L'Avvocato nell'Era digitale - Avv. Maurizio Reale
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
This page was exported from - Il Processo Telematico - La Privacy - La Sicurezza Informatica
Export date: Wed Nov 27 1:09:30 2019 / +0000 GMT
L'Avvocato nell'Era digitale
CAPITOLO TRATTO DALL'EBOOK "IL PROCESSO TELEMATICO" SCRITTO DAGLI AVVOCATI SABRINA
SALMERI E MAURIZIO REALE - PUBBLICATO DA ALTALEX NEL SETTEMBRE 2016
A Giorgio Rognetta, grande ispirazione per tutti noi
L'avvocato nell'Era Digitale
Prefazione
Quando il Collega e amico Maurizio Reale mi ha chiesto di aggiungere al suo notissimo eBook, sul Processo Telematico, una
seconda parte relativa alla Sicurezza informatica e alla Privacy, oltre ad esserne onorata, mi son chiesta quale potesse essere il modo
corretto per trattare questo argomento in modo agevole ed esaustivo. La risposta che mi son data è questa: non esiste un modo
agevole né esaustivo per parlare di tali argomenti.
Il tema della sicurezza informatica soprattutto - e la connessa normativa sulla privacy - è come una specie di blob, viscido e
sfuggente, in continuo movimento, un po' come la normativa sul Processo telematico.
L'approccio ai temi che mi accingo a trattare sarà alquanto schietto perché la sicurezza è una cosa seria, specialmente per noi
professionisti. In questi ultimi anni ho sentito tanti, troppi colleghi che a causa di varie circostanze (furti, incendi, virus, rottura di
hard disk, ecc.) hanno perso anni di lavoro per la superficialità con cui gestivano i loro computer. E, dunque, considerato che
nell'ultimo decennio il lavoro dell'avvocato si svolge prevalentemente al computer, abbiamo l'onere di fare tutto ciò che è in nostro
potere per scongiurare disastri di varia natura.
Output as PDF file has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com | Page 1/28 |This page was exported from - Il Processo Telematico - La Privacy - La Sicurezza Informatica
Export date: Wed Nov 27 1:09:30 2019 / +0000 GMT
Sono stata abbastanza brutale?
Sabrina Salmeri
Premessa
«Il Diritto è la nostra ascia: è stato uno strumento utile, importante e potente. Si tratta di un cimelio di famiglia, un elemento che ci
sta a cuore e del quale siamo orgogliosi. E' anche estremamente diverso da quello di una volta, anche se abbiamo difficoltà a capire
come sia cambiato adesso. Ciò che noi chiamiamo Diritto non è più quello che i nostri antenati avevano in mente quando usavano
questo termine (?)».
Attraverso queste parole, Ethan Katsh[1, professore della Università del Massachusetts, rappresentava ai suoi studenti l'evoluzione
del diritto nell'era moderna. L'avvento delle nuove tecnologie, e la loro applicazione al lavoro quotidiano dell'avvocato, rende
necessario il loro adeguamento al nostro Diritto. Operazione non sempre facile, specialmente quando norme speciali incontrano
l'antica voce dei nostri Codici.
In Italia tale evoluzione coincide con l'obbligatorietà dell'invio telematico degli atti giudiziari disposta dalla L. 221/2012. Com'è
ormai noto, infatti, dal 30 giugno 2014, gli avvocati hanno iniziato a fare i conti con dispositivi (token, scanner, digital key) e
applicazioni (convertitori di file, software per leggere file firmati digitalmente, redattori e gestionali) che fino ad allora
disconoscevano, o quasi.
L'evoluzione della professione forense però non ha riguardato solo l'Italia.
In America, ad esempio, alla fine degli anni '90, sono nate le prime scuole di formazione per gli avvocati digitali. Proprio seguendo
gli studi del professor Katsh, per capire a fondo quali siano le implicazioni di questa transizione nel mondo digitale, alcuni
ricercatori[2 hanno affrontato il fenomeno dividendo la storia in tre grandi epoche di comunicazione: orale, stampata e digitale. Gli
avvocati digitali, secondo Katsh, dovranno avere una prospettiva che non riguarda semplicemente cosa fanno le nuove tecnologie,
ma le modalità con cui lo fanno.
Quest'ultimo assunto non vuol certo far intendere che gli avvocati dovranno diventare informatici per capire tutta una serie di
processi alquanto lontani da loro, sia per tipologia di percorso di studio che per attitudine personale. E' certo però che si sta andando
verso una concezione di avvocato molto diversa da ciò che siamo stati abituati a vedere fino ad una decina di anni fa.
In Italia poche università prendono sul serio lo studio dell'informatica giuridica come insegnamento fondamentale nel corso di laurea
in giurisprudenza. Oggi, infatti, non si può essere un professionista senza la conoscenza - almeno dei concetti base - della IT
(information technology). Ecco perché si parla, da qualche anno ormai, di alfabetizzazione informatica nella professione forense.
I computer e la Rete ci hanno costretto a trovare un nuovo modo di organizzare le nostre vite e il nostro lavoro. La tecnologia è
diventata onnipresente e accelera in modo impressionante. Allo stesso tempo, anche il modo in cui è amministrata la giustizia sta
cambiando. L'avvento del processo telematico ha imposto un nuovo tipo di struttura dello studio legale: la gestione e conservazione
dei documenti informatici, il trattamento dei dati personali e la sicurezza informatica sono concetti con cui l'avvocato deve
quotidianamente avere a che fare.
L'avvocato 2.0 è dotato di smartphone, sempre connesso ad internet, per ricevere in tempo reale le comunicazioni di cancelleria e
quelle dei colleghi (magari anche attraverso app), consulta banche dati online per essere operativo in qualunque località si trovi. Ha
un minimo di conoscenze informatiche, tali da risolvere problemi pratici relativi ai device di uso quotidiano o quanto meno ha un
informatico di fiducia a cui rivolgersi tempestivamente per risolvere ogni problema tecnico riscontrato per esempio durante l'invio
dell'atto telematico.
Questa interconnessione ci porta però ad essere un facile bersaglio di delinquenti.
Le domande a cui proveremo a dare risposta sono le seguenti:
perché è importante la sicurezza informatica in uno studio legale?
quali sono le conseguenze di avere dati non sicuri?
cosa si può fare per colmare eventuali falle nella sicurezza dei nostri pc?
Output as PDF file has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com | Page 2/28 |This page was exported from - Il Processo Telematico - La Privacy - La Sicurezza Informatica
Export date: Wed Nov 27 1:09:30 2019 / +0000 GMT
gli avvocati hanno obblighi di legge in questo settore?
E' accertato che i dati all'interno degli studi legali non sono sufficientemente protetti e, intanto, i clienti sono sempre più consapevoli
di questo e, contemporaneamente, sono informati sui diritti connessi alla protezione dei dati personali: quali sono i protocolli di
sicurezza dello studio legale? Il mio avvocato usa la crittografia o ha una polizza assicurativa che copra anche un'eventuale
violazione dei miei dati personali?
