Workshop - Provincia di Bergamo, ANAI Lombardia, Comune di Nembro, ANORC
"I servizi forniti dal CST Centro Servizi Territoriali della Provincia di Bergamo"
4 giugno 2013, ore 9.00 – 13.00, Bergamo, Spazio Viterbi
"Sistemi di sicurezza e protezione dei dati personali", Franco Cardin, direttivo ANORC e coordinatore nazionale ABIRT
Programma: https://dl.dropboxusercontent.com/u/21632223/Archiviando/2%5E%20WS%20Provincia%20BG%20Disaster%20recovery.pdf
Fotografie: https://picasaweb.google.com/117290793877692021380/ConstinuitaOperativaEDisasterRecovery?authuser=0&feat=directlink
Videoregistrazione intervento: https://vimeo.com/album/2442466/video/69401702
Per grazia ricevuta. Ex voto-quadretti votivi in Sovere
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
1. 1
Sistemi di sicurezza e protezione
dei dati personali
Franco Cardin – Bergamo 4 giugno
2013
2. 2
Digitalizzazione & protezione dei
dati personali
da un’attenta lettura del CAD, si desume chiaramente
che la conoscenza della disciplina in materia di
protezione dei dati personali è una premessa
fondamentale e imprescindibile per la corretta
applicazione delle disposizioni legislative in esso
contenute;
nel CAD, infatti, ci sono 22 richiami alla normativa
vigente in materia di protezione dei dati personali ed è
previsto, per l’emanazione di 11 provvedimenti
attuativi, il ricorso obbligatorio al parere del Garante
per la privacy;
3. 3
Art. 2, comma 5, del CAD “Finalità
e ambito di applicazione
“Le disposizioni del presente codice si applicano nel
rispetto della disciplina rilevante in materia di trattamento
dei dati personali e, in particolare, delle disposizioni del
codice in materia di protezione dei dati personali approvato
con decreto legislativo 30 giugno 2003, n. 196. I cittadini e
le (imprese?) hanno, comunque, diritto di ottenere che il
trattamento dei dati effettuato mediante l’uso di tecnologie
telematiche sia conformato al rispetto dei diritti e delle
libertà fondamentali, nonché della dignità dell’interessato”
4. 4
Requisiti per la conservazione dei
documenti informatici (art. 44, comma 1,
del CAD)
Il sistema di conservazione dei documenti informatici
assicura:
L’identificazione certa del soggetto che ha formato il
documento e dell’amministrazione o dell’AOO di
riferimento;
L’integrità del documento;
La leggibilità e l’agevole reperibilità dei documenti e
delle informazioni identificative, inclusi i dati di
registrazione e di classificazione originari;
Il rispetto delle misure di sicurezza previste dagli articoli
da 31 a 36 del D.Lgs 196/03 e dall’allegato B) allo stesso;
5. 5
Requisiti per la conservazione dei
documenti informatici (art. 44, comma 1-
bis, del CAD)
Il sistema di conservazione dei documenti
informatici è gestito da un responsabile che
opera d’intesa con:
il responsabile del trattamento dei dati personali
di cui all’art. 29 del D.Lgs. 196/03;
il responsabile del servizio per la tenuta del
protocollo informatico, della gestione dei flussi
documentali e degli archivi di cui all’art. 61 del
DPR 445/2000;
6. Per la conservazione digitale dei dati e dei
documenti informatici bisogna definire
procedure coordinate e condivise
6
Responsabile
protocollo
informatico e
archivi
Responsabiledeisistemiinformativi
7. 7
Il responsabile della conservazione, tra
gli altri compiti, deve:
Predisporre il piano della sicurezza del
sistema di conservazione nel rispetto delle
misure di sicurezza previste dagli artt. da 31 a
36 del D.Lgs. 196/03 e dall’allegato B);
Predisporre il manuale di conservazione e
curarne l’aggiornamento periodico;
8. 8
Il responsabile del protocollo informatico,
tra gli altri compiti, deve:
Art. 4 DPCM 31.10.2000 “Regole tecniche per il protocollo informatico”
predisporre lo schema del manuale di gestione;
predisporre il piano per la sicurezza informatica relativo alla formazione
e gestione dei documenti informatici d’intesa con il responsabile dei
sistemi informativi automatizzati e con il responsabile del trattamento dei
dati personali, nel rispetto delle misure minime di sicurezza previste dal
DPR 318/1999 (ora artt. da 31 a 36 del D.Lgs. 196/03 e allegato B)
Questi compiti sono confermati anche nella bozza delle nuove regole tecniche per il
protocollo informatico in corso di emanazione (reperibili nel sito dell’Agenzia per l’Italia digitale)
9. Necessità di integrare le policy aziendali sulla
qualità e sicurezza dei sistemi di gestione
informatica dei documenti e dei dati
9
Manuale di
gestione del
protocollo
informatico
10. 10
Articolo 51 del CAD – Sicurezza dei dati,
dei sistemi e delle infrastrutture delle
pubbliche amministrazioni
comma 1 – Con le regole tecniche, adottate ai sensi
dell’articolo 71, sono individuate le modalità che
garantiscono l’esattezza, la disponibilità,
l’accessibilità, l’integrità e la riservatezza dei dati, dei
sistemi e delle infrastrutture;
comma 2 – I documenti informatici delle pubbliche
amministrazioni devono essere custoditi e controllati
con modalità tali da ridurre al minimo i rischi di
distruzione, perdita, accesso non autorizzato o non
consentito o non conforme alle finalità della raccolta
(cfr. art. 31 D.Lgs. 196/03)
11. 11
Il D.Lgs. 196/2003 “Codice in materia
di protezione dei dati personali”
ARTICOLO 1
Chiunque ha diritto alla protezione dei dati personali che lo riguardano.
