
tema di criminalità informatica”. Il legislatore ha perseguito gli
obiettivi di:
  mantenere un approccio evolutivo della normativa già
esistente, aggiornandola in merito ai computer crimes
 allineare la normativa italiana a quella europea, aderendo
alla Raccomandazione CEE n. 89/9 della lista di reati minimi:
 frode, falso e sabotaggio informatico
 accesso, riproduzione o
danneggiamento non autorizzato di
dati e programmi
L. 48/2008
Nel 2003 viene ratificata la “Convenzione di Budapest sulla
criminalità informatica” del 2001 del Consiglio d’Europa.
Introduce:
 l’eliminazione delle distinzioni tra documento informatico e
cartaceo
 l’estensione delle condotte malevole non solo al software, ma
anche all’hardware
 l’estensione della responsabilità amministrativa degli enti in
materia ai reati informatici, le società rispondono agli illeciti
perpetrati dei loro dipendenti
 pari valore probatorio per le evidenze informatiche.
I pericoli della rete
Nella società moderna, i social network si configurano come una
delle migliori invenzioni, ma con numerose insidie. Si integrano
regolamentazioni giuridiche e autoregolamentazione, infatti si
devono evitare comportamenti autolesionistici pubblicando
troppi dati personali.
Il Garante ha stilato una lista di raccomandazioni. Gli utenti dei
social network devono:
 fare attenzione alla pubblicazione di dati e contenuti
personali oppure altrui senza il loro consenso, considerando
la facile reperibilità dai motori di ricerca
  usare differenti nickname e password diverse per ogni social
network, evitare password uguali ad altri siti (es. home
banking ed e-mail)
 leggere le informative sulla privacy, verificare la cancellabilità
del proprio profilo, limitare la sua visibilità e rifiutare
l’adesione a campagne marketing
I fornitori dei social network devono:
 devono garantire misure per favorire la privacy e informare
sulle conseguenze della pubblicazione di dati personali
(informativa previa del consenso)
 devono rendere possibile la limitazione della visibilità del
profilo e la recessione dal servizio eliminando tutti i dati
pubblicati
Esercizio arbitrario delle proprie ragioni con violenza sulle cose:
alterazione di un sistema infotelematico per farsi giustizia da sé.
Dolo specifico.
Rilevazione del contenuto di documenti segreti pubblici o
I documenti informatici godono di pieno valore probatorio.

privati: dolo generico.

Falsificazione di documenti informatici pubblici o privati: dolo
specifico.
Frode commessa dal certificatore di firma elettronica: dolo
Reati introdotti dalla legge del 2008.

specifico.
Falsa dichiarazione al certificatore di firma elettronica: dolo
specifico.
Certificatore: figura professionale che funge da intermediario (es.
firma digitale e PEC). Firma digitale: firma elettronica più
sicura.
Introduzione abusiva in un sistema infotelematico con accesso
negato o protetto: Dolo generico. Punito con la reclusione,
aggravanti se commesso da un pubblico ufficiale, investigatore
privato oppure operatore di sistema.
Detenzione e diffusione di codici di accesso a sistemi
infotelematici: si previene l’accesso ad un sistema infotelematico.
Dolo specifico.
Domicilio (elettronico): bene giuridico, spazio (virtuale,
riconducibile ad un sistema infotelematico) dove la persona
esplica i propri diritti personali.
Detenzione e diffusione e produzione di hardware o programmi
diretti a danneggiare un sistema infotelematico: dolo generico.
Hacker: esperto informatico che utilizza le sue competenze alla
ricerca di vulnerabilità in un sistema infotelematico, si parla di
hacking etico.
Cracker: esperto informatico che utilizza le sue competenze per
scopi malevoli e distruttivi, è una figura negativa, un criminale.
Violazione e soppressione di corrispondenza: Dolo generico.
Puniti i provider che prendono cognizione della corrispondenza
altrui.
Corrispondenza: bene giuridico, missiva, aperta o chiusa,
proprietà del mittente sino alla avvenuta consegna al destinatario.

Intercettazione, interruzione e divulgazione di comunicazioni

infotelematiche: Dolo generico. Punito con la reclusione,
aggravanti se commesso da un pubblico ufficiale, investigatore
privato oppure ai danni dello Stato.
Installazione di hardware atto a intercettare o interrompere
comunicazioni infotelematiche: dolo specifico.
Falsificazione o soppressione di comunicazioni infotelematiche:
dolo specifico.
Comunicazioni: bene giuridico, anche i fuori onda televisivi
rientrano in questa categoria.
Danneggiamento di dati informatici o di sistemi infotelematici:
tentativo o effettivo danneggiamento di files o hardware. Dolo
specifico. Punito con la reclusione, aggravante se l’hardware o i
files sono di pubblica utilità.
Frode informatica: alterazione di files o sistemi infotelematici
perseguendo un fine economico ad altrui danno. Dolo specifico.
