Sicurezza e privacy. Leonardo Bocchi CdL in Management dello Sport e delle Attività Motorie Università di Firenze

Transcript

1 Sicurezza e privacy Leonardo Bocchi CdL in Management dello Sport e delle Attività Motorie Università di Firenze

2 Introduzione Che cosa è la protezione dei dati personali? E cosa vuol dire proteggere la riservatezza delle informazioni che trattiamo nella nostra attività? Tutti sappiamo che esiste, ormai da diverso tempo, quella che viene comunemente chiamata "legge sulla privacy", ma pochi di noi sono davvero informati sugli effetti pratici di questa normativa. Diffusione della cultura della riservatezza Documento Programmatico sulla Sicurezza.

3 Privacy, la storia Legge n. 675 del 31 dicembre Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali DPR 28 luglio 1999 n Regolamento contenente norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali Legge 3 novembre 2000 n Disposizioni inerenti l'adozione delle misure minime di sicurezza nel trattamento dei dati personali

4 Legge 675/96 Legge sulla tutela dei dati personali (nota come legge sulla privacy), ed i successivi decreti attuativi La legge impone alle aziende una serie di incombenze mirate a tutelare la privacy di tutti i soggetti di cui l'azienda detiene dati personali o dati sensibili / dati giudiziari (dei propri dipendenti, dei clienti, dei fornitori)

5 Codice in materia di protezione dei dati personali Decreto Legislativo 30 giugno 2003, n. 196 G.U. 29 luglio 2003, n. 174 S.O.

6 Testo unico sulla tutela dei dati personali il testo unico in materia di protezione dei dati personali, approvato dal Consiglio dei ministri il 27 giugno 2003 è ispirato all' introduzione di nuove garanzie per i cittadini ed alla razionalizzazione delle norme esistenti e alla loro semplificazione

7 La privacy oggi Privacy non significa solamente il diritto ad essere lasciati in pace, ma anche il diritto di controllare l'uso e la circolazione dei propri dati personali, bene primario della società dell'informazione. Diritto fondamentale riconosciuto dall'ordinamento giuridico delle principali nazioni del mondo. Strumento per proteggere la propria riservatezza e difendersi dai comportamenti invadenti di chi intendeva violare tale aspettativa al segreto. Strumento attraverso cui ognuno può definire un confine tra sé e gli altri. Situazione giuridica che disciplina il modo in cui una persona si relaziona con gli altri.

8 Il diritto alla privacy il diritto alla privacy ed alla protezione dei dati personali costituisce un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità umana, come sancito dalla Carta dei diritti fondamentali dell'unione Europea.

9 Il Garante il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente istituita dalla legge sulla privacy (legge n. 675 del 1996).

10 Che compiti ha il Garante? il Garante ha il compito di vigilare sull'applicazione della legge e sulla protezione dei dati personali.

11 Dati personali Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale Dato personale è però anche un'immagine, un suono e qualunque notizia o informazione che sia riferibile a un soggetto determinato o determinabile.

12 Dati personali I codici identificativi, sia quelli ricavati da dati anagrafici (ad esempio il codice fiscale), che i codici univoci attribuiti a una persona in base a criteri predefiniti (ad esempio i codici cliente) sono dati personali. Dato personale è quindi qualsiasi informazione riferita (o anche semplicemente riferibile tramite un codice) a una persona: anche il numero di targa di una vettura riferita a un proprietario o il numero di una polizza riferita a un assicurato.

13 Dati sensibili I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale Questa tipologia di dati è sottoposta a un livello di protezione più elevato di quello previsto per i dati non sensibili.

14 Quando si applica la legge? La legge trova applicazione ad ogni operazione di trattamento di informazioni relative alle persone anche a prescindere dall'esistenza di archivi o banche dati. La legge viene applicata a tutti i trattamenti indipendentemente dal fatto che siano effettuati "con l'ausilio di mezzi elettronici o comunque automatizzati". In pratica, qualsiasi operazione compiuta nei confronti dei dati personali costituisce "trattamento".

15 I principi base Malgrado le norme che proteggono i dati personali siano molto complesse ed articolate, è possibile individuare alcuni principi fondamentali ai quali le regole si ispirano: è necessario conoscere questi principi per comprendere quali criteri garantiscono la protezione dei dati personali. In coerenza con questi principi fondamentali infatti, la normativa fissa esplicitamente alcune regole molto precise circa le modalità del trattamento e i requisiti dei dati.