questo articolo rappresenta un’ importante innovazione rispetto alla precedente
disciplina (L. 675/96 e successive integrazioni) in quanto ha introdotto nel nostro
ordinamento un nuovo diritto - più forte e autonomo rispetto al più generale diritto
alla riservatezza - appartenente alla sfera dei diritti fondamentali della persona
12. 12
Contestualizzazione del nuovo diritto e
qualificazione dell’attività di trattamento
dei dati personali
Il nuovo diritto nasce in un contesto storico dove il patrimonio
informativo di ciascuna persona è tendenzialmente un
patrimonio circolante, destinato ad essere trattato da diversi
soggetti per le finalità più varie
L’attività di trattamento dei dati personali viene qualificata
dall’art. 15 del D.Lgs. 196/03 come attività pericolosa
“Chiunque cagiona danno ad altri per effetto del trattamento di
dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del
codice civile. Il danno non patrimoniale è risarcibile anche in
caso di violazione dell’art. 11”
13. 13
Responsabilità civile
Art. 2050 del codice civile
“Chiunque cagiona danno ad altri nello svolgimento di
un’attività pericolosa, per sua natura o per la natura dei
mezzi adoperati, è tenuto al risarcimento, se non prova di
avere adottato tutte le misure idonee a evitare il danno”
La responsabilità per l’esercizio di attività pericolose mantiene ,
rispetto alla disciplina generale, il presupposto della colpa, ma
sposta l’onere probatorio dal danneggiato al danneggiante
(inversione dell’onere della prova)
14. 14
La diversa natura dei dati
personali
dati identificativi: i dati personali che permettono l’identificazione
diretta dell’interessato;
dati sensibili: i dati personali idonei a rivelare l’origine razziale ed
etnica, le convinzioni religiose, filosofiche o di altro genere e le
opinioni politiche, l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o
sindacale, lo stato di salute e la vita sessuale;
dati giudiziari: i dati personali idonei a rivelare provvedimenti in
materia di casellario giudiziale, di anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi carichi pendenti,
o la qualità di imputato o di indagato;
15. 15
La definizione di trattamento
qualunque operazione o complesso di operazioni, effettuate
anche senza l’ausilio di strumenti elettronici, concernenti la
raccolta, la registrazione, l’organizzazione, la conservazione,
la consultazione, l’elaborazione, la modificazione, la selezione,
l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco,
la comunicazione, la diffusione, la cancellazione e la
distruzione di dati, anche se non registrati in una banca di dati
16. 16
Requisiti e modalità di
designazione del responsabile del
trattamento
designazione facoltativa;
se designato, il responsabile deve essere individuato tra soggetti
che per esperienza, capacità ed affidabilità forniscano idonea
garanzia del pieno rispetto delle vigenti disposizioni in materia di
trattamento, ivi compreso il profilo relativo alla sicurezza;
affidamento per iscritto di compiti analiticamente specificati;
effettuazione dei trattamenti attenendosi alle istruzioni impartite
dal titolare;
vigilanza del titolare, anche tramite visite periodiche, sulla
puntuale osservanza dei compiti e delle istruzioni.
Culpa in eligendo e culpa in vigilando
17. 17
Sicurezza dei dati e dei sistemi:
principi e garanzie
Riservatezza – garanzia che l’accesso ai dati sia
consentito solo ai soggetti legittimati;
Integrità – garanzia che la modifica dei dati venga
effettuata solo da parte dei soggetti autorizzati
Disponibilità – garanzia che il sistema e i dati siano
accessibili e utilizzabili con continuità
Autenticità – garanzia che la fonte dei dati sia
attendibile.