Le conseguenze di un furto di dati all'interno di uno studio potrebbero essere la perdita, spesso permanente, di dati personali o
sensibili (anche dei clienti), l'interruzione dell'attività, perdite finanziarie legate al tentativo di ripristinare i sistemi, il danno
all'immagine dello studio, il dover pagare salatissime sanzioni amministrative o addirittura subire condanne penali.
Cosa può fare quindi un avvocato?
Il primo passo è capire come la tecnologia sia ormai un elemento integrato nel rapporto con il cliente e non un semplice ausilio al
nostro lavoro; assumere un ruolo da protagonista nello sviluppo di una policy di sicurezza dei dati all'interno del nostro studio,
lavorando gomito a gomito con il responsabile IT, con i colleghi e le segretarie; comunicare ai clienti di aver preso tutte le cautele
per evitare il rischio di attacchi informatici.
Partendo dalla sicurezza dei sistemi informatici quindi si parlerà degli obblighi imposti dal Codice Privacy (D.lgs. 196/2003) e
daremo una prima lettura alle novità introdotte dal nuovo Regolamento Europeo in materia di dati personali e a ciò che comporterà
la sua entrata in vigore a maggio del 2018.
Capitolo I
La sicurezza dei sistemi informatici
Sommario: 1. Sicurezza dei sistemi informatici - 2. Strumenti di difesa dei computer - 3. Il fattore umano
Sicurezza dei sistemi informatici]
Il tema della sicurezza dei sistemi informatici è strettamente legato al nuovo modo di essere avvocato.
La massiccia diffusione di Internet, a metà degli anni '90, ha accentuato il rischio di furto e/o perdita dei dati contenuti nei nostri
computer.
Internet è il più grande spazio pubblico che l'umanità abbia conosciuto[3: in questo grande spazio vi sono anche sconosciuti con
cattive intenzioni. Nella Rete risiede un numero indeterminato di utenti che potrebbero avere interesse ad accedere ai nostri dati
personali, documenti riservati o semplicemente usare il nostro account di posta elettronica per veicolare spam[4 o virus.
In un suo recente intervento[5 Mikko Hypponen, uno dei più grandi esperti al mondo di sicurezza informatica, parlò dell'evoluzione
del crimine informatico: negli anni '80 chi programmava virus era il ragazzino nerd che lo faceva solo per divertimento. Oggi non è
più così: il ?nemico? è cambiato. Se vogliamo proteggere i nostri computer dobbiamo capire chi sono gli hacker di oggi: ci sono gli
attivisti (movimenti come Anonymous) che non cercano benefici per loro stessi, non agiscono per soldi, ma agiscono per protesta o
per motivi politici. E poi ci sono i criminali veri e propri, persone che compiono attacchi informatici per fare soldi.
Il crimine informatico produce un business di milioni di dollari al giorno e bisognerebbe sfatare lo stereotipo secondo il quale gli
hacker hanno come unico bersaglio le grandi aziende, le pubbliche amministrazioni o i governi. Secondo Inc.com[6 il 71% dei data
breach (violazione dei dati) sono stati commessi in danno di piccole aziende con meno di 100 dipendenti.
Il cyber crime può far guadagnare oltre il 1000% dell'investimento iniziale[7. Il business del criminale informatico inizia con
l'acquisto sul Dark Web[8 di un trojan (ransomware) che costa circa tremila dollari per arrivare a guadagnarne circa novantamila per
un attacco della durata di 30 giorni[9.
Negli ultimi due anni abbiamo letto su numerose testate giornalistiche, nazionali e internazionali, dell'attacco del famigerato virus
Cryptolocker (v. fig. sotto), un terribile ransomware[10 che tiene in ostaggio i dati del computer, fino a quando l'utente non si piega
alla richiesta di pagamento di un determinato importo in denaro, allo scopo di ricevere dal criminale istruzioni specifiche per
sbloccarlo.
Questo virus, come tanti altri in passato, si diffonde tramite un allegato di posta elettronica, in un file .zip, che a sua volta contiene
Output as PDF file has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com | Page 3/28 |This page was exported from - Il Processo Telematico - La Privacy - La Sicurezza Informatica
Export date: Wed Nov 27 1:09:30 2019 / +0000 GMT
un file eseguibile (.exe o .cab) ma che i pc vedono come file .pdf, o .jpeg, inducendo, quindi, le ignare vittime ad aprirlo. Una volta
installatosi nel pc, il virus cifra tutti i file rendendoli inaccessibili al proprietario.
E' necessario avvertire che il pagamento del riscatto non garantisce il ripristino dei file. Il pagamento avrà il solo effetto di
alimentare l'attività criminale[11.
Il problema delle intrusioni nei nostri sistemi informatici è solo la punta dell'iceberg del tema sicurezza informatica.
Ma vi è di più.
Per tenere al sicuro le informazioni contenute nei nostri terminali occorre un vero e proprio piano strategico sulla sicurezza delle
nostre reti. Un piano che tenga conto non solo del pericolo esterno degli hacker, ma anche di eventuali pericoli interni, causati da
distrazioni o leggerezze dell'operatore.
Leggendo il rapporto Clusit[12 2015 ci si rende conto che in questa fase storica la superficie di attacco complessivamente esposta
dalla nostra civiltà digitale cresce più velocemente della nostra capacità di proteggerla.
L'utente non è certo tenuto a verificare personalmente l'evoluzione e lo stato dell'arte degli strumenti offerti dalla tecnica per
predisporre le dovute cautele di fronte alle potenzialità delle tecnologie, ma dovrà semplicemente adottare dei comportamenti
consapevoli, anche nel dotarsi di strumenti facilmente reperibili sul mercato, talvolta avvalendosi dell'ausilio di personale
specializzato e qualificato nel predisporre determinati apparati di sicurezza[13.
Il concetto di sicurezza informatica è collegato a un complesso di accorgimenti logici, tecnici e organizzativi finalizzati alla
protezione della riservatezza, dell'integrità e della disponibilità delle informazioni, evitando la commissione di reati informatici e
prevenendo eventi (anche fortuiti) o aggressioni in grado di danneggiare gli impianti[14.
Per andare sul tecnico, e per chi volesse approfondire questo tema, segnalo lo Standard ISO/IEC 27001:2005[15: si tratta di una
normativa internazionale che qualifica quali siano i requisiti essenziali per la gestione e l'impostazione di un sistema di controllo
della sicurezza delle informazioni (ISMS).
Strumenti di difesa dei computer]
Un noto motto tra gli esperti di sicurezza informatica dice che ?un computer sicuro è il computer spento e inabissato in fondo
all'oceano?. In uno studio condotto nel corso del 2014 sono state monitorate su scala globale 1.600 aziende appartenenti a 20 diversi
settori merceologici, ed è stato osservato che nel periodo conside-rato, in media, la percentuale di organizzazioni compromesse è
stata superiore al 90%, con alcuni particolari settori (Legal, Healthcare e Pharma, Retail) che hanno avuto un tasso di
compromissione del 100%.
