SlideShare uma empresa Scribd logo

amministratori di sistema - alovisio

Marco Baldassari
Marco Baldassari

relazioni del convegno gratuito "I sistemi Informativi sanitari, tra agenda digitale, cloud e sicurezza"svoltosi a Torino il 22 febbraio 2013 e organizzato dalle associazioni senza finalità di lucro: Privacy Information Healthcare Manager e Centro Studi di informatica Giuridica di Ivrea-Torino in particolare gli interventi sul cloud, sulla dematerializzazione dei documenti; sulle novità del regolamento europeo in materia di privacy e sugli ads.

Tecnologia
1 de 50
Convegno “La sicurezza del sistema informativo: il ruolo e la responsabilità dell’amministratore di sistema avv. Mauro Alovisio Fellow Nexa, socio APIHM Torino, 22 febbraio 2013
Agenda - assenza di una definizione normativa di sistema informativo e di amministratore di sistema - ads pietra angolare del sistema informativo -aspetti positivi e limiti del provvedimento generale in materia di ads del Garante Privacy del 24 novembre 2008 - misure organizzative; misure tecniche misure giuridiche - impatto su aziende e casi concreti di ispezioni ( piano ispezioni 2013 focus sul fascicolo sanitario 2013) -le responsabilità e sanzioni
Sistema Informativo e Ads attori del sistema informativo: -figure di processo -figure applicative -figure incaricate dell’amministrazione di sistema (ads) -ads ruolo cardine: nella gestione della posta elettronica ed internet; policy di continuità operativa e disaster recovery; responsabilità della conservazione sostitutiva -la reintroduzione della figura dell’ads nel nostro ordinamento ha determinato un raccordo sinergico tra il Sistema 231 (sulla responsabilità delle persone giuridiche) ed il Sistema di Gestione Privacy” modello organizzativo
Ads e provvedimenti del Garante - L’Ads non è previsto in modo espresso nel Codice della privacy (D.Lgs 196 del 2003) - viene citato nel provvedimento generale del Garante sulla posta elettronica ed internet del 1 marzo 2007 - viene introdotto nel Provvedimento del Garante per la Protezione dei dati del 27 novembre 2008 ad oggetto: “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” - provvedimento a lunga gestazione: consultazione pubblica successiva ad emanazione e successiva pubblicazione delle faq sul sito del Garante Privacy
Ads e posta elettronica -Provvedimento: linee guida del Garante privacy per posta elettronica ed internet del 1 marzo 2007 “Resta parimenti ferma la necessità che, nell'individuare regole di condotta dei soggetti che operano quali amministratori di sistema o figure analoghe cui siano rimesse operazioni connesse al regolare funzionamento dei sistemi, sia svolta un'attività formativa sui profili tecnico-gestionali e di sicurezza delle reti, sui principi di protezione dei dati personali e sul segreto nelle comunicazioni (cfr. Allegato B) al Codice, regola n. 19.6; Parere n. 8/2001 cit., punto 9)
Ads e Continuità operativa DigitPa, Le nuove Linee Guida per il Disaster Recovery e il percorso di attuazione dell’articolo “Continuità operativa” del CAD», 2011 dovere di piena conformità obblighi normativa privacy e provvedimenti del Garante con particolare attenzione .. all’individuazione degli amministratori di sistema , prevedendo anche le necessarie attività di verifica e di controllo e richiamo del provv. del Garante 2008 (p. 64) - previsione di inserimento clausole nei fornitori su obbligo di riservatezza e gli obblighi del fornitore di improntare il proprio operato a quanto previsto dal codice privacy e al provvedimento su ads del 2008 ( p.74)
Continuità operativa ed egoverment Art. 51 bis del Cad La continuità operativa è l’insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un’organizzazione o parte di essa, garantendo la continuità delle attività in generale aspetto cardine dell’e-goverment per il profilo della disponibilità dei servizi in rete - obbligo di adozione del piano di continuità operativa entro il 25.01. 2011 (previo studio di fattibilità) verifica biennale della funzionalità del piano -obbligo di adozione del piano di disaster recovery: aggiornamento annuale
Chi sono gli amministratori di sistema? Definizione contenuta nel provvedimento del Garante del 2008 -figure professionali individuate nell’ambito informatico, finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. ma anche altre figure professionali equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi non è una sola figura ma un complesso di figure interne ed esterne
L’amministratore di sistema per il Garante Il provvedimento offre una lettura sistemica dell’art. 34 del Codice privacy che prescrive fra le misure minime organizzative di aggiornare periodicamente l’ambito del trattamento degli “addetti alla gestione e manutenzione degli strumenti elettronici” (allegato B punto 15) L’ amministratore è un particolare operatore di sistema, dotato di specifici privilegi amministrativi, specifiche autorizzazioni (rischi di applicazione norme penali) i compiti dell’amministratore di sistema sono pertanto in realtà descritti dal disciplinare tecnico (allegato B al codice)
Perché sono importante gli AdS? nell’ ICT è un elemento essenziale della sicurezza : all’amministratore di sistema vengono consegnate le chiavi del sistema informatico custode dei segreti dell’azienda - ha capacità di azione su tutti i dati (sistema informativo, mail;internet; immagini) anche qualora non consulti in chiaro le informazioni svolge i compiti previsti dall’allegato B del codice privacy custodia delle componenti riservate delle credenziali di autenticazione e di autorizzazione ; operazioni di back up ; manutenzione hardware il provvedimento del 2008 si applica ad enti pubblici e privati, sono esenti i titolari di dati che effettuano trattamenti per finalità contabili e amministrative
Non tutti sono ads! -non rientrano nella definizione di ADS i soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software secondo il Garante per la protezione dei dati personali - limitazione importante dell’ambito di applicazione del provvedimento del Garante (FAQ n. 1)
Pregi dell’intervento del Garante -Il Garante ha dato risalto all’ amministratore di sistema come figura chiave nella gestione dei processi e per responsabilizzare sia le imprese sia tali figure -problema culturale emerso anche nelle ispezioni di carente consapevolezza delle criticità insite nello svolgimento delle mansioni di Ads sottovalutazione dei rischi -previsione di "due diligence" si intende un’attività di analisi e verifica volta al raggiungimento di un parere di conformità; adozione di accorgimenti e misure, tecniche e organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare
Limiti dell’intervento del Garante - provvedimento dal forte impatto ma di difficile attuazione con oneri e costi a carico delle imprese e delle pa e senza una gradualità di applicazione commisurata alla complessità del sistema informatico e alla tipologia di dati - il provvedimento del Garante presenta alcune lacune es.non ha approfondito i servizi informatici esternalizzati (in particolare i fornitori all’estero) osservazione: sarebbe stato meglio adottare il provvedimento generale dopo la consultazione on line; pubblicare i contributi inviati e non solo le faq
Misure organizzative, tecniche e giuridiche -Designazioni individuali degli ads previa valutazione delle caratteristiche soggettive - Tenuta di elenco degli amministratori di sistema - Registrazione degli accessi -Verifica annuale delle attività
La designazione dell’ads (a) Le designazioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di: esperienza, capacità e affidabilità del soggetto designato, idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza FAQ 20: requisiti di qualità tecniche, professionali e di condotta non i requisiti morali Affidabilità: il rispetto dei doveri di diligenza ex 2104 c.c.