Punito con la reclusione, aggravante se commesso furto o uso
improprio di un’identità digitale.
Sostituzione di persona: sostituzione della propria all’altrui
persona al fine di procurare un vantaggio a sé o un danno altrui.
Dolo specifico.
Identità (digitale): bene giuridico estremo, insieme di tutti i dati
personali (immessi in un sito Internet), modalità con la quale ci
porgiamo al mondo.
Profilo fake: creazione di un profilo su un sito Internet con dati
personali altrui. Se non si utilizzano server delocalizzati, la polizia
postale può rintracciare l’autore.
Dato personale: dato direttamente o indirettamente identificativo
(es. nome, cognome, nickname, foto …). Dato anonimo:
dato non identificativo.
Ingiuria: offesa del decoro di una persona presente. Dolo
specifico. Punito civilmente.
Diffamazione: offesa del decoro di una persona non presente.
Dolo specifico. Punito penalmente, aggravato se utilizzati mezzi
pubblicitari.
Libertà di manifestazione del pensiero: Ogni soggetto è libero di
esprimere il proprio pensiero senza però collidere con l’altrui
diritto al decoro personale.
Bullismo e cyberbullismo: Dolo specifico. Punito con querela
dell’autore maggiorenne o ammonimento dell’autore minorenne
dal questore.
Legge 71/2017: inasprisce la normativa per contrastare il
cyberbullismo. La vittima di cyberbullismo può chiedere la
rimozione dei dati personali diffusi.
Molestia: invio, tramite qualsiasi mezzo, di messaggi sgraditi,
petulanti e a sfondo sessuale. Dolo specifico.
Stalking e cyberstalking: reiterazione di minacce o molestie
infiggendo un grande disagio psichico nel soggetto offeso. Dolo
specifico.
Pedofilia culturale: istigazione alla pedofilia o elogio pubblico di
qualcosa avente a che fare con la pedofilia. Dolo specifico.
Adescamento di minorenni: adescamento di minori allo scopo di
commettere uno dei reati sessuali contro minori. Dolo specifico.
Cessione o divulgazione di materiale pedopornografico:
condivisione di materiale pedopornografica tramite chat o social
network. Dolo specifico.
Agente provocatore: ruolo della polizia giudiziaria per
l’acquisizione di materiale probatorio predisponendo siti civetta o
attirando i soggetti interessati.
Diritto d’autore in ambito informatico
L.633/1941
Normativa storica sul diritto d’autore. Basata sulla convenzione di
Berna, ogni opera letteraria è tutelata. Modificata
successivamente.
D.L. 518/1992
Attuazione direttiva europea 250/1991 relativa alla tutela
giuridica dei programmi per elaboratore, ai quali è riconosciuto
pieno valore letterario.
L.248/2000
Nuove norme sul diritto autoriale. Obbligato del bollino Siae su
ogni prodotto che contiene programmi per elaboratore
D.L.68/2003
Attuazione direttiva europea 29/2001 relativa ai programmi per
elaboratore
L’argomento tutela del software venne trattato per la prima volta
negli anni ’80 in USA, quando le software-house persero introiti a
causa della pirateria informatica. La scelta tra brevetto e diritto
d’autore ricadde sul copyright perché il brevetto limita la
creatività.
Diritto d’autore: tutela un prodotto nella sua forma, non il
contenuto. Nella dicotomia idea-espressione l’idea deve circolare
liberamente, l’espressione è tutelata
Brevetto: tutela sia la forma che il contenuto di un prodotto.
Copyright: Il software gode della stessa tutela di un’opera
letteraria, è coperto da copyright solamente il codice di un
programma, non l’idea.
 Un software deve essere originale, deve presentare almeno
un elemento innovativo oppure deve essere totalmente
nuovo.
 La copia pedissequa è punibile con il reato di plagio.
 Diritto alla copia di backup del software.
 Diritto esclusivo alla riproduzione: Il software può essere
riprodotto solamente nelle modalità indicate dal autore.
 Soggetti della tutela: l’autore, datore di lavoro per i software
elaborati dai propri dipendenti.
 Oggetti tutelati: programmi per elaboratore, il contenuto e la
struttura di un database, intesa come raccolta di opere
letterarie.
 Diritti patrimoniali: diritto di fruizione che ricade sull’autore
o su soggetti terzi:
o Diritto di elaborazione Diritto di riproduzione
Diritto di distribuzione
Diritti alienabili, cedibili a terzi, scadono dopo 70 anni dalla
morte dell’autore al fine di tutelare gli eredi.
  Diritti morali: diritto all’essere riconosciuto creatore
dell’opera. Anche dopo la cessione dei propri diritti
patrimoniali, l’autore conserva la paternità dell’opera e può
opporsi ad ogni modiche all’opera stessa che comportino
danni all’onore e alla reputazione dell’autore. Diritti
inalienabili, validi a vita, a meno che l’autore non ne approvi
le modifiche (rimane però la paternità dell’opera).