Ciò sta a significare che non esiste la sicurezza al 100%, ma indubbiamente solo l'uso di tutte le strategie in nostro possesso per
avvicinarci a quella percentuale può rendere improbabile un disastro informatico e/o un accesso abusivo ai nostri computer.
Lo sviluppo delle nuove tecnologie informatiche e telematiche ed il loro impatto sulla società moderna rendono indispensabile una
specifica regolamentazione. E' necessario dunque individuare adeguate norme che consentano allo Stato e alla società civile di
difendersi da comportamenti che rappresentano un gravissimo pericolo per la collettività[16.
Diverse aziende informatiche, tra cui anche Microsoft, hanno iniziato una vera e propria campagna di sensibilizzazione per gli utenti
e per l'uso consapevole del computer. Symantec[17 - nota azienda produttrice del famoso antivirus Norton - e Kaspersky hanno
stilato una sorta di decalogo da seguire per evitare il rischio di contagio da virus e perdita di dati sui nostri terminali.
Ispirandoci alle regole suggerite dalle grandi software house si possono qui enucleare alcuni accorgimenti fondamentali per evitare
danni ai nostri elaboratori elettronici.
2.1 L'antivirus
Il primo strumento in difesa dei nostri computer è certamente l'antivirus. Ci sono centinaia di nuovi virus che ogni giorno vengono
creati a ritmo serrato. Alcuni sono relativamente innocui, ma la maggior parte di essi sono progettati per eliminare i file,
compromettere le informazioni riservate, o danneggiare il sistema operativo (es.: Cryptolocker, TeslaCrypt, Locki, ecc.). Per
fermarli, è fondamentale installare un antivirus affidabile e soprattutto aggiornarlo regolarmente. Non si tratta solo di un consiglio,
ma di un obbligo disposto dall'Allegato B al Codice Privacy: ?16. I dati personali sono protetti contro il rischio di intrusione e
dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale.?[18 Come potrete immaginare, visto il ritmo con il quale vengono immessi in Rete i
Output as PDF file has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com | Page 4/28 |This page was exported from - Il Processo Telematico - La Privacy - La Sicurezza Informatica
Export date: Wed Nov 27 1:09:30 2019 / +0000 GMT
virus, è consigliabile programmare un update automatico ogni volta che il computer si collega ad internet.
Attenzione: aggiornare l'antivirus non è sufficiente per essere immuni da attacchi. Molti virus, infatti, sfruttando errori nel sistema
operativo (bug) sono in grado di trovare una back door e penetrare all'interno del nostro pc. Ecco perché anche il sistema operativo
deve essere costantemente aggiornato (con le c.d. patch), così come dovranno essere aggiornati tutti i software installati sulla nostra
macchina.
N.B. Ogni volta che l'antivirus viene aggiornato potrebbero insorgere problemi di compatibilità con device o programmi già
installati. E' accaduto, ad esempio, che con l'aggiornamento di un noto antivirus freeware non venisse più riconosciuta la digital key.
In tali casi, occorrerà entrare nelle impostazioni dell'antivirus per inserire come eccezione il software della digital key o addirittura la
porta USB usata per il dispositivo.
2.2 Il firewall
Il firewall - letteralmente ?muro tagliafuoco? - permette di dividere nettamente l'ambiente esterno dalla rete interna. In altri termini,
esso chiude le porte dall'esterno verso l'interno e lascia aprire all'utente quelle dall'interno verso l'esterno. E' la difesa più efficace
contro le intrusioni informatiche. Anche il firewall è uno dei requisiti essenziali per la sicurezza informatica elencati nel Codice
Privacy.
Esistono diversi tipi di firewall: i firewall hardware e i firewall software.
I primi sono macchine che vengono installate tra la nostra rete (LAN) e la rete Internet. I secondi invece sono sistemi utili per essere
installati su un computer, e analizzano le connessioni in ingresso sulla macchina stessa.
N.B. Come per l'antivirus, anche per il firewall, occorre creare delle eccezioni per i programmi che normalmente usiamo per
lavorare, ad esempio per la cartella contenente il database del redattore atti o del gestionale, e/o per l'eseguibile (programma.exe) del
programma stesso.
La password]
La password è tra le prime linee di difesa dei nostri computer: si tratta anche di una delle misure minime di sicurezza richieste
dall'art. 34 D.Lgs. 196/2003. E' altamente sconsigliato usare le parole più probabili, facilmente individuabili dai malintenzionati (es.
nome, cognome, data di nascita, nome dei figli, dei compagni, o di animali domestici, ecc.). Purtroppo, anche per la facilità di
accesso ai nostri computer e la immane quantità di password che fanno ormai parte della nostra vita, siamo portati a scegliere sempre
la via più facile. Si deve però tenere presente che attraverso appositi software, che tentano tutte le combinazioni di caratteri
utilizzabili sulla tastiera, è possibile scoprire quella da noi scelta, impiegandoci, molto spesso, solo pochi minuti.
La password ideale è una combinazione di lettere, numeri e simboli e contiene un minimo di otto caratteri: esempio s@8r1n@. E'
consigliabile cambiare le password ogni tre mesi. Anche la password, come si è detto, è tra i requisiti minimi dell'Allegato B del
Codice Privacy, il quale dispone al punto ?5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da
almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo
consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e,
successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata
almeno ogni tre mesi.?
N.B. Sarebbe da sconsiderati lasciare la password a disposizione di altri utenti (es. lasciare un post it sullo schermo del computer?).
Non usate mai la stessa password per tutti i siti che consultate abitualmente e cambiate la password del vostro router/modem non
appena ve lo installano, soprattutto in studio.
Backup!]
Un modo indiscutibilmente efficace per mantenere i nostri preziosi dati al sicuro è quello di farne una copia di backup (art. 34
D.Lgs. 196/2003).
Il backup è un salvataggio di sicurezza dei dati prodotti dall'utente. Può essere incrementale o differenziale: il primo salva i dati
Output as PDF file has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com | Page 5/28 |This page was exported from - Il Processo Telematico - La Privacy - La Sicurezza Informatica
Export date: Wed Nov 27 1:09:30 2019 / +0000 GMT
relativi all'ultima modifica del file, il secondo salva tutte le versioni modificate del file. Per effettuare la valutazione di quale sia la
scelta più opportuna per il nostro lavoro occorrerebbe rivolgersi ad un consulente informatico che individuerà le esigenze soggettive
di ciascuno studio legale.
Per un backup efficace non basta copiare i file e le cartelle dei documenti, ma bisogna eseguire una copia esatta del nostro hard-disk,
contenente anche le applicazioni e i software installati, in modo da poter effettuare il noto disaster recovery (All. B n. 23, D.lgs.