La designazione di Ads (b) -La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato ( p.4.2; faq 7-8 descrizione puntuale con i compiti analiticamente specificati art. 29 c.IV) massima attenzione nella descrizione delle attività (profili giuslavoristici) La designazione è effettuata dal titolare o dal responsabile per iscritto
AdS: incaricato o responsabile dei dati -AdS può essere un responsabile o un incaricato se incaricato , il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29 del codice; nb. il titolare anche quando delega rimane sempre responsabile
Titolare e Ads? -il titolare anche quando delega rimane sempre responsabile Il titolare deve potere provare: a) la corretta organizzazione e gestione del proprio sistema informativo (due diligence) b) di avere esercitato il controllo
Responsabilità ads -la responsabilità degli enti giuridici si trasmette agli amministratori qualora gli stessi non abbiano adempiuto diligentemente ai loro doveri gli amministratori sono esonerati se dimostrano di essere esenti da colpa (negligenza-imprudenza-imperizia) -nel caso in cui siano a conoscenza dell’evento all’operazione potenzialmente dannoso devono comunicare il proprio dissenso all’operazione
Elenco degli amministratori di sistema Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno: da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante privacy L’elenco doveva in precedenza essere contenuto negli allegati del Documento Programmatico per la sicurezza (DPS), misura minima abrogata dalla legge 4 aprile 2012, n. 35
Trasparenza interna Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti -attraverso informativa -disciplinare tecnico posta elettronica ed internet (v linee guida del Garante del 1 marzo 2007) -strumenti di comunicazione interna (intranet., ordini di servizio) (v. faq 2). v. caso Poligrafico 21 luglio 2011
Ads e outsourcing (b) -servizi informatici: contratto di outsourcing per il Garante il provvedimento si applica solo ai titolari dei dati e non al responsabile (faq 23): esempio società italiana che lavora per conto di una società estera; secondo il Garante sussiste solo obbligo di comunicazione dell’ elenco degli amministratori di sistema. consiglio: inserire clausole contrattuali per salvaguardare l’azienda nel caso di danni a terzi per trattamenti di dati personali
Le registrazioni degli accessi (a) -qual è la finalità della registrazione dei file di log? La raccolta dei file di log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso ..) Si osservi inoltre come la conservazione dei file di log possa essere ricompresa tra i criteri di valutazione dell’operato degli amministratore di sistema
Le registrazione degli accessi (b) -Gli eventi da registrare sono solo le autenticazioni informatiche la registrazione di login e log-out non è richiesta la registrazione di log di attività interattive , comandi impartiti, transazioni (FAQ 15, non si tratta di audit log) le caratteristiche del log adeguate al contesto sulla base di valutazioni del titolare: (vedi strumenti del sistema operativo) access log caratteristiche di completezza, inalterabilità, integrità (p.4.5; faq 11) le registrazioni devono essere conservate per un periodo non inferiore ai sei mesi
Sistemi di registrazione -Quali informazioni sono da registrare? Qualora il sistema di log adottato generi una raccolta dati più ampia, comunque non in contrasto con le disposizioni del codice e con i principi della protezione dei dati personali il requisito del provvedimento è certamente soddisfatto. Comunque è sempre possibile effettuare un’estrazione o un filtraggio dei logfiles al fine di selezionare i soli dati pertinenti agli amministratori di sistema (FAQ 10 e 12) Il Garante non entra nel merito nel valore legale e nella genesi dei log ma si occupa della loro completezza
No software costosi!! - il provvedimento non chiede in alcun modo che vengano registrati dati sull’attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema (FAQ 15) diffidare di software dell’ultimo minuto che propongono soluzioni sproporzionate rispetto ai contenuti del provvedimento sono molto costosi, inutili, e presentano elevati rischi di profili di contrasto con art. 4 dello statuto dei lavoratori.
File log inalterabili: cosa fare? -Cosa deve fare il titolare? Se la funzionalità già disponibili nei più diffusi sistemi operativi permettono il salvataggio dei log di accesso, può non essere necessario l’uso di strumenti software o hardware aggiuntivi. È onere del titolare valutare l’idoneità degli strumenti disponibili oppure l’adozione di strumenti più sofisticati, quali la raccolta dei log centralizzati e l’utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la verifica dell’integrità delle registrazioni (FAQ 4)
Come salvare i log? Secondo il Garante le caratteristiche di mantenimento dell’integrità dei dati raccolti dai sistemi di log sono in genere disponibili nei più diffusi sistemi operativi, o possono essere agevolmente integrate con apposito software (FAQ 12) come fare? Il requisito dell’inalterabilità può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l’eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili (FAQ 12)
1.Conservazione dei log -Come salvare i log? Il Garante prevede la possibilità ma non l’obbligo, che i titolari possano adottare sistemi più sofisticati, quali i log server centralizzati e “certificati” (FAQ 12) Non sono richiestì i files di log di audit: i files cioè che registrano la generazione di un auditable events, la loro corretta registrazione e manutenzione Il Garante richiede una forma minima di documentazione: attraverso l’uso di un sistema informativo che assicuri la generazione dei file di log degli accessi la loro archiviazione per almeno 6 mesi in condizione di ragionevole sicurezza
2. Conservazione log -Attenzione: si noti come il Garante non richieda un sistema particolare o massificato di data retention né necessariamente l’adozione di soluzioni particolari o di alto livello di garanzia, i sistemi di registrazione sono demandati alla ragionevole e prudente valutazione di parte (FAQ 12)
Ispezione del Garante: software (a) Ispezione Garante presso Istituto Poligrafico verifiche sul software della società di tracciamento degli accessi degli amministratore di sistema al proxy, ai firewall, ai server di posta elettronica e ai sistemi informatici (Voip) (provv. del 21 luglio 2011; poi ricorso impresa) secondo il Garante il software aziendale non è in grado di assicurare la completezza del tracciamento delle attività delle attività di amministratore di sistema (non veniva tracciato l’accesso applicativo ma solo l’accesso sistemico, cioè l’accesso al sistema operativo) non erano tracciati gli accessi tramite interfaccia web
Ispezione del Garante: software (b) il software non assicura la completezza delle registrazioni (access log) dei file di log; non consente di rappresentare fedelmente l’attività e l’operato degli amministratori di sistema e pertanto fornisce un’informazione incompleta al responsabilità ICT. Il Garante ha sottolineato il difetto di coordinamento fra i centri di responsabilità dell’azienda (ICT e business solution; Risorse Umane, responsabile privacy. Ufficio legale) e ha prescritto di adottare, in caso di introduzione e potenziamento di sistemi informativi che possono avere un impatto sulla privacy, misure organizzative, quali forme di coordinamento e cooperazione tra le pertinenti unità organizzative per assicurare un corretto processo decisionale
Verifica dell’attività -L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica (audit) da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti p. 4.4, FAQ 5 e FAQ 14 non si tratta di controllo dell’attività professionale vietata dall’art. 4 dello statuto dei lavoratori –no raccolta di informazioni si pv mansioni e p.v. profilo della sicurezza