18. 18
Sicurezza dei dati e dei sistemi:
potenziali criticità
Comportamenti errati
Organizzazione carente
Logistica inadatta
Errori del software
Vulnerabilità
19. 19
Sicurezza dei dati e dei sistemi: le diverse
tipologie delle misure di sicurezza
Misure di tipo organizzativo (es. designazione dei
responsabili e incaricati, formazione, linee guida);
Misure di tipo fisico (es. ingressi controllati dei locali
di custodia degli archivi e dei server);
Misure di tipo logico (es. autenticazione incaricati,
antivirus, firewall, cifratura dei dati)
20. 20
Sicurezza dei dati e dei sistemi: misure
idonee e preventive (art. 31 D.Lgs. 196/03)
alle conoscenze
acquisite in base al
progresso tecnico
alla natura
dei dati personali trattati
alle caratteristiche
del trattamento
I dati personali oggetto di trattamento sono custoditi e controllati
anche in relazione:
in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di
sicurezza, i rischi di:
distruzione
e perdita anche
accidentale
accesso
non autorizzato
trattamento
non consentito
dalla legge
trattamento non
conforme alle finalità
21. 21
Sicurezza dei dati e dei sistemi:
misure minime (art. 33 D.Lgs. 196/03)
Nel quadro dei più generali obblighi di sicurezza di cui
all’art. 31, o previsti da speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad adottare le misure
minime individuate nel presente capo, volte ad
assicurare un livello minimo di protezione dei dati
personali
22. 22
Misure minime per i trattamenti effettuati con
strumenti elettronici (art.34 D.Lgs. 196/03)
autenticazione informatica e adozione di procedure di gestione delle credenziali di
autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad
accessi non consentiti e a determinati programmi informatici;
adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi
adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di
dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
23. 23
Responsabilità in caso di mancata
adozione delle misure di sicurezza
Misure di sicurezza
responsabilità civile
(art. 15 del codice)
Responsabilità amministrativa
e penale (artt. 162 e 169 del codice)
idonee
minime
art. 2050 c.c. ravvedimento operoso
24. 24
Deliberazione del Garante 11/10/2012,
n. 280 “Protocollo informatico e
protezione dei dati personali” 1/2
Una dipendente dell’ENAC segnala al Garante che i dipendenti
della direzione aeroportuale di Milano, sono venuti a conoscenza di
una contestazione disciplinare rivoltale, attraverso alcune
registrazioni di protocollo riportanti nell’oggetto il nome e cognome
e i motivi dell’addebito;
Nel record delle registrazioni era inoltre presente in formato
testuale le stesse lettere di contestazione;
A seguito delle verifiche effettuate è emerso che il modello di
profilatura degli utenti del sistema di protocollo informatico adottato
da ENAC, consentiva a tutti i dipendenti della direzione di
consultare in maniera indistinta il registro di protocollo
indipendentemente dalle mansioni svolte;
25. 25
Deliberazione del Garante 11/10/2012,
n. 280 “Protocollo informatico e
protezione dei dati personali” 2/2
Il Garante ordina a ENAC:
di riconfigurare l’accesso al registro del protocollo informatico in
modo da differenziare la visualizzazione dei documenti e dei fascicoli
inerenti al personale ai soli dipendenti incaricati alle attività di gestione
delle risorse umane;
di svolgere un’attività di formazione rivolta al personale abilitato al
protocollo informatico illustrandone compiutamente le funzionalità e le
implicazioni in materia di protezione dei dati personali;
Il Garante, inoltre, ha trasmesso il provvedimento alla magistratura
per le valutazioni di competenza;
26. Provvedimento del Garante n. 73
del 23 febbraio 2012 1/2
Il Comune di Veronella pubblica all’albo pretorio on line per più di 15 giorni, una
delibera contenente alcuni dati personali di una residente (nome e cognome ,
indirizzo di residenza, numero e dispositivo della sentenza della Commissione
tributaria provinciale);
Il Garante evidenzia che:
- nelle ipotesi in cui specifiche disposizioni di settore individuino determinati
periodi di tempo per la pubblicazione di atti e provvedimenti amministrativi
(es., art. 124, d.lgs. n. 267/2000) i soggetti pubblici sono tenuti ad assicurare
il rispetto dei limiti temporali previsti, rendendoli accessibili sul proprio sito
web durante il circoscritto ambito temporale individuato dalle disposizioni
normative di riferimento, anche per garantire il diritto all'oblio degli interessati;
- trascorsi i predetti periodi di tempo specificatamente individuati, determinate
notizie, documenti o sezioni del sito devono essere rimossi dal web o privati
degli elementi identificativi degli interessati
26