196/2003) nei tempi prescritti dalla legge[19.
N.B. Potrebbe essere anche utile servirsi di un drive di rete[20 che ci permetta di evitare di portare in giro dispositivi (pennette usb,
cd-rom, dvd-rom, hard-disk) che possono essere facilmente smarriti o rubati. E' comunque raccomandato mantenere le copie di
backup offline al fine di evitare che la propagazione dell'infezione in rete, o su dispositivi condivisi con l'unità colpita, possa
compromettere anche la copia di riserva.
Ci sono anche sistemi di backup automatico che operano in background, senza che l'utente si accorga di nulla, che possono essere
programmati per creare copie dell'intero pc e/o di cartelle selezionate e/o di unità esterne. Questo tipo di struttura è comodo perché,
operando automaticamente, eviterà di dimenticare la cosa più importante: IL BACKUP!
Posta elettronica]
Molti di noi ricevono decine, se non centinaia, di email non richieste. Alcune, anche quelle di amici o colleghi di lavoro, possono
veicolare virus, worm o trojan, che possono distruggere il computer e i dati in esso contenuti. Nella migliore delle ipotesi, invece,
potremmo ritrovarci la casella di posta elettronica traboccante di spam (posta spazzatura).
La regola generale è: se ricevete una email da qualcuno che non conoscete o se la riga nel campo dell'oggetto vi sembra discutibile,
non apritela. Attualmente, molti gestori locali di posta elettronica (client quali: Outlook, Thunderbird, Mail) utilizzano un sistema
di filtraggio dei messaggi indesiderati, indirizzandoli in una directory (cartella) creata all'occorrenza.
Eliminate immediatamente l'email e gli eventuali allegati.
N.B. Come avrete certamente notato, anche la posta elettronica certificata è spesso veicolo di spam e potenzialmente anche di virus.
Quindi tali regole valgono a maggior ragione per la nostra casella PEC.
L'ultima frontiera degli hacker è l'invio di una email, avente come falso mittente "Procura della Repubblica presso il Tribunale",
nella quale viene notificato l'avviso di un procedimento penale a carico del destinatario per una serie di illeciti commessi. Nel
messaggio in questione il destinatario è invitato a seguire un link per scaricare un documento informativo, relativo al procedimento
in oggetto.
Download da Internet]
Parte del divertimento nella navigazione in Internet consiste nello scaricare musica, film, giochi, applicazioni e software, ma essi
potrebbero rivelarsi fonte di virus (malware[21). Selezionate, quindi, accuratamente ciò che intendete scaricare - e soprattutto il sito
che usate per il download - aggiornate ed eseguite l'antivirus regolarmente.
N.B. I più noti antivurs installano dei comandi azionabili tramite il mouse. E' possibile in tal modo fare un'ulteriore scansione del file
appena scaricato, cliccando sopra di esso con il tasto destro del mouse per verificarne l'affidabilità.
2.7 Il browser
Avrete notato che il browser Web che utilizzate (Chrome, Internet Explorer, Mozilla Firefox, Safari, ecc.) ogni tanto vi chiede se
volete ricordare le password frequentemente usate e magari anche i numeri delle vostre carte di credito. Anche se può sembrare più
semplice e veloce per fare shopping online, è consigliabile declinare sempre questo tipo di offerta. Avere tali dati memorizzati sul
vostro computer significa che tali dati potrebbero essere accessibili anche agli hacker.
N.B. Questo comportamento è assolutamente indispensabile, soprattutto quando si condivide il computer con un collega di studio e/o
praticante.
Sarebbe opportuno, per quanto su esposto, non utilizzare i computer dedicati al lavoro per uso privato: social network, acquisti
online, condivisione di supporti di memorizzazione non certificati, connessioni a reti non conosciute.
Output as PDF file has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com | Page 6/28 |This page was exported from - Il Processo Telematico - La Privacy - La Sicurezza Informatica
Export date: Wed Nov 27 1:09:30 2019 / +0000 GMT
Manteniamo la nostra vita privata privata
Anche se la Rete offre la possibilità di sviluppare amicizie online, bisogna essere consapevoli del fatto che le persone con cui si sta
comunicando potrebbero non essere chi dicono di essere. Non fornite mai informazioni personali attraverso forum online, e-mail,
moduli web, servizi di messaggistica online (Facebook Messenger, Yahoo Messenger, Whatsapp, Telegram).
Attenzione, ad esempio, alle app dei social network che vi inducono a collegare i vostri account per accedere a giochini o a
sondaggi: attenzione anche alle app che richiedono accesso alla rubrica e/o alla vostra posizione geografica.
Da questa non esaustiva elencazione, si può notare come diversi suggerimenti sono strettamente collegati a prescrizioni di legge
contenute nel D.lgs 196/2003 (c.d. Codice Privacy), del quale parleremo nel capitolo II.
Il fattore umano]
Se vi doveste trovare a parlare con un esperto di sicurezza informatica, vi direbbe che prima di procedere allo sconvolgimento
tecnologico in studio, bisognerebbe ?educare? gli utenti. Avvocati, praticanti, segretarie, dipendenti dello studio legale, devono
prendere coscienza di ciò che significa Sicurezza.
Uno dei più noti hacker al mondo, Kevin D. Mitnick, afferma che le tecnologie di sicurezza informatica possono rendere più difficili
gli attacchi informatici semplicemente sottraendo il potere decisionale alle persone. Sembra una provocazione, ma - continua
Mitnick - l'unica maniera efficace per ridurre la minaccia sarebbe l'uso delle tecnologie assieme a procedure che impongano delle
regole base di comportamento del personale e una preparazione adeguata degli operatori[22.
Un paio di anni fa, l'Università di Pittsburgh, in Pennsylvania, ha eseguito una ricerca per dimostrare come la maggior parte dei
?buchi? (bug) nella sicurezza informatica è spesso determinato dal cosiddetto human factor - il fattore umano - l'anello più debole
della sicurezza[23.
L'utente medio si affida incautamente a ciò che legge in rete e scarica di tutto sul proprio computer. I ricercatori dell'Università, per
consolidare tale assunto, hanno diffuso in rete un programma che, a seguito di una ricompensa in denaro, invitavano a scaricare. Per
la irrisoria cifra di un dollaro ben il 42% degli utenti ha scaricato il file ?esca? da internet.
Questo dato è davvero inquietante perché dimostra ciò che da anni ormai gli studiosi della materia affermano: gli attacchi
informatici si concentrano maggiormente sullo sfruttamento della scarsa consapevolezza degli utenti piuttosto che sulle falle dei
sistemi.