Fair use: rappresenta un’eccezione al copyright, l’uso legittimo di
un software è ammesso ad uso esclusivamente privato senza che
non interferisca con il mercato. Creare una copia di backup ad uso
privato di un programma rappresenta un esempio di fair use.
Il download è un’operazione che impatta fortemente sul diritto
d’autore.
 Scaricare materiale protetto, è un illecito di rilevanza civile
ma non penale è punito con una sanzione pecuniaria.
 Condividere materiale protetto al fine per trarne profitto, è
un reato di rilevanza penale.
 Condividere materiale protetto a fini di lucro, è un grave
reato di rilevanza penale.
Il download di software è tutelato in base al tipo di licenza
sottoscritta:
 Shareware: software proprietario fornito sia di versione
provvisoria che full (vendita con riserva di gradimento).
 Trial version: software proprietario fornito solo di versione
provvisoria, gli utenti con i loro feedback aiutano a
completare il prodotto.
 Open source software non proprietario con libertà di
fruizione e modifica del codice sorgente. Libera fruizione
 Copyleft: software open source reso proprietario, un
esempio sono le licenze GPL.
 Freeware: software proprietario fornito gratuitamente, con
funzionalità bloccate, per perseguire obiettivi di marketing.
  Creative commons: l’autore cede i propri diritti patrimoniali.
Si applica generalmente a contenuti digitali condivisi in rete.
Tutela dei siti web
Un sito web è riconducibile all’opera dell’ingegno, è tutelato sia il
codice sorgente che il layout grafico. L’utilizzo di materiale altrui è
illegittimo se non autorizzato dall’autore. All’atto di creazione di
un sito web nasce il diritto d’autore. La proprietà intellettuale del
sito web afferisce al committente del sito web oppure alla web
agency sulla base del contratto sottoscritto.
Violazioni comuni:
 Copia parziale o totale del codice di un sito web.
 Abuso sul look and feel: imitazione di colori, caratteri ed
espedienti originali da un altro sito web.
 Riproduzione del sito su un altro supporto: copia offline di
un sito web su un cd.
 Deep-linking: pubblicare sul proprio sito web un link
ingannevoli ad una pagina interna di un altro sito, non
sempre è un illecito.
 Framing: inserire nel proprio sito web finestre con contenuti
provenienti da altri siti web. Spesso usato su siti di e-
commerce.
 Metatag: inserire all’interno del sito web tag per aumentare
il ranking del sito in un motore di ricerca.
Testo in formato digitale: Qualsiasi testo in formato digitale è
tutelato dalla lege sul diritto d’autore. Anche il testo scambiato
via e-mail è tutelato. La copia pedissequa è punibile con il reato di
plagio. Qualsiasi materiale pubblicato su un social network deve
essere prodotto dell’ingegno oppure senza diritti d’autori. Un
disclaimer, è consigliabile, ma superfluo perché il diritto esiste
anche senza di esso. Sono liberamente utilizzabili riassunti,
citazioni, riproduzione, discorsi politici, senza collidere con i diritti
patrimoniali dell’autore.
Fotografie: intese come opere dell’ingegno, il diritto d’autore
nasce all’atto della creazione dell’immagine stessa ed è tutelata
fino a 70 anni dopo la morte dell’autore (diritto d’autore) oppure
fino a 20 anni dopo la morte dell’autore (diritto connesso
d’autore).
 Opere fotografiche: scattate con mezzi e creatività non
comuni, possono essere utilizzate per il solo utilizzo
personale.
 Semplici fotografie: prive di pregi. Tutelate dal diritto
connesso d’autore se anonime, dal diritto d’autore se
riportano nome, data …
Su siti web: Si possono pubblicare foto solo se il soggetto è un
personaggio pubblico in un luogo pubblico, se si hanno i permessi
oppure se i diritti sono scaduti.
File sharing: l’attività di file sharing consisteste nella condivisione
di materiale su un sito web. Il fatto stesso non implica
direttamente un reato, dipende dalla natura del materiale che si
condivide (materiale pedopornografico, protetto da diritto
d’autore …).
Il primo sito di file sharing fu Napster, sito web sul quale si
scambiavano brani musicali in mp3 protetti da diritti d’autori.
In seguito nacquero numerosi programmi di p2p, sulla scia di
Napster. Questi siti sono gestiti tramite un sistema non
centralizzato, con utenti distribuiti in tutto il mondo che si
scambiano files. Inizialmente era possibile chiudere questi siti
puoi il tutto era gestito da un server centrale, adesso invece è
impossibile rintracciare ogni utente online. Tutti utenti che
effettuano l’attività di file sharing sono rei nella stessa maniera.