Responsabilità ads - responsabilità civile (attività pericolosa) - responsabilità penale - responsabilità amministrativa
Responsabilità per attività pericolosa art 2050 c.c. : Responsabilità per l'esercizio di attività pericolose “ Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno” - inversione onere della prova - prova positiva di avere adottato tutte le misure di prevenzione - casi di giurisprudenza su attività pericolosa attività edilizia, produzione e distribuzione di energia
Codice penale e Ads -Abuso della qualità di operatore di sistema - accesso abusivo a sistema informatico o telematico (art. 615 ter) - frode informatica (art. 640 ter) - danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) - danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques)
Sanzioni Sanzioni amministrative per inosservanza dei provvedimenti emessi dal garante ai sensi dell’art. 154, lett.c ) del codice è applicata la sanzione amministrativa di importo da 30.000 a 180.000 euro (art. 162 comma 2- ter codice privacy ) Inutilizzabilità dei dati (sanzione panprocessalistica) v. prova no utilizzabile
Possibili scenari italici - legge sui professionisti senza’albo legge 4 gennaio 2013, n.4 v. Associazione professionale nell’ottica sia di accreditamento di qualità sul mercato di professionisti sia di tutela del consumatore e di trasparenza; profili formazione e aggiornamento permanente, adozione di un codice di condotta e sanzioni disciplinari, vigilanza sulla condotta professionale, valorizzazione delle competenze, rilascio di attestazioni, collaborazione all’elaborazione della normativa tecnica UNI, promozione di organismi di certificazione - giurisprudenza evolutiva a partire dalla sentenza della Cass. Penale sez. V, del 6 luglio 2007 n. 31135 su intercettazione di ads di posta elettronica
Possibili scenari italici: il danno all’immagine? - Corte dei Conti ha condannato un funzionario dell’Agenzia delle Entrate al risarcimento del danno all’immagine patito dall’ente in relazione alla cessione di dati dei cittadini dallo stesso effettuato per finalità di profitto a terzi soggetti. Il dipendente ha gettato discredito all’ente nel suo complesso. La violazione dei dati personali dei cittadini ha determinato negli stessi una diversa immagine della correttezza istituzionale dell’amministrazione finanziaria con conseguente vulnus della fiducia nell’ente (Corte dei Conti per la Campania n. 1320/2012)
Possibili scenari europei - nuovo regolamento europeo in materia di protezione dei dati valorizza ulteriormente la figura dell’ads nella definizione della centralità delle misure di sicurezza (art.30), negli adempimenti della notificazione e comunicazione di violazione dei dati (31-32) -occorre un effettivo raccordo degli ads con il responsabile del trattamento il Joint Controller" o responsabile congiunto con il data protection officer -le nuove sfide sul diritto all’oblio e sulla portabilità dei dati, certificazioni sui dati
Prassi e audit corretti (a) a) Individuare le figure di amministratore di sistema secondo i requisiti di esperienza, capacità e affidabilità b) selezionare le persone in relazione ai compiti da affidare (formazione e assegnazione ) c)prevedere monitoraggio e controllo degli amministratori ai fini di guida e controllo dei processi d) utilizzare i risultati del monitoraggio per migliorare i processi e) comunicazione dei nominativi degli amministratore di sistema se questo svolge trattamenti che coinvolgono i lavoratori (informativa-linee guida internet)
Prassi corretta (b) - f) il titolare nel caso di esternalizzazione del servizio, deve conservare direttamente e specificatamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema g) l’amministratore di sistema in analogia a quanto previsto per la gestione del rapporto titolare/responsabile dovrà essere soggetto a verifica periodica con cadenza almeno annuale. h) registrazione degli accessi
Approfondimenti -Mauro Alovisio, Fabio Di Resta, Le responsabilità degli ads e le prescrizioni del Garante, in ICT Security, Febbraio, 2010 -Eric Falzone, Responsabilità amministrativa degli enti per delitti informatici e trattamento illecito di dati compiuto da amministratori di sistema,Ciberspazio e diritto : internet e le professioni giuridiche fascicolo: 1, volume: 12, anno: 2011 -Paolo Giardini, http://blog.solution.it/amministratori-di-sistema- accetto-o-non-accetto -Monica Palmirani, Michele Martoni, Informatica Giuridica per le relazioni aziendali, Giappichelli, Torino, 2012
Associazione Csig Ivrea-Torino  Associazione indipendente senza finalità di lucro attiva dal 2005 interdisciplinare (informatici, giuristi, economisti, etc.)  Mission: aggiornamento professionale, studio, ricerca, analisi, approfondimento dell’evoluzione dei diritti digitali, dell’ICT e dell’Informatica Giuridica a livello locale e nazionale  Due sedi una storica a Ivrea e una nuova a Torino  Rete nazionale www.cisig.it, mailing list (900 professionisti)  Comitato Scientifico (Prof. Anglano, Prof. F Foà, D. Frati, Dott. F. Grillo Pasquarelli, Avv. Maggi, Dott. M. Nigra, Prof. U. Pagallo, Prof. G. Ruffo, Avv. M. Travostino, Avv. F. Vallosio)
Attività Csig di Ivrea-Torino  2012:Partecipazione ai lavori dell’agenda digitale di Torino e alle consultazioni su mozione software libero e open data del comune di Torino ( Comitato di Torino Digitale)  Audizione e contributi in Consiglio Regionale (legge sul wi-fi; legge regionale open data in sinergia con Centro di ricerca del Politecnico su Internet Nexa)  Partecipazione a consultazione nazionale dell’Agenzia Digitale su smart city, open data e a consultazione su Decreto Digitalia con APIHN  Partecipazione a consultazione del Garante privacy su Tlc e data breach
Prossime Tappe  -27 febbraio 2013 ore 18-20 presentazione presso CNA Torino del libro del prof. Filippo Novario “ Computer forensics.Tra Giudizio e Business”, Edizione Cortina del Dott.Filippo Novario  - 27 marzo convegno ad Asti su Internet e minori INFORMI @MOCI Giovani e Web: formare ed informare ad un uso sano, legale, sicuro e consapevole della Rete  -aprile - consultazione legge regionale sul wi-fi Valle di Aosta  -maggio 2013 - Convegno Nazionale su Videosorveglianza, Smart people e smart city presso Università Cattolica di Milano  -autunno 2013 - presentazione libri “Sicuri in rete “ di Marco Ozenda e Laura Bissolati seminari di deontologia , privacy, diritto di autore
Come contattarci?  Rapporto con il territorio, Università , enti pubblici, associazioni di imprese  come contattarci:  Blog:  http://csig-ivrea-torino.blogspot.it/  Linkedin:  http://www.linkedin.com/groups/CSIG-Ivrea-Torino-Centro- Studi4485679?gid=4485679&trk=hb_side_g  Facebook:  CSIG Ivrea Torino - Centro Studi Informatica Giuridica  Mail: CsigIvreaTorino@gmail.com
 Il Centro Nexa su Internet e Società del Politecnico di Torino (Dipartimento di Automatica e Informatica) fondato nel novembre 2006, è un centro di ricerca indipendente che studia le componenti della forza di Internet e i suoi effetti sulla società.  Il Centro Nexa interagisce con la Commissione europea, organismi regolatori, governi locali e nazionali, nonché con imprese e altre istituzioni - attento a preservare la sua indipendenza accademica e intellettuale e con una specifica attenzione per gli aspetti di policy delle proprie ricerche. Web nexa.polito.it @nexacenter facebook.com/nexa.center
nexa.polito.it/get-involved
Grazie per l’attenzione!!! Avv. Mauro Alovisio slide edite con licenze creative commons 3.0 per osservazioni e approfondimenti è possibile contattarmi: mauro.alovisio@gmail.com twitter@MauroAlovisio Linkidin MauroAlovisio