Tutti gli ultimi attacchi di cui abbiamo letto sulle varie testate giornalistiche si basano sulla ingenuità dell'utente nel gestire il proprio
computer. Come disse Bruce Schneier[24 la sicurezza non è un prodotto, ma un processo. Inoltre non è un problema di tecnologia,
bensì di persone e gestione di entrambe. A tal proposito, mi preme segnalare una lodevole (ma alquanto sconosciuta) iniziativa della
Polizia di Stato[25 che informa gli utenti delle minacce in atto sulla Rete. Sul sito della Polizia di Stato ci sono anche le indicazioni
su come denunciare l'attacco subìto e una serie di approfondimenti su tutti i vari tipi di rischi che si corrono senza un'adeguata
informazione.
Quali sono quindi i passi per evitare questi rischi?
Tornando a quanto rilevato da Mitnick (chi meglio di un hacker ci può spiegare come evitare un attacco informatico?!) bisognerà
predisporre un programma completo di sicurezza delle informazioni, iniziando dalla valutazione del rischio:
Quante e quali sono le informazioni da proteggere?
Quali sono le minacce specifiche per i miei dati?
Output as PDF file has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com | Page 7/28 |This page was exported from - Il Processo Telematico - La Privacy - La Sicurezza Informatica
Export date: Wed Nov 27 1:09:30 2019 / +0000 GMT
Quale danno posso subire nel caso di furto di dati e/o informazioni?
Il primo passo è, come già detto, la consapevolezza che il rischio è molto alto. Non sottovalutate il rischio (?ah ma io che dati ho in
fondo??, ?vabbè io ho l'antivirus, che vuoi che passi nel mio pc?, ?anche se mi rubano i dati io ho il backup su Dropbox!?) e non
abbandonate le best practices ? acquisite magari dopo un mirato corso di formazione ? solo perché troppo laboriose e/o dispendiose.
Negli ultimi anni si è sviluppato un mercato globale di compravendita di dati, per i fini più disparati, che inducono gli hacker ad
attaccare un target indefinito.
E voi potreste essere tra questi.
Le regole per evitare che il fattore umano sia la rovina del nostro studio possono così essere elencate:
consapevolezza del rischio di attacco, mai abbassare la guardia;
educazione dell'utente all'uso del pc (alfabetizzazione informatica);
uso di antivirus e firewall con aggiornamento automatico programmato quotidianamente;
uso di password ad autenticazione forte (alfanumerica e con caratteri speciali): è consigliabile cambiare la
password ogni tre mesi;
se si usa un gestionale, che gestisce dati personali di clienti, usare una ulteriore password che autentichi solo
l'utente responsabile del trattamento dati;
impostazione del blocco schermo nel pc della segretaria, in modo che quando sia costretta ad allontanarsi dalla
scrivania, non consenta, a chi si trovi nelle vicinanze, di vedere ciò che si trova in quel momento sul monitor;
per evitare le tecniche di social engineering i dipendenti, le segretarie e i partner di studio dovrebbero annotare telefonate sospette e
riferirle a chi si occupa della sicurezza delle reti;
chiudete a chiave il server in un cabinet apposito e consegnate le chiavi solo a persone fidate;
effettuate backup periodici ? almeno ogni settimana ? su dispositivi delocalizzati rispetto al computer di studio
o su hard disk che provvederete a rimuovere e portare in luogo sicuro ogni sera, alla fine della giornata
lavorativa.
Se tutte queste prescrizioni vi sgomentano sappiate che lo spavento maggiore sarebbe quello di non trovare più i vostri dati sul pc.
Se non vi sentite in grado di ottemperare a queste semplici regole, il mio consiglio è quello di rivolgervi ad un consulente
Output as PDF file has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com | Page 8/28 |This page was exported from - Il Processo Telematico - La Privacy - La Sicurezza Informatica
Export date: Wed Nov 27 1:09:30 2019 / +0000 GMT
informatico, il quale predisporrà un piano strategico personalizzato per le vostre esigenze e ne curerà l'osservanza.
Stato dell'arte e prospettive per il futuro
Come dicevo in premessa, questa sezione non ha alcuna pretesa di essere esaustiva. Ha il solo scopo di informare quali siano i
principali rischi di una superficiale gestione del problema della sicurezza informatica nei nostri studi e offrire pratiche soluzioni per
prevenire eventuali danni ai nostri computer.
Nel panorama internazionale, e nazionale, vi sono delle organizzazioni - governative e non ? che si occupano di cyber security in
riferimento a molte altre tipologie di attacco, prime tra tutte la Cyber War.
Il Cyber Security National Lab[26 ha pubblicato l'anno scorso un libro bianco per raccontare le principali sfide che il nostro Paese
dovrà affrontare nei prossimi cinque anni. L'ufficializzazione di un lavoro che ha coinvolto diversi esperti in materia e che evidenzia
tante lacune e preoccupazioni che, se affiancato al già citato rapporto Clusit, ci da una panoramica sconcertante sul c.d. stato dell'arte
in materia.
Dello stesso tenore sono state le conclusioni tratte alla fine dell'incontro tenutosi alla Camera dei Deputati[27 il 9 giugno scorso, tra
rappresentanti del governo ed esperti di sicurezza informatica.
L'Onorevole Antonio Palmieri ? cofondatore dell'Intergruppo parlamentare per l'Innovazione - ha aperto i lavori affermando che la
cyber security è un tema che nel nostro Paese è ancora sottovalutato e non ha la necessaria visibilità ed attenzione, soprattutto in
termini di consapevolezza diffusa tra i cittadini, i media e, purtroppo, anche delle istituzioni.
Constatazione pesante, considerato che l'Italia sta faticosamente mettendo in piedi il processo di digitalizzazione della Pubblica
Amministrazione. Pensare che una volta digitalizzato tutto si corre il rischio di falle nel sistema di conservazione e tutela di quel
patrimonio fa di certo riflettere se non sia il caso di costruire prima la pentola piuttosto che il coperchio.
L'intervento più sconcertante però è stato quello del professore Umberto Gori ? dell'Università di Firenze ? il quale ha evidenziato le
scarse conoscenze del nostro nemico, riferendosi ai terroristi. ?Conosciamo il nostro nemico? No, ma lui conosce benissimo noi.?
Il CSNL si augura che, data l'ubiquità del cyberspazio e la interconnessione delle varie infrastrutture critiche a livello internazionale,
gli Stati si impegnino a combattere le minacce che provengono dallo spazio cibernetico e che producono effetti ?reali?; si auspica la
costituzione di strutture di alert che ricevano le notifiche di attacchi informatici nei confronti di soggetti pubblici e privati per
garantire al meglio la resilienza dell'intero sistema Internet-based.
Altro aspetto inquietante, legato allo sviluppo delle nuove tecnologie, è la c.d. Internet delle Cose (Internet Of Things[28 - IOT): io
la chiamerei piuttosto Internet in ogni cosa.
