Post on 11-Aug-2020
transcript
avv. Valentina CAROLLO Consigliere e Referente Informatico COA Rovereto
avv. Eliana Sarra Commissione Informatica COA Rovereto
Seminari PCT - I sessione, anno 2016 V INCONTRO, 7 luglio 2016
Privacy e informatica nello studio legale
Di “privacy” si parla da un po’,eppure …
Legge
n.675 del 1996
Privacy & Scenari
! " + $ %
Mercoledì 10 febbraio 2016 & (9)
La Polizia: non aprite quella mailNuova ondata di virus spilla-soldi
La Polizia Postale e delle Comunicazioni mette in guardia gli utenti del webda una nuova ondata di attacchi attraverso invio di mail contenenti il notovirus Cryptolocker che blocca il computer chiede un riscatto.
Lo scenario è il seguente: l’ignaro utente riceve sulla propria casella di posta elettronica
un messaggio che fornisce indicazioni ingannevoli su presunte spedizioni a suo favore
oppure contenente un link o un allegato a nome di Istituti di credito, Aziende, Enti, gestori e
fornitori di servizi noti al pubblico.
Cliccando sul link oppure aprendo l’allegato (solitamente un documento in formato
pdf o zip), viene iniettato il virus che immediatamente cripta il contenuto delle
memorie dei computer, anche di quelli eventualmente collegati in rete. A questo
punto, spiega la polizia, si realizza il ricatto dei criminali informatici che richiedono agli
utenti, per riaprire i file e rientrare in possesso dei propri documenti, il pagamento di una
somma di alcune centinaia di euro in bitcoin a fronte del quale ricevere via e-mail un
programma per la decriptazione.
Accedi Registrati Edizione Digitale | Abbonamenti | Necrologie | Concorsi | EcoStore
La Polizia: non aprite quella mail Nuova ondata di virus s... http://www.ecodibergamo.it/stories/bergamo-citta/la-poli...
1 di 4 06/07/16 23:03
Carissima Valentina,
sono stato colpito da Troldesh/Shade e tutti i miei dati sono ora criptati. Sai a
chi posso rivolgermi per risolvere questo problema?
Art. 167. Trattamento illecito di dati1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, […] è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.
Sanzioni penali - D.Lgs. n. 196/2003
Sanzioni penali - D.Lgs. n. 196/2003Art. 169. Misure di sicurezza1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni.2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il
• ART. 15 D.Lgs. 196/03 (Danni cagionati per effetto del trattamento) 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. 2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.
• ART. 2050 C.C. (Responsabilità per l'esercizio di attività pericolose) 1. Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati [965 c. nav.], è tenuto al risarcimento [2056 ss.; 678 c.p.], se non prova di avere adottato tutte le misure idonee a evitare il danno [2054].
Sanzioni Civili - D.Lgs. n. 196/2003
Sanzioni Amministrative - D.Lgs. n. 196/2003
•Art. 161. Omessa o inidonea informativa all'interessato•1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.
Art. 162. Altre fattispecie2-bis. In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta.
Controlli 2015 303 ispezioni
1700 ca. violazioni amministrative contestate
riscossi 3 milioni e 500 mila euro
33 violazioni segnalate all'autorità giudiziaria, in particolare per mancata adozione di misure minime di sicurezza
OCCORRE DUNQUE PRESTARE MOLTA ATTENZIONE AL TRATTAMENTO DEI
DATI PERSONALI
“trattamento" =qualunque operazione o complesso di
operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati
"dato personale" = qualunque informazione relativa a persona fisica persona giuridica, ente od associazione, , identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
“dati identificativi” - "dati giudiziari" - "dati sensibili"
COSA OCCORRE FARE DUNQUE?
1. ACQUISIRE VALIDAMENTE …
2. UTILIZZARE CORRETTAMENTE …
3. PROTEGGERE DA PERDITA O ACCESSI / USI NON LEGITTIMI …
✓Finalità del trattamento ✓Modalità del trattamento ✓Facoltatività o meno del
conferimento dei dati ✓Conseguenze in caso di riufiuto del
conferimento ✓Comunicazione dei dati ✓Diffusione dei dati ✓Trasferimento dei dati all’estero ✓Diritti dell’interessato ✓Titolare del trattamento
1. ACQUISIRE VALIDAMENTE
• A) Informativa (ART. 13 D.Lgs. 196/2003)
• B) Consenso (ARTT. 23 - 24 D.Lgs. 196/2003)
A)
informativa
16
deve precedere il trattamento
può essere data in forma orale o scritta
deve riguardare gli aspetti riportati nell’art. 13 D.Lgs.
