Il Processo Telematico - La Privacy - La Sicurezza Informatica
https://maurizioreale.it/lavvocato-nellera-digitale
Export date: Thu Nov 21 8:47:54 2024 / +0000 GMT

L'Avvocato nell'Era digitale


CAPITOLO TRATTO DALL'EBOOK "IL PROCESSO TELEMATICO" SCRITTO DAGLI AVVOCATI SABRINA SALMERI E MAURIZIO REALE - PUBBLICATO DA ALTALEX NEL SETTEMBRE 2016




 

A Giorgio Rognetta, grande ispirazione per tutti noi



L'avvocato nell'Era Digitale


Prefazione


Quando il Collega e amico Maurizio Reale mi ha chiesto di aggiungere al suo notissimo eBook, sul Processo Telematico, una seconda parte relativa alla Sicurezza informatica e alla Privacy, oltre ad esserne onorata, mi son chiesta quale potesse essere il modo corretto per trattare questo argomento in modo agevole ed esaustivo. La risposta che mi son data è questa: non esiste un modo agevole né esaustivo per parlare di tali argomenti.


Il tema della sicurezza informatica soprattutto - e la connessa normativa sulla privacy - è come una specie di blob, viscido e sfuggente, in continuo movimento, un po' come la normativa sul Processo telematico.


L'approccio ai temi che mi accingo a trattare sarà alquanto schietto perché la sicurezza è una cosa seria, specialmente per noi professionisti. In questi ultimi anni ho sentito tanti, troppi colleghi che a causa di varie circostanze (furti, incendi, virus, rottura di hard disk, ecc.) hanno perso anni di lavoro per la superficialità con cui gestivano i loro computer. E, dunque, considerato che nell'ultimo decennio il lavoro dell'avvocato si svolge prevalentemente al computer, abbiamo l'onere di fare tutto ciò che è in nostro potere per scongiurare disastri di varia natura.


Sono stata abbastanza brutale?


Sabrina Salmeri


Premessa


«Il Diritto è la nostra ascia: è stato uno strumento utile, importante e potente. Si tratta di un cimelio di famiglia, un elemento che ci sta a cuore e del quale siamo orgogliosi. E' anche estremamente diverso da quello di una volta, anche se abbiamo difficoltà a capire come sia cambiato adesso. Ciò che noi chiamiamo Diritto non è più quello che i nostri antenati avevano in mente quando usavano questo termine (…)».


Attraverso queste parole, Ethan Katsh[1] 1, professore della Università del Massachusetts, rappresentava ai suoi studenti l'evoluzione del diritto nell'era moderna. L'avvento delle nuove tecnologie, e la loro applicazione al lavoro quotidiano dell'avvocato, rende necessario il loro adeguamento al nostro Diritto. Operazione non sempre facile, specialmente quando norme speciali incontrano l'antica voce dei nostri Codici.


In Italia tale evoluzione coincide con l'obbligatorietà dell'invio telematico degli atti giudiziari disposta dalla L. 221/2012. Com'è ormai noto, infatti, dal 30 giugno 2014, gli avvocati hanno iniziato a fare i conti con dispositivi (token, scanner, digital key) e applicazioni (convertitori di file, software per leggere file firmati digitalmente, redattori e gestionali) che fino ad allora disconoscevano, o quasi.


L'evoluzione della professione forense però non ha riguardato solo l'Italia.


In America, ad esempio, alla fine degli anni '90, sono nate le prime scuole di formazione per gli avvocati digitali. Proprio seguendo gli studi del professor Katsh, per capire a fondo quali siano le implicazioni di questa transizione nel mondo digitale, alcuni ricercatori[2] 2 hanno affrontato il fenomeno dividendo la storia in tre grandi epoche di comunicazione: orale, stampata e digitale. Gli avvocati digitali, secondo Katsh, dovranno avere una prospettiva che non riguarda semplicemente cosa fanno le nuove tecnologie, ma le modalità con cui lo fanno.