Recomendados

Con04 ads
Con04 adsCon04 ads
Con04 adsMichele Canalini
 
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...webdieci
 
Misure Relative Agli Amministratori Di Sistema
Misure Relative Agli Amministratori Di SistemaMisure Relative Agli Amministratori Di Sistema
Misure Relative Agli Amministratori Di SistemaRoberto Mozzillo
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Talea Consulting Srl
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyPolaris informatica
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
M. Parretti - Privacy e Conservazione
M. Parretti - Privacy e ConservazioneM. Parretti - Privacy e Conservazione
M. Parretti - Privacy e ConservazioneCamera di Commercio di Pisa
 

Recomendados

Con04 ads
Con04 adsCon04 ads
Con04 adsMichele Canalini
 
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico ...webdieci
 
Misure Relative Agli Amministratori Di Sistema
Misure Relative Agli Amministratori Di SistemaMisure Relative Agli Amministratori Di Sistema
Misure Relative Agli Amministratori Di SistemaRoberto Mozzillo
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...
Nuove Linee Guida AgID per la Conservazione Digitale: Che cosa cambia da Genn...Talea Consulting Srl
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyPolaris informatica
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
M. Parretti - Privacy e Conservazione
M. Parretti - Privacy e ConservazioneM. Parretti - Privacy e Conservazione
M. Parretti - Privacy e ConservazioneCamera di Commercio di Pisa
 
Titolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazioneTitolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazioneCSI Piemonte
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Unione Parmense degli Industriali
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...Barbieri & Associati Dottori Commercialisti - Bologna
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiAdalberto Casalboni
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...CSI Piemonte
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciCSI Piemonte
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano TagliabueEuroPrivacy
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
Con04 ads
Con04 adsCon04 ads
Con04 adsMichele Canalini
 
Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013Pasquale Lopriore
 
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...Data Driven Innovation
 
Privacy E Ads
Privacy E AdsPrivacy E Ads
Privacy E Adsasdasdaro
 

Mais conteúdo relacionado

Mais procurados

Titolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazioneTitolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazioneCSI Piemonte
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskM2 Informatica
 
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Unione Parmense degli Industriali
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiAdalberto Casalboni
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...CSI Piemonte
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciCSI Piemonte
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano TagliabueEuroPrivacy
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 

Mais procurados (19)

Titolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazioneTitolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazione
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoro
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
 
Con04 ads
Con04 adsCon04 ads
Con04 ads
 

Semelhante a amministratori di sistema - alovisio

Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013Pasquale Lopriore
 
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...Data Driven Innovation
 
Privacy E Ads
Privacy E AdsPrivacy E Ads
Privacy E Adsasdasdaro
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...walk2talk srl
 
Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)SMAU
 
Smau padova 2013 valentina frediani
Smau padova 2013 valentina fredianiSmau padova 2013 valentina frediani
Smau padova 2013 valentina fredianiSMAU
 
Smau Milano 2014 - Valentina Frediani
Smau Milano 2014 - Valentina FredianiSmau Milano 2014 - Valentina Frediani
Smau Milano 2014 - Valentina FredianiSMAU
 
Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di CagliariCloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di CagliariMassimo Farina
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...TheBCI
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
 
Smau Padova 2018 - Nicolò Ghibellini e Silvano Mazzantini
Smau Padova 2018 - Nicolò Ghibellini e Silvano MazzantiniSmau Padova 2018 - Nicolò Ghibellini e Silvano Mazzantini
Smau Padova 2018 - Nicolò Ghibellini e Silvano MazzantiniSMAU
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legaliStefano Corsini
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018Simone Chiarelli
 

Semelhante a amministratori di sistema - alovisio (20)

Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013
 
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
La protezione dei dati personali nel nuovo scenario del 5G. Riccardo Acciai, ...
 