Regolamento UE n.679/2016
Il nuovo regolamento UE ha come oggetto il trattamento dati
personali. Entrato in vigore il 24 maggio 2016, sarà applicabile dal
25 maggio 2018. Abroga la storica direttiva europea del 1995 in
materia privacy. Un regolamento europeo viene recepito subito
da tutti gli Stati membri i quali devono adeguarsi alle nuove
regole. Ha come obiettivi:
 maggiori garanzie per gli interessati, normativa europea
uniformata per garantire maggiore protezione dei dati
personali dei cittadini europei, far valere i propri diritti e per
incentivare la creazione di un mercato unico digitale
europeo.
 alleggerire le imprese dai vari oneri burocratici aumentando
la fiducia dei consumatori.
 adeguare tutte le organizzazioni, pubbliche e private, ai nuovi
sviluppi tecnologici (cloud computing, database, …)
conciliando le necessità ma garantendo la privacy dei
consumatori.
Dato personale: qualsiasi informazione riconducibile ad una
persona fisica in maniera diretta (nome, cognome) o indiretta
(numero telefonico).
Dato sensibile: dato personale che rivela l’origine raziale o etnica,
l’orientamento politico, filosofico e religioso, l’adesione a partiti, i
dati sanitari e sulla vita sessuale.
 Dato semi-sensibile: dato personale che presenta dei rischi
specifici (dati di geolocalizzazione, bancari e biometrici).
 Dato sensibilissimo: dato personale che necessita del
massimo livello di sicurezza (dati genetici).
Dato giuridico: dato personale che rivela la qualità di imputato o
indagato oppure l’esistenza di provvedimenti giudiziari nei
confronti del soggetto.
Privacy: termine introdotto in ambito statunitense dagli avvocati
Warren e Brandeis, che teorizzarono il significato giuridico di
privacy, come right to be let alone.
In Italia il diritto alla privacy è un diritto costituzionalmente
radicato (diritto alla riservatezza, diritto alla protezione dei dati
personali).
Trattamento dati personali: insieme di operazioni aventi per
oggetto i dati personali. Comprende:
 raccolta, registrazione e organizzazione di dati personali.
 selezione, utilizzo e trasmissione di dati personali.
 blocco, cancellazione e distruzione di dati personali.
 comunicazione (conosco i destinatari) e diffusione (a più
soggetti terzi, altissimo impatto privacy, perseguibile
penalmente) di dati personali.
Esistono dei trattamenti non pericolosi che non comportano
comunicazione o diffusione (per uso personale) ma sono
comunque necessarie misure di sicurezza.
Interessato: persona a cui si riferiscono i dati personali.
Titolare: persona fisica o giuridica che afferisce al trattamento
dati, ha il ruolo di prendere decisioni sugli scopi, sulle modalità e
sulle misure di sicurezza del trattamento dati. Può designare un
responsabile e incaricato, ma è sempre lui a rispondere in prima
persona nel caso di illeciti.
Responsabile: persona fisica o giuridica a cui il titolare può
affidare mansioni di responsabilità.
Incaricato: persona fisiche designata dal titolare che mette in atto
le direttive del titolare o del responsabile.
Data Protection Officer (DPO): responsabile della protezione dei
dati, figura professionale che affianca, informa e consiglia il
titolare sulle normative del Regolamento e sorveglia l’effettiva
attuazione delle misure tecniche e normative in materia
protezione dati personali.
Il nuovo regolamento europeo introduce:
 Diritto alla portabilità dei dati: garanzie rigorose per il
trasferimento di dati personali da un fornitore ad un altro.
 Diritto all’oblio: diritto degli interessati di richiedere la
cancellazione dei propri dati personali. Sarà possibile
esercitare il diritto all’oblio se i dati personali non sono
trattati sulla base del consenso, se non sono più necessari allo
scopo per cui sono stati raccolti oppure se sono trattati
illecitamente. Il titolare è obbligato ad accogliere la richiesta
di cancellazione dei dati solo se la rimozione di questi non
collida con altri diritti (diritto alla libertà di espressione e di
informazione).
 Data breach: diritto degli interessati di essere informati in
caso di violazioni dei propri dati personali. Il titolare è
obbligato a proteggere i dati personali, ad informare gli
interessati e le autorità e a proporre soluzioni a limitare i
danni.
 Armonizzazione normativa: rendere uniformi ed efficaci le
regole in tutti gli Stati membri.
 One stop shop: sportello unico per semplificare ed
uniformare la gestione dei trattamenti delle imprese che
offrono servizi al UE.
 Privacy by design: introduzione della privacy sin dalla
progettazione di un trattamento, di sistema software o
hardware.
 Privacy by default: impostazione predefinita del massimo
livello di privacy, in seguito l’utente potrà modificare queste
impostazioni.
 Sicurezza del trattamento: il titolare del trattamento è
tenuto a garantire un livello di protezione in base i rischi,
valutando i costi di attuazione e la gravità dei diritti esposti
delle persone fisiche.
 Oneri proporzionali: approccio basato sull’effettivo rischio.
 Accountability: i dati devono essere trattati con un livello di
sicurezza pari rischio e all’aspetto economico.