Marco Calamari[29, ingegnere nucleare, all'ultima edizione del Festival Internazionale del Giornalismo, tenutosi a Perugia lo scorso
aprile, ha esposto i rischi di questa computerizzazione pervasiva. L'Internet delle cose è la materializzazione di quello che una volta
era chiamato "Ubiquitous Computing" (il calcolo da ogni parte) e poi "Pervasive Computing" (il computer pervasivo), entrambi visti
in passato come aspetti positivi della tecnologia. Oggi la nuda verità, dichiara Calamari, è che tutti i dispositivi di elettronica di
consumo sono ben al di là del pieno controllo dei loro proprietari. Inoltre le familiari cose "analogiche" del passato, come le
automobili e i televisori, sono adesso dispositivi di elaborazione specializzata, facendo molto di più che trasportare passeggeri o
mostrare film e notizie, perché sono pieni di funzioni nascoste. I televisori di ultima generazione, le c.d. smart tv, ci ascoltano, ci
guardano e riferiscono al loro produttore ciò che hanno acquisito. Gli apparecchi del prossimo futuro quindi potrebbero, oltre che
ascoltare e vedere, agire di propria iniziativa, senza bisogno di alcun comando, anticipare i nostri desideri: ma li vorremmo in casa?
Stesso discorso, a maggior ragione, vale anche per i nostri smartphone, tablet, computer, ma anche lavatrici e ferri da stiro. Le cose
sono costruite con milioni di righe di codice all'interno, e tutto questo software si suppone che sia privo di bug e non controllato da
soggetti diversi dal proprietario. Si suppone per l'appunto, o meglio, lo si spera.
A proposito dell'invadenza dei dispositivi smart nelle nostre vite, Calamari simpaticamente sostiene che il 99% di persone non
conosceva, fino a pochi anni fa, nemmeno il concetto di privacy, quello di dato personale e della crittografia: quella stessa
percentuale è passata dall'indifferenza/ignoranza al salto consapevole sul carro del ?nemico?. Perché nessuno rinuncia a Facebook,
anche i cosiddetti addetti al settore (informatico).
Come è evidente l'argomento dell'Internet delle Cose è strettamente legato al concetto di privacy, di cui parleremo nel prossimo
capitolo.
Output as PDF file has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com | Page 9/28 |This page was exported from - Il Processo Telematico - La Privacy - La Sicurezza Informatica
Export date: Wed Nov 27 1:09:30 2019 / +0000 GMT
La gestione dei nostri dispositivi smart diventa quindi fondamentale per la nostra sicurezza e la nostra privacy, perché in ogni
momento della nostra vita saremo sempre più circondati da questo tipo di dispositivi, potenzialmente vulnerabili e dai quali sempre
più dipenderemo.
Il pericolo reale è relativo ad attacchi che tenderanno a rendere inutilizzabili i nostri smartphone, televisori, frigoriferi oltre che le
nostre auto[30 che potremo riutilizzare solo a seguito di pagamento di un riscatto.
Si accennava precedentemente alla crittografia: è uno degli strumenti fondamentali per la sicurezza dei sistemi e delle reti, che
permette di trasformare i dati in modo che siano accessibili solo se si conosce una chiave segreta.
Questa tecnica consente di cifrare un messaggio o un testo, rendendolo incomprensibile a tutti fuorché al suo destinatario. I due
processi che vengono applicati in crittografia si dividono in cifratura e codifica. La cifratura lavora sulle lettere individuali di un
alfabeto, mentre una codifica lavora ad un livello semantico più elevato (una parola o una frase). I sistemi di cifratura possono
lavorare per trasposizione (mescolando i caratteri di un messaggio in ordine diverso) o per sostituzione (scambiando un carattere con
un altro, seguendo una regola precisa) o una combinazione di entrambi.
Ogni sistema di crittografia ha due parti essenziali: un algoritmo (per codificare e decifrare) e una chiave (informazione che,
combinata con il testo in chiaro passato attraverso l'algoritmo, darà poi il testo codificato).
Ogni sistema connesso ad una rete accessibile in chiaro, o senza un adeguato sistema crittografico, può essere vittima di un attacco
con il quale intercettare tutte le informazioni scambiate, incluse password e numeri di carte di credito.
La crittografia, oltre a proteggere la confidenzialità dei dati (è infatti richiesta dal Codice Privacy specificamente nei casi di
trattamento dei dati c.d. ultrasensibili), permette di realizzare meccanismi di identificazione forte, non basati su password. Tantissimi
oggetti di uso comune sono, di fatto, dispositivi crittografici: bancomat, carte di credito, smartcard, SIM di telefoni, generatori di
password usati dalle banche, ecc.
Conclusioni
La velocità con cui gli attacchi informatici si propagano richiede un forte coordinamento tra rilevazione della minaccia e risposta
delle Autorità. Gli studiosi del Cyber Security National Lab pongono l'attenzione sulla necessità di una revisione del piano strategico
allo scopo di centralizzare competenze e responsabilità relative alla sicurezza cibernetica. Uno dei compiti fondamentali di un ente
centrale per la sicurezza dovrebbe essere quello di delineare obiettivi strategici che permettano all'Italia di entrare nel gruppo dei
Paesi sicuri, di diventare cioè un Paese in cui il rischio di furto di informazioni digitali sia minimo e la sicurezza nelle transazioni
on-line sia massima.
Garantire luoghi sicuri dove mantenere e scambiare informazioni è condizione necessaria per assicurare la prosperità economica di
un Paese e la sicurezza fisica dei suoi abitanti.
La messa in sicurezza del cyber space nazionale è quindi un obiettivo strategico.
Ovviamente si tratta di un piano ambizioso, perché la sicurezza costa: ma essa va vista come un investimento e come precondizione
indispensabile per garantire la competitività del nostro sistema produttivo.
Per le particolari caratteristiche del settore della sicurezza cibernetica, che può richiedere riservatezza - se non addirittura segretezza
? nel trattamento delle informazioni, ampiezza di conoscenze e dati, personale di altissima qualificazione, infrastrutture hardware e
software, le relazioni tra accademia, pubblico e privato dovrebbero evolvere in qualcosa di più articolato rispetto alle discontinue
relazioni presenti al momento sul territorio. Sarebbe necessaria, dunque, una struttura leggera, centralizzata e multidisciplinare, in
parte governativa, in parte privata e in parte legata al mondo della ricerca.
All'estero esistono tali alleanze[31 che hanno tuttavia finalità diverse da quelle che propongono i ricercatori perché si muovono in un
contesto dove già esistono organi governativi che si occupano di sicurezza informatica.[32
Il punto centrale del tema ? a parere del CSNL - è la formazione di ogni settore della società per capire il cambiamento storico
avvenuto con lo sviluppo di Internet, che ha aggiunto una nuova dimensione al nostro modo di vivere.
Ogni singolo lavoratore deve comprendere che, come vittima di attacchi, può facilitare accessi ai sistemi informatici della sua
organizzazione, senza che le tecnologie preposte siano in grado di rilevarli.
Per raggiungere tale obiettivo è necessario potenziare l'educazione specialistica, innalzando la sicurezza a obiettivo strategico.