Privacy E Ads
Privacy E AdsPrivacy E Ads
Privacy E Ads
 
Con04 ads
Con04 adsCon04 ads
Con04 ads
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
 
Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)
 
Smau padova 2013 valentina frediani
Smau padova 2013 valentina fredianiSmau padova 2013 valentina frediani
Smau padova 2013 valentina frediani
 
Checklist D.P.S.
Checklist D.P.S.Checklist D.P.S.
Checklist D.P.S.
 
Smau Milano 2014 - Valentina Frediani
Smau Milano 2014 - Valentina FredianiSmau Milano 2014 - Valentina Frediani
Smau Milano 2014 - Valentina Frediani
 
Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di CagliariCloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
 
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...
 
Smau Padova 2018 - Nicolò Ghibellini e Silvano Mazzantini
Smau Padova 2018 - Nicolò Ghibellini e Silvano MazzantiniSmau Padova 2018 - Nicolò Ghibellini e Silvano Mazzantini
Smau Padova 2018 - Nicolò Ghibellini e Silvano Mazzantini
 
Proteggiamo I Dati
Proteggiamo I DatiProteggiamo I Dati
Proteggiamo I Dati
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legali
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
 
GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018
 

amministratori di sistema - alovisio

  • 1. Convegno “La sicurezza del sistema informativo: il ruolo e la responsabilità dell’amministratore di sistema avv. Mauro Alovisio Fellow Nexa, socio APIHM Torino, 22 febbraio 2013
  • 2. Agenda - assenza di una definizione normativa di sistema informativo e di amministratore di sistema - ads pietra angolare del sistema informativo -aspetti positivi e limiti del provvedimento generale in materia di ads del Garante Privacy del 24 novembre 2008 - misure organizzative; misure tecniche misure giuridiche - impatto su aziende e casi concreti di ispezioni ( piano ispezioni 2013 focus sul fascicolo sanitario 2013) -le responsabilità e sanzioni
  • 3. Sistema Informativo e Ads attori del sistema informativo: -figure di processo -figure applicative -figure incaricate dell’amministrazione di sistema (ads) -ads ruolo cardine: nella gestione della posta elettronica ed internet; policy di continuità operativa e disaster recovery; responsabilità della conservazione sostitutiva -la reintroduzione della figura dell’ads nel nostro ordinamento ha determinato un raccordo sinergico tra il Sistema 231 (sulla responsabilità delle persone giuridiche) ed il Sistema di Gestione Privacy” modello organizzativo
  • 4. Ads e provvedimenti del Garante - L’Ads non è previsto in modo espresso nel Codice della privacy (D.Lgs 196 del 2003) - viene citato nel provvedimento generale del Garante sulla posta elettronica ed internet del 1 marzo 2007 - viene introdotto nel Provvedimento del Garante per la Protezione dei dati del 27 novembre 2008 ad oggetto: “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” - provvedimento a lunga gestazione: consultazione pubblica successiva ad emanazione e successiva pubblicazione delle faq sul sito del Garante Privacy
  • 5. Ads e posta elettronica -Provvedimento: linee guida del Garante privacy per posta elettronica ed internet del 1 marzo 2007 “Resta parimenti ferma la necessità che, nell'individuare regole di condotta dei soggetti che operano quali amministratori di sistema o figure analoghe cui siano rimesse operazioni connesse al regolare funzionamento dei sistemi, sia svolta un'attività formativa sui profili tecnico-gestionali e di sicurezza delle reti, sui principi di protezione dei dati personali e sul segreto nelle comunicazioni (cfr. Allegato B) al Codice, regola n. 19.6; Parere n. 8/2001 cit., punto 9)
  • 6. Ads e Continuità operativa DigitPa, Le nuove Linee Guida per il Disaster Recovery e il percorso di attuazione dell’articolo “Continuità operativa” del CAD», 2011 dovere di piena conformità obblighi normativa privacy e provvedimenti del Garante con particolare attenzione .. all’individuazione degli amministratori di sistema , prevedendo anche le necessarie attività di verifica e di controllo e richiamo del provv. del Garante 2008 (p. 64) - previsione di inserimento clausole nei fornitori su obbligo di riservatezza e gli obblighi del fornitore di improntare il proprio operato a quanto previsto dal codice privacy e al provvedimento su ads del 2008 ( p.74)
  • 7. Continuità operativa ed egoverment Art. 51 bis del Cad La continuità operativa è l’insieme di attività volte a minimizzare gli effetti distruttivi, o comunque dannosi, di un evento che ha colpito un’organizzazione o parte di essa, garantendo la continuità delle attività in generale aspetto cardine dell’e-goverment per il profilo della disponibilità dei servizi in rete - obbligo di adozione del piano di continuità operativa entro il 25.01. 2011 (previo studio di fattibilità) verifica biennale della funzionalità del piano -obbligo di adozione del piano di disaster recovery: aggiornamento annuale
  • 8. Chi sono gli amministratori di sistema? Definizione contenuta nel provvedimento del Garante del 2008 -figure professionali individuate nell’ambito informatico, finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. ma anche altre figure professionali equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi non è una sola figura ma un complesso di figure interne ed esterne
  • 9. L’amministratore di sistema per il Garante Il provvedimento offre una lettura sistemica dell’art. 34 del Codice privacy che prescrive fra le misure minime organizzative di aggiornare periodicamente l’ambito del trattamento degli “addetti alla gestione e manutenzione degli strumenti elettronici” (allegato B punto 15) L’ amministratore è un particolare operatore di sistema, dotato di specifici privilegi amministrativi, specifiche autorizzazioni (rischi di applicazione norme penali) i compiti dell’amministratore di sistema sono pertanto in realtà descritti dal disciplinare tecnico (allegato B al codice)