  Introduzione della figura del DPO: nuova figura
professionale, obbligatoria per enti pubblici che svolgo come
attività principale trattamento dati personali. Affianca,
consiglia e controlla il titolare e l’eventuale responsabile.
 Inasprimento delle sanzioni e potenziamento delle Autorità
Garanti nazionali: le sanzioni amministrative fino a 10 milioni
di euro.
Garante per la protezione dei dati personali
Il Garante è un Authority, una figura super-partes che opera in
piena autonomia e indipendenza di giudizio e di valutazione. È
formato da quattro membri, due eletti dalla Camere e due dal
Senato, che a loro volta eleggono un Presidente (attualmente
Antonello Soru).
Il Garante svolge le funzioni di controllo, consultazione e
assistenza:
 Controlla in prima persona oppure collaborare con altri
organi di Stato che i trattamenti siano effettuati in rispetto
alle normative vigenti.
 Esamina tutti i reclami, le segnalazioni e i ricorsi presentati
dagli interessati ed esprime pareri nei casi di sua
competenza.
 Interloquisce con il Parlamento, propone interventi normativi
e presenta ogni anno una relazione sull’attività svolta e sullo
stato d’arte.
 Tiene un registro di trattamenti sulla base di notificazioni e
può richiedere l’accesso a documenti o database per
effettuare controlli.
 Nell’allegato B, detto disciplinare tecnico, delinea le misure
minime di sicurezza che il titolare, il responsabile e
l’incaricato devono attuare durante l’attività di trattamento e
fornisce linee guida nella nomina di un amministratore di
sistema.
Il soggetto interessato, per far valere i propri diritti, previsti dal
art. 7 del Codice Privacy, può rivolgersi al Garante presentando:
 Una segnalazione: si può inviare al Garante una segnalazione
anonima se non è possibile presentare un reclamo
circostanziato (es. non si dispone di prove sufficienti) oppure
non è possibile proporlo. Si sollecita un’ispezione da parte del
Garante senza precisare la normativa violata.
 Un reclamo circostanziato: si può inviare al Garante un
reclamo circostanziato solo fornendo prove e specificando le
normative che si ritengono violate. Il Garante è tenuto ad
accertare la fondatezza del reclamo con ulteriori indagini. È
l’esito delle indagini è positivo il Garante applica
provvedimenti per risolvere la situazione.
 Un ricorso: si può inviare al Garante un ricorso, un atto
formale e impegnativo, solo dopo aver avviato un interpello
preventivo, una richiesta di conciliazione bonaria. Se ci si
rivolge al Garante non si può adire il Tribunale.

Amministratore di sistema
In sede legislativa non si trovano normative specifiche
sull’amministratore di sistema, quindi si fa riferimento alle
prescrizioni dell’Autority Garante sugli adempimenti del titolare
nella nomina di un amministratore di sistema. Eventuali violazioni
implicano pesanti sanzioni amministrative.
L’amministratore di sistema è una figura professionale di
responsabilità e garanzia che svolge importanti mansioni tecniche
e manutentive su un sistema software. Nello specifico, un
amministratore di sistema svolge le attività di:
 Gestione dei database e supervisione di molte fasi del
trattamento dati personali.
 Gestione e custodia delle credenziali d’autenticazione,
d’autorizzazione e d’accesso ad un sistema software.
  Gestione delle connessioni di rete e meccanismi di protezione
dei dati personali.
 Gestione dell’hardware, dei supporti di memorizzazione
eseguendo il backup e recovery dei dati personali.
Non rientrano in questa definizione coloro che intervengono
occasionalmente sul sistema (es. attività di manutenzione
occasionale).
La criticità della posizione di amministratore di sistema è
rappresentata dall’elevato numero di mansioni che implicano la
manipolazione di dati personali. Il legislatore ha individuato alcuni
reati che, se commessi da un amministratore di sistema,
integrano una circostanza aggravata.
Gli estremi identificativi e le funzioni dell’amministratore di
sistema devono essere riportati in un documento liberamente
accessibile da parte del Garante, il quale effettua operazioni di
verifica periodica, con cadenza annuale, sull’amministratore di
sistema.

Spamming e data retention

Lo spamming è quella pratica di invio di grossi quantitativi di e-
mail non richieste a carattere commerciale o pubblicitario. Nel
2003, il Garante ha introdotto un provvedimento generale
indicando lo spamming penalmente rilevante se:
 si configura come attività sistematica, effettuata a fini di
profitto o per arrecare altrui danno.
 l’interessato non è stato preventivamente informato e non
ha manifestato il suo consenso. Eccezione: l’indirizzo di posta
è fornito contestualmente all’acquisto di un prodotto o
servizio. L’interessato deve essere informato e può opporsi in
qualsiasi momento all’invio di comunicazioni relative a
prodotti e servizi.
  il mittente camuffa o cela la propria identità, infatti lo
spammer utilizza meccanismi per anonimizzare l’invio di
posta.
 lo spammer effettua trattamento illecito di dati personali, gli
indirizzi trafugati in rete o acquistati da terzi non posso
essere utilizzati.