16 1. Diritto alla protezione dei dati personali Regola fondamentale (articolo 1 del D. Lgs. 196/03): ogni individuo ha il diritto di pretendere che l uso dei suoi dati personali si svolga nel rispetto dei suoi diritti e libertà fondamentali, nonché della sua dignità, con particolare riferimento alla riservatezza, all identità personale e al diritto alla protezione dei dati personali. Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l adempimento degli obblighi da parte dei titolari del trattamento.

17 2. Necessità nel trattamento dei dati Limitare le raccolte ed i trattamenti di dati non necessari. La normativa (art. 3 del D. Lgs. 196/03) impone di configurare i sistemi informativi e i programmi informatici riducendo al minimo l utilizzazione di dati personali e di dati identificativi, così da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o attraverso opportune modalità che permettano di identificare l interessato solo in caso di necessità. Limitazione nella raccolta dei dati: vanno raccolti solo i dati necessari per il trattamento che si intende realizzare.

18 3. Principio di finalità Collega l attività di raccolta dei dati personali con l uso che di quelle informazioni viene fatto. Obbligo posto a carico di chi effettua la raccolta di far conoscere all interessato (al momento della raccolta) la ragione per la quale i dati sono raccolti: questa finalità deve essere legittima, determinata e non incompatibile con l impiego dei dati.

19 4. Principio di autodeterminazione informativa Ogni individuo ha il diritto di determinare l ambito di comunicazione dei dati che lo riguardano. Quindi ogni individuo ha diritto di stabilire se ed in che misura le informazioni a lui riferite possono circolare ed essere conosciute dagli altri.

20 5. Principio di correttezza Il soggetto che usa i dati personali deve comportarsi garantendo la liceità e la correttezza del trattamento, tanto durante la raccolta quanto durante l elaborazione vera e propria dei dati. Il trattamento è lecito quando è conforme alla legge, mentre è corretto quando la raccolta di dati avviene presso l interessato in modo trasparente e non mediante ricorso ad artifizi e raggiri.

21 6. Principio di precauzione Nell utilizzo dei dati personali occorre prevenire ogni forma di illecito utilizzo di trattamento di dati personali, anche per mera negligenza o imperizia. Chi tratta dati personali deve adottare qualsiasi cautela per evitare l accesso a dati di provenienza non definita e di cui non sia possibile ricostruire le modalità di formazione. In coerenza con questi principi fondamentali la normativa fissa esplicitamente alcune regole molto precise circa le modalità del trattamento ed i requisiti dei dati.

22 Marketing E' consentito solo con il consenso dell'interessato, l'utilizzo di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per effettuare ricerche di mercato o comunicazioni commerciali (articolo 130).

23 Tutela per le informazioni indesiderate È stata rafforzata la tutela contro le comunicazioni indesiderate (spamming), ribadendo il principio espresso nell'art.130 del codice, il consenso degli interessati, per cui è consentito l'invio di comunicazioni mediante sistemi automatizzati (posta elettronica, fax, dispositivi automatici di chiamata) solo con il preventivo consenso dell'utente interessato: tale tutela è stata estesa anche all'invio di messaggi pubblicitari attraverso Sms e Mms.

24 Informativa e consenso Obbligo di informare: Ognuno ha diritto di essere informato che qualcun altro sta raccogliendo informazioni sul suo conto ed intende trattarle; ha diritto di sapere per quali finalità e con quali modalità tali dati sono raccolti e deve sapere quali diritti può esercitare su quel trattamento. Obbligo di chiedere il consenso: Dopo aver ricevuto queste informazioni la persona cui si riferiscono i dati ha diritto di decidere se consentire o non consentire quel trattamento. Eccezioni: mentre l'informativa va sempre fornita all'interessato, la normativa prevede alcuni casi in cui il consenso non è richiesto.

25 Soggetti del trattamento dei dati personali Chi sono i soggetti che intervengono nelle operazioni di trattamento dei dati personali? Le figure individuate dalla normativa sono: il titolare il responsabile l'incaricato l'interessato il Garante per la tutela dei dati personali l'autorità Giudiziaria ordinaria

26 La situazione D.lgs 196/ 03 richiede Organizzazione Titolare Responsabili Incaricati Adempimenti Formali Informativa Consenso Notifica Autorizzazione del Garante DPSS per verso Adempimenti Strutturali Inventario e selezione banche dati Analisi dei Rischi Contromisure di sicurezza Continuità del Business Formazione Procedure di risposta per evitare Sanzioni Penali Sanzioni Amministrative PERSONA FISICA O GIURIDICA cui si riferiscono i dati e le informazioni (dipendenti, clienti, fornitori, abbonati...) Interessato

27 Il titolare Per titolare, s'intende la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono (anche unitariamente ad altro titolare) le decisioni in ordine alle finalità e alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Quando il trattamento è effettuato da una persona giuridica o da un ente titolare è l'entità nel suo complesso e non la persona fisica che la rappresenta.