Quest'ultimo assunto non vuol certo far intendere che gli avvocati dovranno diventare informatici per capire tutta una serie di processi alquanto lontani da loro, sia per tipologia di percorso di studio che per attitudine personale. E' certo però che si sta andando verso una concezione di avvocato molto diversa da ciò che siamo stati abituati a vedere fino ad una decina di anni fa.


In Italia poche università prendono sul serio lo studio dell'informatica giuridica come insegnamento fondamentale nel corso di laurea in giurisprudenza. Oggi, infatti, non si può essere un professionista senza la conoscenza - almeno dei concetti base - della IT (information technology). Ecco perché si parla, da qualche anno ormai, di alfabetizzazione informatica nella professione forense.


I computer e la Rete ci hanno costretto a trovare un nuovo modo di organizzare le nostre vite e il nostro lavoro. La tecnologia è diventata onnipresente e accelera in modo impressionante. Allo stesso tempo, anche il modo in cui è amministrata la giustizia sta cambiando. L'avvento del processo telematico ha imposto un nuovo tipo di struttura dello studio legale: la gestione e conservazione dei documenti informatici, il trattamento dei dati personali e la sicurezza informatica sono concetti con cui l'avvocato deve quotidianamente avere a che fare.


L'avvocato 2.0 è dotato di smartphone, sempre connesso ad internet, per ricevere in tempo reale le comunicazioni di cancelleria e quelle dei colleghi (magari anche attraverso app), consulta banche dati online per essere operativo in qualunque località si trovi. Ha un minimo di conoscenze informatiche, tali da risolvere problemi pratici relativi ai device di uso quotidiano o quanto meno ha un informatico di fiducia a cui rivolgersi tempestivamente per risolvere ogni problema tecnico riscontrato per esempio durante l'invio dell'atto telematico.


Questa interconnessione ci porta però ad essere un facile bersaglio di delinquenti.


Le domande a cui proveremo a dare risposta sono le seguenti:




  • perché è importante la sicurezza informatica in uno studio legale?




  • quali sono le conseguenze di avere dati non sicuri?




  • cosa si può fare per colmare eventuali falle nella sicurezza dei nostri pc?




  • gli avvocati hanno obblighi di legge in questo settore?




E' accertato che i dati all'interno degli studi legali non sono sufficientemente protetti e, intanto, i clienti sono sempre più consapevoli di questo e, contemporaneamente, sono informati sui diritti connessi alla protezione dei dati personali: quali sono i protocolli di sicurezza dello studio legale? Il mio avvocato usa la crittografia o ha una polizza assicurativa che copra anche un'eventuale violazione dei miei dati personali?


Le conseguenze di un furto di dati all'interno di uno studio potrebbero essere la perdita, spesso permanente, di dati personali o sensibili (anche dei clienti), l'interruzione dell'attività, perdite finanziarie legate al tentativo di ripristinare i sistemi, il danno all'immagine dello studio, il dover pagare salatissime sanzioni amministrative o addirittura subire condanne penali.


Cosa può fare quindi un avvocato?


Il primo passo è capire come la tecnologia sia ormai un elemento integrato nel rapporto con il cliente e non un semplice ausilio al nostro lavoro; assumere un ruolo da protagonista nello sviluppo di una policy di sicurezza dei dati all'interno del nostro studio, lavorando gomito a gomito con il responsabile IT, con i colleghi e le segretarie; comunicare ai clienti di aver preso tutte le cautele per evitare il rischio di attacchi informatici.


Partendo dalla sicurezza dei sistemi informatici quindi si parlerà degli obblighi imposti dal Codice Privacy (D.lgs. 196/2003) e daremo una prima lettura alle novità introdotte dal nuovo Regolamento Europeo in materia di dati personali e a ciò che comporterà la sua entrata in vigore a maggio del 2018.



Capitolo I


La sicurezza dei sistemi informatici



Sommario:  1. Sicurezza dei sistemi informatici - 2. Strumenti di difesa dei computer -  3. Il fattore umano




  1. Sicurezza dei sistemi informatici




Il tema della sicurezza dei sistemi informatici è strettamente legato al nuovo modo di essere avvocato.