196/2003
può non comprendere informazioni già note
all’interessato
“ALLEGATO 1: Informativa ai sensi dell'art. 13 d. lgs. 196/2003
Gentile Cliente,ai sensi dell'art. 13 d. lgs. 196/2003 (di seguito T.U.), ed in relazione ai dati personali
di cui questo StudioLegale entrerà in possesso, il Titolare del trattamento dati Le fornisce le seguenti
informazioni […]”
B)
consenso dell'interessato
18
•espresso
•può riguardare l'intero trattamento ovvero una o più operazioni dello stesso
•espresso liberamente e specificamente riguardo un trattamento chiaramente individuato
•documentato per iscritto
•“informato”
•manifestato in forma scritta quando il trattamento riguarda dati sensibili.
• TITOLARE - persona fisica / giuridica, cui competono le scelte sulle finalità e modalità del trattamento, compreso il profilo della sicurezza
• RESPONSABILE(I) INTERNO o ESTERNO - persona fisica / giuridica, la cui designazione è facoltativa; ricorre frequentemente in presenza di servizi in outsourcing (es. elaborazione buste paga, assistenza informatica)
• INCARICATO/I - questa figura, la cui designazione è obbligatoria, individua le persone fisiche che - materialmente - compiono operazioni di trattamento dei dati all’interno dello studio professionale
2. UTILIZZARE CORRETTAMENTE
➔ per iscritto
➔ istruzioni
LETTERA DI INCARICO
ALLEGATO 2
Lettera di incarico al trattamento dei dati con istruzioni
Codice in materia di protezione dei dati personali (D.Lgs. 196/2003)
[ … ]
ALLEGATO A.6. Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere
investigazioni difensive
ALLEGATO 3: Lettera di incarico della custodia delle parole chiave(da utilizzarsi qualora non esista un amministratore di sistema o il Titolare - persona fisica non preferisca custodire le password direttamente)
23
3. PROTEGGERE DA PERDITA O ACCESSI / USI NON LEGITTIMI
La gestione dei dati in cloud
http://giuridica.net/cloud-computing-opportunita-consapevole-per-avvocati/
Sicurezza Informatica
misure di sicurezza
Misure Minime (all. B) - il mancato rispetto costituisce reato Misure idonee (art. 31, co. 1) - la mancata adozione espone al
risarcimento dei danni
IDONEEMINIME
Misure idonee Art. 31 D.Lgs. n. 196/2003
IDONEE E PREVENTIVE MISURE DI SICUREZZA
Per ridurre al minimo i rischi di:
-distruzione/perdita dei dati -accesso non autorizzato -trattamento non consentito, non conforme
In relazione a: - conoscenze acquisite dal
progresso tecnico; - natura dei dati - specifiche caratteristiche del
trattamento
NB: Le polizze professionali coprono la responsabilità civile, non penale, e
SOLO a determinate condizioni!
MISURE DI SICUREZZA MINIME
D.Lgs. 196/2003, “Allegato B”
MISURE DI SICUREZZA MINIME
MISURE DI SICUREZZA MINIME
MISURE DI SICUREZZA
MINIME
MISURE DI SICUREZZA MINIME
MISURE DI SICUREZZA MINIME
ANTIVIRUS e S.O. II I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.
MISURE DI SICUREZZA MINIME
• 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
• a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
• b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
• c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.
E' … può essere... potrebbe essere quindi utile... la redazione annuale del DPS ?
E’ MOLTO OPPORTUNO predisporre un documento interno che riepiloghi tutti gli adempimenti illustrati e la periodicità, tanto più che è bene “mantenere l ’a l lenamento” , poiché i l nuovo Regolamento (da applicarsi dal 25 maggio 2018) prevede, all’art. 30, la redazione dei Registri delle attività di trattamento, dal contenuto molto simile al DPS!!
grazie per l’attenzione
39