Lo spammer viola il diritto alla riservatezza, inoltre sono necessari
costi ulteriori e spreco di tempo per lo scaricamento e
l’eliminazione della posta indesiderata.
Il Legislatore dovendo scegliere tra Opt-in e Opt-out ha preferito
la terza strada del dissenso preventivo:
 Opt-in: si basa sul principio della necessaria e preventiva
acquisizione del consenso prima dell’invio di comunicazioni
pubblicitarie.
 Opt-out: consiste nella possibilità di inviare messaggi
all’interessato finché l’interessato non manifesta il proprio
dissenso a posteriori.
Registro nazionale: i cittadini americani possono iscriversi al
registro per evitare comunicazioni, telefoniche o via Internet, a
scopi di marketing.
Registro pubblico delle opposizioni: i cittadini italiani possono
iscriversi al registro per evitare comunicazioni (solo telefoniche) a
scopi di marketing.
La Direttiva 2006/24/CE, in seguito agli attentati di Madrid e
Londra e New York, garantiva la fruibilità dei dati per fini di
indagini circa reati gravi. Nel 2014, la Corte di Giustizia
dell’Unione Europea ha invalidato la Direttiva precedente per
favoreggiare la privacy dei cittadini.
I dati relativi alle comunicazioni telefoniche sono conservati dal
fornitore fino a 24 mesi mentre quelli relativi al traffico telematico
fino a 12 mesi. Sono esclusi i contenuti delle comunicazioni.
L’autorità giudiziaria può richiedere il congelamento dei dati per
ulteriori 6 mesi per ragioni urgenti.
Privacy nel web
La profilazione è un’attività di ricostruzione del quadro completo
della vita di una persona basata sui database incrociati.
Il termine ”dataveglianza” è un neologismo che indica la
possibilità di profilare e sorvegliare le persone tramite i dati
lasciati sui social network.
Gli utenti dei social network devono limitare l’immissione di dati
personali e le impostazioni sulla privacy ed usare nickname diversi
per ogni social.
Il fornitore dei social network deve fornire privacy by default e
privacy by design, informare preventivamente sulle conseguenze
derivate dall’immissione di dati personali sul proprio profilo e
garantire che i dati non vengano indicizzati nei motori di ricerca
senza previo consenso.
Google: registra tutte le informazioni relative alle ricerche (parole
chiave e link aperti) anonimizzandoli in accordo con la normativa
vigente.
I fattori di rischio riguardo i dati immessi su un social network
sono molteplici. I dati immessi sono indelebili, filtrano attraverso i
motori di ricerca, coloro che li conservano e li trattano non li
controllano.

Cookies: file di testo generati da alcuni siti web sul computer

dell’utente per registrare alcune informazioni sulla navigazione.
 Cookies tecnici: Tengono traccia delle impostazioni del sito e
di connessione con il server. È obbligatoria informativa.
 Cookies profilativi: Tengono traccia degli interessi dell’utente
(behavioural advertising). È obbligatoria informativa e
consenso.
  Cookies analitico di terze parti: È obbligatoria l’informativa e
il consenso se incociano dati, altrimenti è obbligatoria solo
l’informativa.
Tutela dei social network, blog e forum dedicati alla salute: in
base alle Linee Guida del Garante, i gestori di questo sito devono
necessariamente inserire banner di avvertimento sui rischi
derivati dalla pubblicazione dei dati sanitari degli utenti.
Introduzione informatico-giuridica alla sicurezza
Un sistema informatico è definito sicuro se e solo se soddisfa le
proprietà:
 Confidenzialità: capacità del sistema di garantire
l’accesso ai dati dei soggetti autorizzati e impedire ogni
accesso improprio.
 Integrità: è una caratteristica dei dati. Capacità del
sistema di ridurre al minimo il rischio di operazioni non
consentite sui dati.
 Disponibilità: capacità del sistema di garantire l’accesso
ai soggetti autorizzati ed evitare accessi non autorizzati.
 Autenticazione: meccanismo, fornito dal sistema, per
identificare in maniera univoca un soggetto autorizzato
all’accesso.
o Autenticazione debole: utilizzo una password o un
codice di accesso. Gli utenti gestiscono male le
password.
o Autenticazione forte: utilizzo di hardware atto al
riconoscimento di dati biometrici o dati conosciuti
solo dall’utente.
 Non-ripudiabilità: capacità del sistema di individuare in
maniera certa l’autore di un operazioni effettuata.
 Tracciabilità: capacità di un sistema di tenere traccia e
ricostruire l’autore di una operazione effettuata.
Vulnerabilità di sistema: errori commessi in fase di
configurazione o di utilizzo improprio del sistemi software.
Vulnerabilità di rete: rischi derivati dalla connessione ad Internet
e superamento dei sistemi di sicurezza.
Biometria
Biometria è una branca della biologia che si occupa dello studio
statistico dei dati rilevati sugli esseri viventi (es. esami del sangue
e DNA).