  • 10. Perché sono importante gli AdS? nell’ ICT è un elemento essenziale della sicurezza : all’amministratore di sistema vengono consegnate le chiavi del sistema informatico custode dei segreti dell’azienda - ha capacità di azione su tutti i dati (sistema informativo, mail;internet; immagini) anche qualora non consulti in chiaro le informazioni svolge i compiti previsti dall’allegato B del codice privacy custodia delle componenti riservate delle credenziali di autenticazione e di autorizzazione ; operazioni di back up ; manutenzione hardware il provvedimento del 2008 si applica ad enti pubblici e privati, sono esenti i titolari di dati che effettuano trattamenti per finalità contabili e amministrative
  • 11. Non tutti sono ads! -non rientrano nella definizione di ADS i soggetti che solo occasionalmente intervengono (p.es., per scopi di manutenzione a seguito di guasti o malfunzioni) sui sistemi di elaborazione e sui sistemi software secondo il Garante per la protezione dei dati personali - limitazione importante dell’ambito di applicazione del provvedimento del Garante (FAQ n. 1)
  • 12. Pregi dell’intervento del Garante -Il Garante ha dato risalto all’ amministratore di sistema come figura chiave nella gestione dei processi e per responsabilizzare sia le imprese sia tali figure -problema culturale emerso anche nelle ispezioni di carente consapevolezza delle criticità insite nello svolgimento delle mansioni di Ads sottovalutazione dei rischi -previsione di "due diligence" si intende un’attività di analisi e verifica volta al raggiungimento di un parere di conformità; adozione di accorgimenti e misure, tecniche e organizzative, volti ad agevolare l'esercizio dei doveri di controllo da parte del titolare
  • 13. Limiti dell’intervento del Garante - provvedimento dal forte impatto ma di difficile attuazione con oneri e costi a carico delle imprese e delle pa e senza una gradualità di applicazione commisurata alla complessità del sistema informatico e alla tipologia di dati - il provvedimento del Garante presenta alcune lacune es.non ha approfondito i servizi informatici esternalizzati (in particolare i fornitori all’estero) osservazione: sarebbe stato meglio adottare il provvedimento generale dopo la consultazione on line; pubblicare i contributi inviati e non solo le faq
  • 14. Misure organizzative, tecniche e giuridiche -Designazioni individuali degli ads previa valutazione delle caratteristiche soggettive - Tenuta di elenco degli amministratori di sistema - Registrazione degli accessi -Verifica annuale delle attività
  • 15. La designazione dell’ads (a) Le designazioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di: esperienza, capacità e affidabilità del soggetto designato, idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza FAQ 20: requisiti di qualità tecniche, professionali e di condotta non i requisiti morali Affidabilità: il rispetto dei doveri di diligenza ex 2104 c.c.
  • 16. La designazione di Ads (b) -La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato ( p.4.2; faq 7-8 descrizione puntuale con i compiti analiticamente specificati art. 29 c.IV) massima attenzione nella descrizione delle attività (profili giuslavoristici) La designazione è effettuata dal titolare o dal responsabile per iscritto
  • 17. AdS: incaricato o responsabile dei dati -AdS può essere un responsabile o un incaricato se incaricato , il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29 del codice; nb. il titolare anche quando delega rimane sempre responsabile
  • 18. Titolare e Ads? -il titolare anche quando delega rimane sempre responsabile Il titolare deve potere provare: a) la corretta organizzazione e gestione del proprio sistema informativo (due diligence) b) di avere esercitato il controllo
  • 19. Responsabilità ads -la responsabilità degli enti giuridici si trasmette agli amministratori qualora gli stessi non abbiano adempiuto diligentemente ai loro doveri gli amministratori sono esonerati se dimostrano di essere esenti da colpa (negligenza-imprudenza-imperizia) -nel caso in cui siano a conoscenza dell’evento all’operazione potenzialmente dannoso devono comunicare il proprio dissenso all’operazione
  • 20. Elenco degli amministratori di sistema Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno: da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante privacy L’elenco doveva in precedenza essere contenuto negli allegati del Documento Programmatico per la sicurezza (DPS), misura minima abrogata dalla legge 4 aprile 2012, n. 35
  • 21. Trasparenza interna Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti -attraverso informativa -disciplinare tecnico posta elettronica ed internet (v linee guida del Garante del 1 marzo 2007) -strumenti di comunicazione interna (intranet., ordini di servizio) (v. faq 2). v. caso Poligrafico 21 luglio 2011
  • 22. Ads e outsourcing (b) -servizi informatici: contratto di outsourcing per il Garante il provvedimento si applica solo ai titolari dei dati e non al responsabile (faq 23): esempio società italiana che lavora per conto di una società estera; secondo il Garante sussiste solo obbligo di comunicazione dell’ elenco degli amministratori di sistema. consiglio: inserire clausole contrattuali per salvaguardare l’azienda nel caso di danni a terzi per trattamenti di dati personali
  • 23. Le registrazioni degli accessi (a) -qual è la finalità della registrazione dei file di log? La raccolta dei file di log serve per verificare anomalie nella frequenza degli accessi e nelle loro modalità (orari, durata, sistemi cui si è fatto accesso ..) Si osservi inoltre come la conservazione dei file di log possa essere ricompresa tra i criteri di valutazione dell’operato degli amministratore di sistema
  • 24. Le registrazione degli accessi (b) -Gli eventi da registrare sono solo le autenticazioni informatiche la registrazione di login e log-out non è richiesta la registrazione di log di attività interattive , comandi impartiti, transazioni (FAQ 15, non si tratta di audit log) le caratteristiche del log adeguate al contesto sulla base di valutazioni del titolare: (vedi strumenti del sistema operativo) access log caratteristiche di completezza, inalterabilità, integrità (p.4.5; faq 11) le registrazioni devono essere conservate per un periodo non inferiore ai sei mesi