La massiccia diffusione di Internet, a metà degli anni '90, ha accentuato il rischio di furto e/o perdita dei dati contenuti nei nostri computer.


Internet è il più grande spazio pubblico che l'umanità abbia conosciuto[3] 3: in questo grande spazio vi sono anche sconosciuti con cattive intenzioni. Nella Rete risiede un numero indeterminato di utenti che potrebbero avere interesse ad accedere ai nostri dati personali, documenti riservati o semplicemente usare il nostro account di posta elettronica per veicolare spam[4] 4 o virus.


In un suo recente intervento[5] 5 Mikko Hypponen, uno dei più grandi esperti al mondo di sicurezza informatica, parlò dell'evoluzione del crimine informatico: negli anni '80 chi programmava virus era il ragazzino nerd che lo faceva solo per divertimento. Oggi non è più così: il “nemico” è cambiato. Se vogliamo proteggere i nostri computer dobbiamo capire chi sono gli hacker di oggi: ci sono gli attivisti (movimenti come Anonymous) che non cercano benefici per loro stessi, non agiscono per soldi, ma agiscono per protesta o per motivi politici. E poi ci sono i criminali veri e propri, persone che compiono attacchi informatici per fare soldi.


Il crimine informatico produce un business di milioni di dollari al giorno e bisognerebbe sfatare lo stereotipo secondo il quale gli hacker hanno come unico bersaglio le grandi aziende, le pubbliche amministrazioni o i governi. Secondo Inc.com[6] 6 il 71% dei data breach (violazione dei dati) sono stati commessi in danno di piccole aziende con meno di 100 dipendenti.


Il cyber crime può far guadagnare oltre il 1000% dell'investimento iniziale[7] 7. Il business del criminale informatico inizia con l'acquisto sul Dark Web[8] di un trojan (ransomware) che costa circa tremila dollari per arrivare a guadagnarne circa novantamila per un attacco della durata di 30 giorni[9] 8.


Negli ultimi due anni abbiamo letto su numerose testate giornalistiche, nazionali e internazionali, dell'attacco del famigerato virus Cryptolocker (v. fig. sotto), un terribile ransomware[10] che tiene in ostaggio i dati del computer, fino a quando l'utente non si piega alla richiesta di pagamento di un determinato importo in denaro, allo scopo di ricevere dal criminale istruzioni specifiche per sbloccarlo.


Questo virus, come tanti altri in passato, si diffonde tramite un allegato di posta elettronica, in un file .zip, che a sua volta contiene un file eseguibile (.exe o .cab) ma che i pc vedono come file .pdf, o .jpeg, inducendo, quindi, le ignare vittime ad aprirlo. Una volta installatosi nel pc, il virus cifra tutti i file rendendoli inaccessibili al proprietario.


E' necessario avvertire che il pagamento del riscatto non garantisce il ripristino dei file. Il pagamento avrà il solo effetto di alimentare l'attività criminale[11] 9.


Il problema delle intrusioni nei nostri sistemi informatici è solo la punta dell'iceberg del tema sicurezza informatica.


Ma vi è di più.


Per tenere al sicuro le informazioni contenute nei nostri terminali occorre un vero e proprio piano strategico sulla sicurezza delle nostre reti. Un piano che tenga conto non solo del pericolo esterno degli hacker, ma anche di eventuali pericoli interni, causati da distrazioni o leggerezze dell'operatore.


Leggendo il rapporto Clusit[12] 10 2015 ci si rende conto che in questa fase storica la superficie di attacco complessivamente esposta dalla nostra civiltà digitale cresce più velocemente della nostra capacità di proteggerla.


L'utente non è certo tenuto a verificare personalmente l'evoluzione e lo stato dell'arte degli strumenti offerti dalla tecnica per predisporre le dovute cautele di fronte alle potenzialità delle tecnologie, ma dovrà semplicemente adottare dei comportamenti consapevoli, anche nel dotarsi di strumenti facilmente reperibili sul mercato, talvolta avvalendosi dell'ausilio di personale specializzato e qualificato nel predisporre determinati apparati di sicurezza[13] 11.