L’identificazione biometrica, in ambito informatico, è il miglior
strumento per identificare un individuo mediante scansione di
parti del corpo. Le tecniche più diffuse sono riconoscimento
vocale, geometria della mano e impronte digitali, tratti somatici,
iride, retina e dinamica della firma.
Tra le due scuole di pensiero di Stefano Rodotà e di Lucio Stanca
furono le tesi del secondo ebbe la meglio:
 Stefano Rodotà: si deve ricorrere alla biometria solo se è
indispensabile identificare un soggetto.
 Lucio Stanca: la biometria è essenziale per garantire ai
cittadini fiducia, sicurezza e privacy e sui servizi offerti.
Nel 2005, il CNIPA ha proposto le “linee guida per le tecnologie
biometriche nelle pubbliche amministrazioni”.
I Vertici mondiali del 2003 e 2005 hanno rafforzato la sicurezza
informatica con l’implementazione di autentificazione tramite
dati biometrici.
Il riferimento normativo è individuato dal Codice Privacy:
 Art. 55: il trattamento di dati che implica maggiori rischi
specifici (dati biometrici, bancari e di geolocalizzazione) deve
essere lecito.
 Il rilevamento di dati biometrici deve essere conforme ai
principi di:
o Liceità: il trattamento deve essere conforme alla
normativa. Necessità: il sistema deve essere configurato
 per raccogliere solo i dati necessari, non ulteriori.
Proporzionalità: ogni fase del rilevamento è controllata.
Finalità: i dati rilevati devo essere utilizzati solo per
autentificare e non per profilare i soggetti.
o costanti nel tempo (invariabilità), rilevati in tempi brevi
(misurabilità), univocità e certezza del riconoscimento
(singolarità e affidabilità), non compromette lo stato di
salute del soggetto (accettabilità).
Identificazione biometrica di base: i dati rilevati non vengono
confrontati con dati precedentemente immagazzinati, (no
rilevazione univoca).
Identificazione biometrica ad alta sicurezza: i dati rilevati
vengono confrontati con dati precedentemente immagazzinati in
un database.
I dati biometrici non possono essere utilizzati per registrare le
presenze dei lavoratori in un azienda. È un trattamento illecito
perché collide con il diritto alla privacy.
Provvedimento e Linee Guida del Garante: il Garante ha
approvato misure di sicurezza nell’utilizzo dei dati biometrici per
l’autenticazione informatica degli utenti e per la sottoscrizione di
documenti informatici.
 sono necessarie tecniche crittografiche per proteggere i dati
biometrici per ridurre il rischio di smarrimento o furo di essi.
 gli interessati consenzienti potranno sottoscrivere documenti
informatici tramite meccanismi di firma elettronica basata su
dati biometrici, ma dovranno persistere sistemi alternativi
(cartacei) di sottoscrizione.
 tecniche di accesso biometrico potranno essere utilizzate per
l’accesso ad aree fisiche pubbliche o private.
Videosorveglianza
Il Garante ha emanato delle Linee Guida per garantire che
l’installazione e il funzionamento delle telecamere non collida con
il diritto alla privacy.
 Liceità: il trattamento deve essere conforme alla normativa.
Necessità: il sistema deve essere configurato per raccogliere
solo i dati necessari, non ulteriori. Proporzionalità: ogni fase
del rilevamento è controllata. Finalità: i dati rilevati devo
essere utilizzati per questioni di pubblica sicurezza e non per
profilare utenti per fini di marketing.
Interferenze illecite nella vita privata: chiunque si procura
immagini inerenti alla vita privata è punito con la reclusione e
passibile di querela.
Informativa: le aree videosorvegliate, anche quelle collegate a
forze di polizia, devono essere segnalate, anche in caso di attività
notturna. Non è obbligatoria l’informativa se le telecamere sono
installate per finalità di pubblica sicurezza.
Conservazione: le immagini registrate possono essere conservate
fino a 24 ore e, per attività più rischiose (es. banche) fino ad una
settimana.
Cloud computing e privacy
Per Cloud Computing si intendono una serie di prodotti e servizi
fruibili tramite connessione a Internet. Le diffusione del cloud
computing è notevole ma, a causa della dislocazione del
fenomeno, non è ancora stata elaborata una normativa a livello
europeo o mondiale. Infatti, i servizi cloud non sono limitati dai
confini statali e si perde il controllo gestionale dei dati, a causa
della dislocazione dei dati.
I dati, memorizzati nelle Server Farms, risiedono in Stati diversi da
quelli dell’utente e, in caso di illecito, è difficile individuare il
colpevole.
Il titolare dell’trattamento è il cliente cloud, il quale può
nominare un responsabile, il fornitore del servizio cloud.