In ultimo, ma non sicuramente perché meno importante, va rilevata la necessità di rendere tutti i cittadini consapevoli dei rischi
Output as PDF file has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com | Page 10/28 |This page was exported from - Il Processo Telematico - La Privacy - La Sicurezza Informatica
Export date: Wed Nov 27 1:09:30 2019 / +0000 GMT
relativi ai furti di identità, violazione della privacy, intercettazioni, operazioni bancarie, ai quali essi sono esposti quando utilizzano
strumenti informatici, dallo smartphone alle rete wifi (in casa o, peggio ancora, fuori da ambienti conosciuti), dal tablet al computer
in ufficio.
Questa consapevolezza dovrebbe essere promossa attraverso opportune campagne di informazione e di formazione sia sui media
tradizionali, sia sui social network.
Capitolo II
Il trattamento dei dati personali
Sommario: 1. I dati personali e il Codice della Privacy ? 2. Le misure minime di sicurezza - 3. Le sanzioni - 4. L'avvocato e
la privacy ? 5. Il nuovo Regolamento europeo
I dati personali e il Codice della Privacy[33]
Il Codice della Privacy - D.lgs. 20 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali) - modifica, semplifica e
riunisce in un testo unico le precedenti leggi, decreti e codici deontologici in tema di privacy e tutela delle persone rispetto al
trattamento dei dati personali. Un testo unico che raccoglie le esigenze connesse all'evoluzione tecnologica e all'inserimento
dell'individuo nella moderna società dell'informazione, nella quale l'uso dei propri dati personali è indiscriminato e spesso
inconsapevole, e dove gran parte delle azioni svolte, delle scelte e delle preferenze individuali lasciano una traccia che consente di
rilevare la personalità del singolo, violandone la riservatezza.
Osserviamo, ancora, come sicurezza e privacy si fondono in un unico concetto che spesso viene in concreto affermato attuando lo
stesso tipo di comportamento per tutelare sia la prima che la seconda.
Il Codice, subentrato alla legge del 31 dicembre 1996 n. 675, ha introdotto delle importanti novità, in attuazione alle direttive
comunitarie n. 96/45/CE e n. 2002/58/CE espressamente richiamate. Tale tipologia di atto (la direttiva) ? che ha necessità di essere
recepita dai vari stati membri - ha portato ad una differente interpretazione dei precetti espressi dal legislatore comunitario fino a
limitare il principio di libera circolazione dei dati personali in Europa, principio ispiratore della direttiva.
La finalità che il Codice si propone è appunto quella di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti
e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e
al diritto alla protezione dei dati personali.
Sono dati personali, ai sensi del D.lgs. 196/2003, le informazioni che identificano o rendono identificabile una persona fisica e che
possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la
sua situazione economica, ecc.
Particolarmente importanti sono:
i dati identificativi: quelli che permettono l'identificazione diretta del soggetto, come i dati anagrafici (ad esempio: nome e
cognome), le immagini, ecc. (art. 4 c. 1 lett. c);
i dati sensibili: quelli che possono rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l'adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, lo
stato di salute e la vita sessuale di un individuo (art. 4 c. 1 lett. d);]
i dati giudiziari: quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario
giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto o obbligo di soggiorno,
le misure alternative alla detenzione) o la qualità di imputato o di indagato (art. 4 c. 1 lett. e)[34.
Output as PDF file has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com | Page 11/28 |This page was exported from - Il Processo Telematico - La Privacy - La Sicurezza Informatica
Export date: Wed Nov 27 1:09:30 2019 / +0000 GMT
Il Codice all'art. 1 recita che chiunque ha diritto alla protezione dei dati personali che lo riguardano. Tale articolo introduce
nell'ordinamento italiano un diritto fondamentale della persona, autonomo rispetto al più generale diritto alla riservatezza già
richiamato nell'art. 1 della L. 675/1996[35.
Il diritto alla privacy è il diritto al controllo sulla circolazione delle nostre informazioni, sulla loro comunicazione, divulgazione,
diffusione.
Le origini dell'espressione right of privacy risalgono al famoso articolo scritto da Brandeis e Warren intitolato ?The right to
privacy?, nel quale il diritto ad essere lasciati soli (right to be let alone) è ritenuto un'evoluzione giuridica che protegge il lato
spirituale dell'uomo[36.
Nella realtà contemporanea, con il concetto di privacy non si intende soltanto il diritto di essere lasciati in pace o di proteggere la
propria sfera privata, ma soprattutto, come si è detto, il diritto di controllare l'uso e la circolazione dei propri dati personali che
costituiscono il bene primario dell'attuale società dell'informazione.
Il diritto alla privacy e, in particolare, alla protezione dei dati personali, costituisce un diritto fondamentale delle persone,
direttamente collegato alla tutela della dignità umana, come sancito anche dalla Carta dei diritti fondamentali dell'Unione Europea.
Il Codice della Privacy è diviso in tre parti:
Disposizioni generali, (artt.1-45) in cui si elencano i soggetti del trattamento dei dati personali, gli adempimenti e le regole da
seguire nel settore pubblico e privato;]
Disposizioni relative a specifici settori, (artt. 46-140) che disciplinano il trattamento in ambito giudiziario, sanitario, lavorativo,
giornalistico, nonché il trattamento in ambito pubblico e nelle telecomunicazioni;]
Tutela dell'interessato, (artt. 141-186) in cui vengono evidenziate le sanzioni amministrative e gli illeciti penali riconducibili a
condotte omissive in relazione agli obblighi esposti nella prima parte del Codice.]
Il Codice riconosce e tutela il diritto alla protezione dei dati personali, cioè le informazioni inerenti alla persona - ma che non
riguardano la sua sfera privata - ed il diritto alla privacy, volto a proteggere proprio la vita privata dell'individuo.
In base agli artt. 1 e 2 del Codice chiunque ha diritto alla protezione dei dati personali che lo riguardano e il trattamento di tali dati
deve svolgersi nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento
alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali.
L'art. 3 sancisce, poi, il principio di necessità per cui, nel caso di utilizzo di strumenti informatici, l'utilizzazione dei dati personali e
di quelli identificativi deve essere ridotta al minimo e solo qualora le stesse finalità non possano essere raggiunte con l'impiego di
strumenti diversi come il ricorso ai dati anonimi.
Vengono inoltre disciplinati anche i diritti dell'interessato e le modalità di trattamento dei dati.
In allegato al Codice troviamo invece i codici deontologici già approvati e viene proposto un disciplinare, che illustra le misure
minime di sicurezza in fase di trattamento dei dati personali, che analizzeremo nel paragrafo 2.
1.1 I soggetti del Codice della privacy
Il Codice della privacy ha individuato con accuratezza i personaggi che sono direttamente coinvolti nel garantire ad ogni cittadino il
rispetto della sua privacy, in fase di trattamento dei dati personali che lo riguardano.