Il concetto di sicurezza informatica è collegato a un complesso di accorgimenti logici, tecnici e organizzativi finalizzati alla protezione della riservatezza, dell'integrità e della disponibilità delle informazioni, evitando la commissione di reati informatici e prevenendo eventi (anche fortuiti) o aggressioni in grado di danneggiare gli impianti[14] 12.


Per andare sul tecnico, e per chi volesse approfondire questo tema, segnalo lo Standard ISO/IEC 27001:2005[15] 13: si tratta di una normativa internazionale che qualifica quali siano i requisiti essenziali per la gestione e l'impostazione di un sistema di controllo della sicurezza delle informazioni (ISMS).


 


  1. Strumenti di difesa dei computer




Un noto motto tra gli esperti di sicurezza informatica dice che “un computer sicuro è il computer spento e inabissato in fondo all'oceano”. In uno studio condotto nel corso del 2014 sono state monitorate su scala globale 1.600 aziende appartenenti a 20 diversi settori merceologici, ed è stato osservato che nel periodo conside­rato, in media, la percentuale di organizzazioni compromesse è stata superiore al 90%, con alcuni particolari settori (Legal, Healthcare e Pharma, Retail) che hanno avuto un tasso di compromissione del 100%.


Ciò sta a significare che non esiste la sicurezza al 100%, ma indubbiamente solo l'uso di tutte le strategie in nostro possesso per avvicinarci a quella percentuale può rendere improbabile un disastro informatico e/o un accesso abusivo ai nostri computer.


Lo sviluppo delle nuove tecnologie informatiche e telematiche ed il loro impatto sulla società moderna rendono indispensabile una specifica regolamentazione. E' necessario dunque individuare adeguate norme che consentano allo Stato e alla società civile di difendersi da comportamenti che rappresentano un gravissimo pericolo per la collettività[16] 14.


Diverse aziende informatiche, tra cui anche Microsoft, hanno iniziato una vera e propria campagna di sensibilizzazione per gli utenti e per l'uso consapevole del computer. Symantec[17] 15 - nota azienda produttrice del famoso antivirus Norton - e Kaspersky hanno stilato una sorta di decalogo da seguire per evitare il rischio di contagio da virus e perdita di dati sui nostri terminali.  


Ispirandoci alle regole suggerite dalle grandi software house si possono qui enucleare alcuni accorgimenti fondamentali per evitare danni ai nostri elaboratori elettronici.


2.1  L'antivirus


Il primo strumento in difesa dei nostri computer è certamente l'antivirus. Ci sono centinaia di nuovi virus che ogni giorno vengono creati a ritmo serrato. Alcuni sono relativamente innocui, ma la maggior parte di essi sono progettati per eliminare i file, compromettere le informazioni riservate, o danneggiare il sistema operativo (es.: Cryptolocker, TeslaCrypt, Locki, ecc.). Per fermarli, è fondamentale installare un antivirus affidabile e soprattutto aggiornarlo regolarmente. Non si tratta solo di un consiglio, ma di un obbligo disposto dall'Allegato B al Codice Privacy: “16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.[18] 16 Come potrete immaginare, visto il ritmo con il quale vengono immessi in Rete i virus, è consigliabile programmare un update automatico ogni volta che il computer si collega ad internet.


Attenzione: aggiornare l'antivirus non è sufficiente per essere immuni da attacchi. Molti virus, infatti, sfruttando errori nel sistema operativo (bug) sono in grado di trovare una back door e penetrare all'interno del nostro pc. Ecco perché anche il sistema operativo deve essere costantemente aggiornato (con le c.d. patch), così come dovranno essere aggiornati tutti i software installati sulla nostra macchina.


N.B. Ogni volta che l'antivirus viene aggiornato potrebbero insorgere problemi di compatibilità con device o programmi già installati. E' accaduto, ad esempio, che con l'aggiornamento di un noto antivirus freeware non venisse più riconosciuta la digital key. In tali casi, occorrerà entrare nelle impostazioni dell'antivirus per inserire come eccezione il software della digital key o addirittura la porta USB usata per il dispositivo.