27. Provvedimento del Garante n. 73
del 23 febbraio 2012 2/2
Il Garante - riservandosi di valutare, con separato provvedimento, gli estremi per
contestare al Comune di Veronella la violazione amministrativa prevista dall’art. 162,
comma 2-bis del Codice e considerata l’impregiudicata facoltà dell’interessata di far
valere i propri diritti in sede civile ai sensi dell’art. 15 dello stesso - ritenuto illecito il
trattamento dei dati effettuato dal Comune di Veronella:
vieta al Comune di Veronella di diffondere ulteriormente in internet – sia
attraverso la pubblicazione nell'albo pretorio online che in qualsiasi altra area del
sito web istituzionale – i dati personali della residente;
prescrive al Comune di Veronella, di apportare gli opportuni accorgimenti affinché
le modalità di pubblicazione delle deliberazioni contenenti dati personali sul sito web
istituzionale e, in particolare, sull'albo pretorio online rispettino le indicazioni
contenute nel provvedimento del 2 marzo 2011 recante le "Linee guida in materia di
trattamento di dati personali contenuti anche in atti e documenti amministrativi,
effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web”;
27
28. Cassazione civile , sez. I,
sentenza 13.02.2012, n. 2034
1/2
La vicenda trae origine dalla pubblicazione sull’Albo pretorio di un
Comune di un provvedimento amministrativo di diniego di
riconoscimento di causa di servizio, già espresso dalla Commissione di
verifica, contenente oltre che i dati identificativi del dipendente anche la
diagnosi;
La pubblicazione della determinazione amministrativa era avvenuta in
modo tale che chiunque avrebbe potuto leggerne la motivazione ed
apprendere quindi le informazioni sulla salute del dipendente;
La Suprema Corte rileva che le motivazioni del provvedimento si
sarebbero potute egualmente esprimere adottando una modalità tale
da non renderne possibile la lettura da parte di chiunque, ipotesi,
quest’ultima, che aveva creato preoccupazione all’uomo per il “non
sapere quali e quante persone avevano in realtà conosciuto la sua
situazione di salute”;
28
29. Cassazione civile , sez. I,
sentenza 13.02.2012, n. 2034
2/2
La Suprema Corte nel far riferimento al principio di cui
all’articolo 11 del D.lgs. 196/03, chiarisce come la pubblica
amministrazione commette illecito se effettua il trattamento di un
dato personale che risulti eccedente le finalità pubbliche da
soddisfare e, quindi, per chiedere il risarcimento del danno non
patrimoniale è sufficiente lamentare un patema d'animo,
essendo “le modalita' della divulgazione idonee, gia' per se
stesse, a dimostrare l'esistenza di un pregiudizio”;
Con queste motivazioni la Suprema Corte ha convalidato la
sentenza di primo grado con la quale il Comune e la dirigente
che aveva adottato la determinazione amministrativa, sono stati
condannati al risarcimento di 16.000 euro nei confronti di un suo
dipendente;
29
30. No ai dati sulla salute dei cittadini sui siti
web dei Comuni (12/03/2013)
Il Garante ha fatto oscurare dai siti web di circa 10
Comuni di piccole e medie dimensioni (e altri sono in
arrivo) i dati personali contenuti in alcune ordinanze con
le quali i sindaci disponevano il trattamento sanitario
obbligatorio per determinati cittadini;
Le ordinanze, tra l’altro, erano facilmente reperibili anche
sui più usati motori di ricerca, come Google: bastava
digitare il nome e cognome delle persone;
Il Garante procederà ad avviare nei confronti dei Comuni
interessati le previste procedure sanzionatorie per
trattamento illecito di dati personali;
30
32. 32
Perché ABIRT?
perché nell’ambito dell’inarrestabile processo di
digitalizzazione, i “responsabili del trattamento”
rivestono un ruolo sempre più delicato e strategico;
perché la digitalizzazione, considerata la sua
complessità e delicatezza, deve essere affrontata e
gestita in maniera multidisciplinare;
perché una corretta conservazione digitale dei dati e dei
documenti è possibile solo se si garantiscono idonee e
preventive misure di sicurezza;
33. 33
La mission di ABIRT
rappresentare, sostenere e tutelare i responsabili del
trattamento a livello nazionale;
favorire la collaborazione e il confronto tra i responsabili
del trattamento dei dati personali anche attraverso
l’organizzazione di convegni, seminari, incontri di
approfondimento e corsi di formazione;
contribuire all’avvio dell’importante sinergia prevista
dall’art. 44, comma 1-bis, del CAD tra le due figure
cruciali nella corretta gestione informatica dei dati: il
responsabile della conservazione digitale e il
responsabile del trattamento dei dati personali;
34. 34
Grazie per l’attenzione
Per eventuali approfondimenti
potete contattarmi al seguente
indirizzo di posta elettronica:
franco.cardin@alice.it