28 Il responsabile Il responsabile del trattamento è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposto al trattamento di dati personali. La sua nomina non è obbligatoria ma è lasciata alla discrezionalità del titolare. Il responsabile procede al trattamento attenendosi alle istruzioni impartite per iscritto dal titolare che, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle norme di legge e delle proprie istruzioni.

29 Gli incaricati Gli incaricati del trattamento sono le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. Si tratta quindi dei soggetti che possono elaborare i dati personali, ai quali accedono attenendosi alle istruzioni ricevute dal titolare o dal responsabile.

30 L'interessato L'interessato è il soggetto (persona fisica, persona giuridica, ente o associazione) cui si riferiscono i dati personali. È quindi il vero protagonista del trattamento.

31 La magistratura La normativa italiana fa inoltre esplicito riferimento alla giurisdizione del Giudice ordinario. Infatti resta ferma la possibilità di far valere i diritti fondamentali attribuiti all'interessato, oltre che con ricorso davanti al Garante, mediante l'esercizio dell'azione davanti all' Autorità Giudiziaria. La tutela offerta dal Garante è alternativa a quella fornita dal Giudice Ordinario: il ricorso al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l'autorità Giudiziaria. Compete sempre alla magistratura ordinaria ogni azione volta ad ottenere il risarcimento del danno tanto patrimoniale quanto non patrimoniale.

32 Privacy e sicurezza Il diritto alla privacy richiede una notevole base di sicurezza Senza sicurezza non possiamo affermare di rispettare la privacy Privacy Sicurezza

33 Sistemi sicuri: principio 1 NON ESISTONO SISTEMI SICURI Il software non può essere perfetto (privo di errori); Il mito del sistema inviolabile è affine al mito del caveau non svaligiabile o della nave inaffondabile (e.g. Titanic). Il grado di sicurezza è dato da: ll tempo necessario per violare il sistema L'investimento necessario Le probabilità di successo

34 Conseguenza un sistema più è complesso e più è insicuro KISS rule: Keep It Simple and Stupid. Attenzione i sistemi da proteggere molto complessi, ma il sistema di protezione estremamente semplice. Ogni complessità non necessaria è solamente fonte di errori e falle (il meglio è nemico del bene).

35 Sistemi sicuri: principio 2 La sicurezza è data dall'anello più debole: Hardware Software Fattori umani (l'utilizzatore) Senza continuo apporto di lavoro nessun sistema può essere sicuro. Ciò che è sicuro oggi potrebbe non esserlo più domani, perché per esempio è stato scoperto un difetto del sistema. I sistemi che non vengono aggiornati diventano quindi fragili

36 Sistemi sicuri: principio 3 La security by obscurity non funziona Sicurezza = conoscenza Nessun sistema del quale non si può comprendere a fondo il funzionamento può essere considerato sicuro.

37 Sistemi sicuri La sicurezza di un crittosostema non deve dipendere dalla segretezza dell'algoritmo usato, ma solo dalla segretezza della chiave (Kerckhoffs. La criptographie militaire, 1883)

38 La conoscenza La conoscenza degli strumenti di sicurezza e la consapevolezza dei problemi collegati devono essere patrimonio di tutti gli utenti; L'illusione di sicurezza è più dannosa della assoluta mancanza di sicurezza; A un sistema riconosciuto insicuro non si possono affidare informazioni sensibili.

39 Misure di sicurezza I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (Art. 31).

40 Misure minime e misure idonee Misure minime: devono essere applicate indipendentemente dalla tipologia dei dati, dei trattamenti e dall'azienda. Non è detto che siano sufficienti ed adeguate Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31 (Art. 4) Misure idonee: sono l'obiettivo della legge.