L'interessato è la persona fisica cui si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l'indirizzo, il
codice fiscale, ecc. di Mario Rossi, questa persona è l"interessato" (art. 4, comma 1, lettera i), del Codice).
Il D.L. 201/2011 ha escluso dalla normativa in esame le persone giuridiche, enti o associazioni, riallineando così la normativa
italiana a quella europea.
Il titolare è la persona fisica, l'impresa, l'ente pubblico o privato, l'associazione cui competono, anche unitamente ad altro titolare,
le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo
della sicurezza (art. 4, comma 1, lettera f), del Codice).
Output as PDF file has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com | Page 12/28 |This page was exported from - Il Processo Telematico - La Privacy - La Sicurezza Informatica
Export date: Wed Nov 27 1:09:30 2019 / +0000 GMT
Il responsabile è la persona fisica, la società, l'ente pubblico o privato, l'associazione o l'organismo cui il titolare affida, anche
all'esterno della sua struttura organizzativa, specifici e definiti compiti di gestione e controllo del trattamento dei dati (art. 4, comma
1, lettera g), del Codice).
La designazione del responsabile è facoltativa (art. 29 del Codice).
L'incaricato è la persona fisica che, per conto del titolare, elabora o utilizza materialmente i dati personali sulla base delle istruzioni
ricevute dal titolare e/o dal responsabile (art. 4, comma 1, lettera h), del Codice).
Al contrario di ciò che viene disposto per il responsabile, la nomina dell'incaricato è obbligatoria, così come affermato dal Garante
per la protezione dei dati personali[37.
1.2 Requisiti dei dati e modalità di raccolta
Ai sensi dell'art. 11 del Codice il trattamento deve avvenire riducendo al minimo l'utilizzo di dati personali (principio di necessità,
art. 3 del Codice). I dati oggetto di trattamento pertanto devono essere:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento
in termini compatibili con tali scopi;
c) esatti e, ove fosse necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore
a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
I dati personali trattati in violazione della disciplina sul trattamento non possono essere utilizzati.
Nel caso in cui il trattamento dei dati personali, pur non coinvolgendo dati sensibili o dati giudiziari, presenti rischi specifici per i
diritti e le libertà fondamentali ovvero per la dignità delle persone in relazione alla natura particolare dei dati trattati (ad esempio:
dati biometrici) oppure, alle modalità del trattamento (ad esempio: sistemi di raccolta delle immagini associate a dati biometrici)
oppure, agli effetti che il trattamento può determinare, il Garante per la protezione dei dati personali - su richiesta del titolare o
d'ufficio - effettua una verifica preliminare all'inizio del trattamento, a seguito della quale può prescrivere misure ed accorgimenti
particolari a tutela dell'interessato (art. 17 del Codice).
1.3 Informativa e consenso
Tutti possono liberamente raccogliere, per uso strettamente personale, dati personali riguardanti altri individui, a patto di non
diffonderli o comunicarli sistematicamente a terzi (es.: i dati raccolti nelle proprie agende cartacee o elettroniche).
Quando però i dati sono raccolti e utilizzati per altre finalità (ad esempio, un'azienda che vuole vendere prodotti, un professionista
che vuole pubblicizzare i suoi servizi, un'associazione che vuole trovare nuovi iscritti, un partito che fa propaganda politica), il
trattamento dei dati personali deve rispettare delle regole.
Fatte salve alcune eccezioni[38, chi intende effettuare un trattamento di dati personali deve prima fornire all'interessato alcune
informazioni (art. 13 del Codice) per metterlo nelle condizioni di esercitare i propri diritti (art. 7 del Codice).
In particolare, l'informativa[39] ? la piattaforma di consapevolezza per l'interessato - deve spiegare:
Output as PDF file has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com | Page 13/28 |This page was exported from - Il Processo Telematico - La Privacy - La Sicurezza Informatica
Export date: Wed Nov 27 1:09:30 2019 / +0000 GMT
a) in che modo e per quale scopo verranno trattati i propri dati personali;
b) se il conferimento dei propri dati personali è obbligatorio o facoltativo;
c) le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali;
d) a chi saranno comunicati o se saranno diffusi i propri dati personali;
e) i diritti previsti dall' 7del Codice;
f) chi è il titolare e, se è stato designato, il responsabile del trattamento.
Se i dati personali sono stati raccolti da altre fonti (ad esempio, archivi pubblici, familiari dell'interessato), cioè non direttamente
presso l'interessato, l'informativa deve essere resa quando i dati sono registrati oppure non oltre la prima comunicazione a terzi.
Il trattamento di dati personali da parte di privati è ammesso solo con il consenso[40] espresso dell'interessato, che può riguardare
l'intero trattamento ovvero una o più operazioni dello stesso. Anche se nel Codice non è contenuta una nozione di consenso, esso
può definirsi come qualsiasi manifestazione di volontà libera, specifica e informata, con la quale la persona interessata accetta che i
dati personali che la riguardano siano oggetto di un trattamento[41.
Il Codice distingue a seconda che chi raccolga il consenso dell'interessato sia un soggetto privato o un soggetto pubblico.
Il trattamento di dati personali da parte di privati è ammesso solo con il consenso espresso dell'interessato, che può riguardare
l'intero trattamento ovvero una o più operazioni dello stesso e deve essere documentato per iscritto (art. 23 del Codice), che è valido
se all'interessato è stata resa l'informativa (art. 13 del Codice) e se è stato espresso dall'interessato liberamente e specificamente in
riferimento ad un trattamento chiaramente individuato (oppure a singole operazioni di trattamento).
Nel caso in cui a trattare i dati personali sia un soggetto pubblico (ente pubblico, pubblica amministrazione) invece non è necessario
avere il consenso dell'interessato, purché il trattamento sia effettuato nell'ambito dello svolgimento delle proprie funzioni
istituzionali (art. 18 del Codice).
Il consenso, per essere valido ed efficace, deve essere informato, libero, espresso, specifico e avere una determinata forma esteriore
[42.
Le misure minime di sicurezza
Il Capo II del Codice della privacy prende in esame le misure minime di sicurezza a tutela dei dati personali, operando una divisione
tra trattamento dei dati con strumenti elettronici (art.34) e trattamenti che non utilizzano tali strumenti (art. 35). Questi articoli
determinano il complesso delle garanzie minime volte ad escludere, o a ridurre sensibilmente, il rischio di un trattamento illecito
successivo o la successiva compromissione delle qualificazioni essenziali dei dati personali raccolti (in termini di integrità ed
esattezza) ad opera dei soggetti estranei al trattamento stesso. Il titolare del trattamento è obbligato ad adottare misure di sicurezza
idonee a ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento dei dati personali non consentito o
non conforme alle finalità della raccolta (art. 31 del Codice).
Output as PDF file has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com | Page 14/28 |Puoi anche leggere