  • 25. Sistemi di registrazione -Quali informazioni sono da registrare? Qualora il sistema di log adottato generi una raccolta dati più ampia, comunque non in contrasto con le disposizioni del codice e con i principi della protezione dei dati personali il requisito del provvedimento è certamente soddisfatto. Comunque è sempre possibile effettuare un’estrazione o un filtraggio dei logfiles al fine di selezionare i soli dati pertinenti agli amministratori di sistema (FAQ 10 e 12) Il Garante non entra nel merito nel valore legale e nella genesi dei log ma si occupa della loro completezza
  • 26. No software costosi!! - il provvedimento non chiede in alcun modo che vengano registrati dati sull’attività interattiva (comandi impartiti, transazioni effettuate) degli amministratori di sistema (FAQ 15) diffidare di software dell’ultimo minuto che propongono soluzioni sproporzionate rispetto ai contenuti del provvedimento sono molto costosi, inutili, e presentano elevati rischi di profili di contrasto con art. 4 dello statuto dei lavoratori.
  • 27. File log inalterabili: cosa fare? -Cosa deve fare il titolare? Se la funzionalità già disponibili nei più diffusi sistemi operativi permettono il salvataggio dei log di accesso, può non essere necessario l’uso di strumenti software o hardware aggiuntivi. È onere del titolare valutare l’idoneità degli strumenti disponibili oppure l’adozione di strumenti più sofisticati, quali la raccolta dei log centralizzati e l’utilizzo di dispositivi non riscrivibili o di tecniche crittografiche per la verifica dell’integrità delle registrazioni (FAQ 4)
  • 28. Come salvare i log? Secondo il Garante le caratteristiche di mantenimento dell’integrità dei dati raccolti dai sistemi di log sono in genere disponibili nei più diffusi sistemi operativi, o possono essere agevolmente integrate con apposito software (FAQ 12) come fare? Il requisito dell’inalterabilità può essere ragionevolmente soddisfatto con la strumentazione software in dotazione, nei casi più semplici, e con l’eventuale esportazione periodica dei dati di log su supporti di memorizzazione non riscrivibili (FAQ 12)
  • 29. 1.Conservazione dei log -Come salvare i log? Il Garante prevede la possibilità ma non l’obbligo, che i titolari possano adottare sistemi più sofisticati, quali i log server centralizzati e “certificati” (FAQ 12) Non sono richiestì i files di log di audit: i files cioè che registrano la generazione di un auditable events, la loro corretta registrazione e manutenzione Il Garante richiede una forma minima di documentazione: attraverso l’uso di un sistema informativo che assicuri la generazione dei file di log degli accessi la loro archiviazione per almeno 6 mesi in condizione di ragionevole sicurezza
  • 30. 2. Conservazione log -Attenzione: si noti come il Garante non richieda un sistema particolare o massificato di data retention né necessariamente l’adozione di soluzioni particolari o di alto livello di garanzia, i sistemi di registrazione sono demandati alla ragionevole e prudente valutazione di parte (FAQ 12)
  • 31. Ispezione del Garante: software (a) Ispezione Garante presso Istituto Poligrafico verifiche sul software della società di tracciamento degli accessi degli amministratore di sistema al proxy, ai firewall, ai server di posta elettronica e ai sistemi informatici (Voip) (provv. del 21 luglio 2011; poi ricorso impresa) secondo il Garante il software aziendale non è in grado di assicurare la completezza del tracciamento delle attività delle attività di amministratore di sistema (non veniva tracciato l’accesso applicativo ma solo l’accesso sistemico, cioè l’accesso al sistema operativo) non erano tracciati gli accessi tramite interfaccia web
  • 32. Ispezione del Garante: software (b) il software non assicura la completezza delle registrazioni (access log) dei file di log; non consente di rappresentare fedelmente l’attività e l’operato degli amministratori di sistema e pertanto fornisce un’informazione incompleta al responsabilità ICT. Il Garante ha sottolineato il difetto di coordinamento fra i centri di responsabilità dell’azienda (ICT e business solution; Risorse Umane, responsabile privacy. Ufficio legale) e ha prescritto di adottare, in caso di introduzione e potenziamento di sistemi informativi che possono avere un impatto sulla privacy, misure organizzative, quali forme di coordinamento e cooperazione tra le pertinenti unità organizzative per assicurare un corretto processo decisionale
  • 33. Verifica dell’attività -L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica (audit) da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti p. 4.4, FAQ 5 e FAQ 14 non si tratta di controllo dell’attività professionale vietata dall’art. 4 dello statuto dei lavoratori –no raccolta di informazioni si pv mansioni e p.v. profilo della sicurezza
  • 34. Responsabilità ads - responsabilità civile (attività pericolosa) - responsabilità penale - responsabilità amministrativa
  • 35. Responsabilità per attività pericolosa art 2050 c.c. : Responsabilità per l'esercizio di attività pericolose “ Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno” - inversione onere della prova - prova positiva di avere adottato tutte le misure di prevenzione - casi di giurisprudenza su attività pericolosa attività edilizia, produzione e distribuzione di energia
  • 36. Codice penale e Ads -Abuso della qualità di operatore di sistema - accesso abusivo a sistema informatico o telematico (art. 615 ter) - frode informatica (art. 640 ter) - danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) - danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques)
  • 37. Sanzioni Sanzioni amministrative per inosservanza dei provvedimenti emessi dal garante ai sensi dell’art. 154, lett.c ) del codice è applicata la sanzione amministrativa di importo da 30.000 a 180.000 euro (art. 162 comma 2- ter codice privacy ) Inutilizzabilità dei dati (sanzione panprocessalistica) v. prova no utilizzabile
  • 38. Possibili scenari italici - legge sui professionisti senza’albo legge 4 gennaio 2013, n.4 v. Associazione professionale nell’ottica sia di accreditamento di qualità sul mercato di professionisti sia di tutela del consumatore e di trasparenza; profili formazione e aggiornamento permanente, adozione di un codice di condotta e sanzioni disciplinari, vigilanza sulla condotta professionale, valorizzazione delle competenze, rilascio di attestazioni, collaborazione all’elaborazione della normativa tecnica UNI, promozione di organismi di certificazione - giurisprudenza evolutiva a partire dalla sentenza della Cass. Penale sez. V, del 6 luglio 2007 n. 31135 su intercettazione di ads di posta elettronica