Smartphone e tablet
I moderni dispositivi raccolgono e memorizzano numerosi dati per
fornire all’utente funzionalità smart, ma questi dati sono
trasmessi anche ai server delle società che offrono i servizi per
questi dispositivi. Le app possono accedere a tutti i dati
dell’utente e, alcune utilizzano i vari sensori del dispositivo per
localizzare e profilare l’utente. Le misure attutate per tutelare la
privacy degli utenti sono esigue ed eterogenee.
Il Garante ha sollecitato i produttori di sistemi operativi mobile a
maggiori controlli sulle applicazioni distribuite sulle piattaforme di
vendita e una migliore informativa sul rischio derivato dal
trattamento di dati personali. Gli sviluppatori delle app sono
obbligati ad utilizzare privacy by design e by default, chiedere il
consenso all’utente prima di trattare i dati, proteggere i dati
raccolti e cancellarli se non più necessari.
Informatica e Pubblica Amministrazione
 D.Lgs. 39/1993 - AIPA (Autorità per l’Informatica nella PA):
informatizzazione delle PA fornendo tutte le procedure in
modalità infotelematica.
 D.Lgs. 196/2003 - CNIPA (Centro Nazionale per l’Informatica
nella PA): l’AIPA diventa CNIPA con obiettivo di
informatizzare gli uffici governativi.
 D.Lgs. 177/2009 - DigitPA: il CNIPA assume la denominazione
di DigitPA, con poteri maggiori e obiettivi più avanzati.
 D.Lgs. 134/2012 - AgID (Agenzia per l’Italia Digitale): ha il
compito di conseguire tutti gli obiettivi fissati nell’Agenda
Digitale Italiana.
o Agenda Digitale Italiana: obiettivi di modernizzazione e
digitalizzazione dei rapporti tra cittadino e PA. Si basa
sull’agenda europea.
Nel 2006 è entrato in vigore il CAD (Codice dell’Amministrazione
Digitale) un corpo unico di disposizioni sulle tecnologie
infotelematiche nelle PA.
 Federalismo efficiente: creazione di un sistema
decentralizzato ma connesso tramite SPC (Sistema Pubblico
di Connettività), una rete sicura per lo scambio di dati
attraverso la PA centrale e le PA regionale e locali.
 Comunicazione tra PA e imprese tramite protocolli
informatici: snellimento e maggiore sicurezza nelle
comunicazioni ufficiali.
 Domicilio digitale e SPID: Ogni cittadino avrà uno SPID per
accedere ai servizi pubblici e comunicherà tramite il proprio
indirizzo digitale.
Documento informatico: rappresentazione informatica
dematerializzata di atti o dati giuridicamente rilevanti (riduzione
dei documenti cartacei già esistenti e di nuovi documenti
cartacei). È idoneo se soddisfa il requisito della forma scritta e può
essere sottoscritto tramite firma elettronica (il suo valore
probatorio può essere dibattuto in giudizio) oppure digitale (firma
elettronica avanzate basata su un certificato non scaduto e su un
sistema di chiavi crittografiche. Si riferisce univocamente ad un
soggetto sostituendo sigilli e timbri di autenticità. Si basa sui
principi di integrità, autenticità e non ripudiabilità della
dichiarazione al certificatore di firma digitale).
PEC: e-mail che garantisce data e orario di spedizione e
ricevimento, può essere usata come prova legale opponibile a
terzi.
Privacy e trasparenza in ambito pubblico-amministrativo
Nel 2014, Il Garante ha emanato le Linee Guida sui dati e
documenti che le PA possono pubblicare online.
 Pubblicazione di soli dati esatti, aggiornati e contestualizzati.
  I soggetti pubblici possono pubblicare dati solo se ammesso
da una apposita disposizione di legge, se assente è vietata
anche solo la pubblicazione di un’anagrafica (es. nome e
cognome).
o Per i dati personali comuni fa fede il principio di
pertinenza e non eccedenza.
o Per i dati sensibili e giudiziari fa fede il principio di
indispensabilità.
o È sempre vietata la pubblicazione di dati sessuali e di
salute (salvo anonimizzazione del documento
contenente questi dati).
 Principio di riservatezza: espressione dei diritti e delle libertà
inviolabili dell’essere umano.
 Valori di trasparenza, imparzialità e buon andamento della
PA: valori importantissimi che la PA deve avere perseguire.
Amministrazione trasparente: la PA deve bilanciare tra
riservatezza dei soggetti interessati e trasparenza, imparzialità e
buon andamento. Inoltre, occorre garantire all’interessate un
controllo sui dati che lo riguardano.
D.Lgs. 97/2016 – FOIA (Freedom Of Information Act): Normativa
sula libertà di informazione e sul libero accesso alle informazioni
pubbliche.
 Tutti i cittadini possono richiedere l’accesso agli atti e ai
documenti della PA senza una specifica motivazione.
 L’accesso a dati molto sensibili, tra cui quelli sanitari e
sessuali, è concesso solo in ambito giuridico secondo il
principio di pari rango, solo se le motivazioni dell’richiedente
hanno valenza pari o superiore rispetto all’interessato.