41 Misure minime Autenticazione informatica Gestione delle credenziali di autenticazione Utilizzazione di un sistema di autorizzazione Aggiornamento periodico delle regole di autorizzazione agli incaricati e addetti alla gestione e manutenzione degli strumenti elettronici Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti Procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi Redazione e aggiornamento del DPS Adozione di tecniche di cifratura per alcuni trattamenti di dati sensibili effettuati da organismi sanitari

42 Documento Programmatico sulla Sicurezza l elenco dei trattamenti dei dati personali la distribuzione di compiti e responsabilità l analisi dei rischi sui dati le misure da adottare per garantire l integrità e la disponibilità dei dati, la protezione delle aree e dei locali la descrizione dei criteri da adottare per il ripristino della disponibilità dei dati a seguito di danneggiamento e/o distruzione la previsione della formazione sugli incaricati la descrizione dei criteri da adottare per garantire l attuazione delle misure di sicurezza in caso di trattamenti svolti all esterno della struttura del titolare Verificato con cadenza almeno annuale

43 Scopo del DPS Fornire una fotografia dell apparato aziendale preposto al trattamento dei dati: risorse hardware, risorse software, personale addetto, modalità del trattamento e prescrizioni adottate in materia di sicurezza dei dati Natura programmatica del documento: il documento non è statico e definito ma verrà aggiornato periodicamente in base all'evoluzione tecnica e alle esigenze aziendali

44 DPS: Soggetti interessati Tutti i titolari di trattamenti di dati sensibili o giudiziari effettuati mediante strumenti elettronici, anche qualora tale redazione avvenga per mezzo di un responsabile all uopo incaricato. L adozione di un DPS, seppur non previsto come misura minima nel caso di trattamenti di dati personali o comuni, rientra sicuramente tra le misure classificabili come idonee ; Il DPS deve essere conservato dal titolare presso la struttura cui si riferisce, non essendo necessaria nessuna altra forma di pubblicità.

45 Dati sensibili I dati sensibili o giudiziari sono protetti contro l'accesso abusivo mediante l'utilizzo di idonei strumenti elettronici. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

46 Dati sanitari Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato.

47 Backup Il backup rappresenta una copia di sicurezza di tutti i dati contenuti nel sistema. La procedura di backup dell intero sistema deve effettuarsi con cadenza almeno settimanale (punto 18) conservare i dati in un'unica locazione; In caso di trattamento di dati sensibili o giudiziari, il backup dovrà avvenire con filesystem cifrati, al fine di impedire i danni conseguenti allo smarrimento del supporto contenente il backup stesso (punto 21).

48 Disaster recovery Recupero dei dati da un backup Una copia del backup dovrà sempre essere asportata e conservata in luogo sicuro dal titolare o da un responsabile appositamente incaricato, al fine di evitare che fenomeni accidentali possano distruggere anche le copie di backup; Verifica periodica della effettiva possibilità e delle procedure di ripristino dei dati contenuti nelle copie di backup, nonché le condizioni nelle quali si trovano i supporti (magnetici o ottici) demandati a questa attività.

49 Protezioni: il firewall Il firewall è un sistema (hardware o software) che impedisce l'accesso abusivo ai sistemi, attraverso connessioni di rete L'utilizzo di un firewall è prescritto quando si trattano dati sensibili Il firewall è comunque una misura idonea nella maggior parte dei casi

50 Outsourcing e sicurezza Le procedure e gli interventi relativi alla sicurezza possono essere effettuati in outsourcing (da personale esterno) Responsabilità del titolare per quanto riguarda la scelta del personale Sorveglianza durante gli interventi Gli incaricati dovranno certificare la rispondenza degli interventi al regolamento Il titolare rimane comunque il responsabile dell'intero processo di trattamento

51 Uso dei supporti I supporti che hanno contenuto dati sensibili è bene che siano distrutti dopo l'uso o resi inutilizzabili (hard disk, cd riscrivibili, floppy, memorie USB, etc) Nel caso si voglia riutilizzarli, si deve distruggere il contenuto: non basta cancellare i file (i dati possono essere recuperati) Utilizzo delle cosiddette procedure di wiping

52 Trattamento manuale Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali... Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

53 Trattamento manuale L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

54 Notifica Obbligo per alcuni trattamenti: dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; dati trattati con l ausilio di strumenti elettronici volti a definire il profilo o la personalità dell interessato, o ad analizzare abitudini o scelte di consumo; dati sensibili registrati in banche di dati a fine di selezione del personale per conto terzi, nonché dati sensibili per sondaggi di opinione o ricerche di mercato. Invio: telematico con firma digitale I titolari (se non tenuti alla notificazione) forniscono le notizie contenute nel modello di notifica a chi ne fa richiesta