  • 39. Possibili scenari italici: il danno all’immagine? - Corte dei Conti ha condannato un funzionario dell’Agenzia delle Entrate al risarcimento del danno all’immagine patito dall’ente in relazione alla cessione di dati dei cittadini dallo stesso effettuato per finalità di profitto a terzi soggetti. Il dipendente ha gettato discredito all’ente nel suo complesso. La violazione dei dati personali dei cittadini ha determinato negli stessi una diversa immagine della correttezza istituzionale dell’amministrazione finanziaria con conseguente vulnus della fiducia nell’ente (Corte dei Conti per la Campania n. 1320/2012)
  • 40. Possibili scenari europei - nuovo regolamento europeo in materia di protezione dei dati valorizza ulteriormente la figura dell’ads nella definizione della centralità delle misure di sicurezza (art.30), negli adempimenti della notificazione e comunicazione di violazione dei dati (31-32) -occorre un effettivo raccordo degli ads con il responsabile del trattamento il Joint Controller" o responsabile congiunto con il data protection officer -le nuove sfide sul diritto all’oblio e sulla portabilità dei dati, certificazioni sui dati
  • 41. Prassi e audit corretti (a) a) Individuare le figure di amministratore di sistema secondo i requisiti di esperienza, capacità e affidabilità b) selezionare le persone in relazione ai compiti da affidare (formazione e assegnazione ) c)prevedere monitoraggio e controllo degli amministratori ai fini di guida e controllo dei processi d) utilizzare i risultati del monitoraggio per migliorare i processi e) comunicazione dei nominativi degli amministratore di sistema se questo svolge trattamenti che coinvolgono i lavoratori (informativa-linee guida internet)
  • 42. Prassi corretta (b) - f) il titolare nel caso di esternalizzazione del servizio, deve conservare direttamente e specificatamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema g) l’amministratore di sistema in analogia a quanto previsto per la gestione del rapporto titolare/responsabile dovrà essere soggetto a verifica periodica con cadenza almeno annuale. h) registrazione degli accessi
  • 43. Approfondimenti -Mauro Alovisio, Fabio Di Resta, Le responsabilità degli ads e le prescrizioni del Garante, in ICT Security, Febbraio, 2010 -Eric Falzone, Responsabilità amministrativa degli enti per delitti informatici e trattamento illecito di dati compiuto da amministratori di sistema,Ciberspazio e diritto : internet e le professioni giuridiche fascicolo: 1, volume: 12, anno: 2011 -Paolo Giardini, http://blog.solution.it/amministratori-di-sistema- accetto-o-non-accetto -Monica Palmirani, Michele Martoni, Informatica Giuridica per le relazioni aziendali, Giappichelli, Torino, 2012
  • 44. Associazione Csig Ivrea-Torino  Associazione indipendente senza finalità di lucro attiva dal 2005 interdisciplinare (informatici, giuristi, economisti, etc.)  Mission: aggiornamento professionale, studio, ricerca, analisi, approfondimento dell’evoluzione dei diritti digitali, dell’ICT e dell’Informatica Giuridica a livello locale e nazionale  Due sedi una storica a Ivrea e una nuova a Torino  Rete nazionale www.cisig.it, mailing list (900 professionisti)  Comitato Scientifico (Prof. Anglano, Prof. F Foà, D. Frati, Dott. F. Grillo Pasquarelli, Avv. Maggi, Dott. M. Nigra, Prof. U. Pagallo, Prof. G. Ruffo, Avv. M. Travostino, Avv. F. Vallosio)
  • 45. Attività Csig di Ivrea-Torino  2012:Partecipazione ai lavori dell’agenda digitale di Torino e alle consultazioni su mozione software libero e open data del comune di Torino ( Comitato di Torino Digitale)  Audizione e contributi in Consiglio Regionale (legge sul wi-fi; legge regionale open data in sinergia con Centro di ricerca del Politecnico su Internet Nexa)  Partecipazione a consultazione nazionale dell’Agenzia Digitale su smart city, open data e a consultazione su Decreto Digitalia con APIHN  Partecipazione a consultazione del Garante privacy su Tlc e data breach
  • 46. Prossime Tappe  -27 febbraio 2013 ore 18-20 presentazione presso CNA Torino del libro del prof. Filippo Novario “ Computer forensics.Tra Giudizio e Business”, Edizione Cortina del Dott.Filippo Novario  - 27 marzo convegno ad Asti su Internet e minori INFORMI @MOCI Giovani e Web: formare ed informare ad un uso sano, legale, sicuro e consapevole della Rete  -aprile - consultazione legge regionale sul wi-fi Valle di Aosta  -maggio 2013 - Convegno Nazionale su Videosorveglianza, Smart people e smart city presso Università Cattolica di Milano  -autunno 2013 - presentazione libri “Sicuri in rete “ di Marco Ozenda e Laura Bissolati seminari di deontologia , privacy, diritto di autore
  • 47. Come contattarci?  Rapporto con il territorio, Università , enti pubblici, associazioni di imprese  come contattarci:  Blog:  http://csig-ivrea-torino.blogspot.it/  Linkedin:  http://www.linkedin.com/groups/CSIG-Ivrea-Torino-Centro- Studi4485679?gid=4485679&trk=hb_side_g  Facebook:  CSIG Ivrea Torino - Centro Studi Informatica Giuridica  Mail: CsigIvreaTorino@gmail.com
  • 48. Il Centro Nexa su Internet e Società del Politecnico di Torino (Dipartimento di Automatica e Informatica) fondato nel novembre 2006, è un centro di ricerca indipendente che studia le componenti della forza di Internet e i suoi effetti sulla società.  Il Centro Nexa interagisce con la Commissione europea, organismi regolatori, governi locali e nazionali, nonché con imprese e altre istituzioni - attento a preservare la sua indipendenza accademica e intellettuale e con una specifica attenzione per gli aspetti di policy delle proprie ricerche. Web nexa.polito.it @nexacenter facebook.com/nexa.center
  • 50. Grazie per l’attenzione!!! Avv. Mauro Alovisio slide edite con licenze creative commons 3.0 per osservazioni e approfondimenti è possibile contattarmi: mauro.alovisio@gmail.com twitter@MauroAlovisio Linkidin MauroAlovisio