2.2  Il firewall


Il firewall - letteralmente “muro tagliafuoco” - permette di dividere nettamente l'ambiente esterno dalla rete interna. In altri termini, esso chiude le porte dall'esterno verso l'interno e lascia aprire all'utente quelle dall'interno verso l'esterno. E' la difesa più efficace contro le intrusioni informatiche. Anche il firewall è uno dei requisiti essenziali per la sicurezza informatica elencati nel Codice Privacy.


Esistono diversi tipi di firewall: i firewall hardware e i firewall software.


I primi sono macchine che vengono installate tra la nostra rete (LAN) e la rete Internet. I secondi invece sono sistemi utili per essere installati su un computer, e analizzano le connessioni in ingresso sulla macchina stessa.


N.B. Come per l'antivirus, anche per il firewall, occorre creare delle eccezioni per i programmi che normalmente usiamo per lavorare, ad esempio per la cartella contenente il database del redattore atti o del gestionale, e/o per l'eseguibile (programma.exe) del programma stesso.




  • La password




La password è tra le prime linee di difesa dei nostri computer: si tratta anche di una delle misure minime di sicurezza richieste dall'art. 34 D.Lgs. 196/2003. E' altamente sconsigliato usare le parole più probabili, facilmente individuabili dai malintenzionati (es. nome, cognome, data di nascita, nome dei figli, dei compagni, o di animali domestici, ecc.). Purtroppo, anche per la facilità di accesso ai nostri computer e la immane quantità di password che fanno ormai parte della nostra vita, siamo portati a scegliere sempre la via più facile. Si deve però tenere presente che attraverso appositi software, che tentano tutte le combinazioni di caratteri utilizzabili sulla tastiera, è possibile scoprire quella da noi scelta, impiegandoci, molto spesso, solo pochi minuti.


La password ideale è una combinazione di lettere, numeri e simboli e contiene un minimo di otto caratteri: esempio s@8r1n@. E' consigliabile cambiare le password ogni tre mesi. Anche la password, come si è detto, è tra i requisiti minimi dell'Allegato B del Codice Privacy, il quale dispone al punto “5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.”


N.B. Sarebbe da sconsiderati lasciare la password a disposizione di altri utenti (es. lasciare un post it sullo schermo del computer…). Non usate mai la stessa password per tutti i siti che consultate abitualmente e cambiate la password del vostro router/modem non appena ve lo installano, soprattutto in studio.





  • Backup!




Un modo indiscutibilmente efficace per mantenere i nostri preziosi dati al sicuro è quello di farne una copia di backup (art. 34 D.Lgs. 196/2003).


Il backup è un salvataggio di sicurezza dei dati prodotti dall'utente. Può essere incrementale o differenziale: il primo salva i dati relativi all'ultima modifica del file, il secondo salva tutte le versioni modificate del file. Per effettuare la valutazione di quale sia la scelta più opportuna per il nostro lavoro occorrerebbe rivolgersi ad un consulente informatico che individuerà le esigenze soggettive di ciascuno studio legale.


Per un backup efficace non basta copiare i file e le cartelle dei documenti, ma bisogna eseguire una copia esatta del nostro hard-disk, contenente anche le applicazioni e i software installati, in modo da poter effettuare il noto disaster recovery (All. B n. 23, D.lgs. 196/2003) nei tempi prescritti dalla legge[19] 17.


N.B. Potrebbe essere anche utile servirsi di un drive di rete[20] 18 che ci permetta di evitare di portare in giro dispositivi (pennette usb, cd-rom, dvd-rom, hard-disk) che possono essere facilmente smarriti o rubati. E' comunque raccomandato mantenere le copie di backup offline al fine di evitare che la propagazione dell'infezione in rete, o su dispositivi condivisi con l'unità colpita, possa compromettere anche la copia di riserva.


Ci sono anche sistemi di backup automatico che operano in background, senza che l'utente si accorga di nulla, che possono essere programmati per creare copie dell'intero pc e/o di cartelle selezionate e/o di unità esterne. Questo tipo di struttura è comodo perché, operando automaticamente, eviterà di dimenticare la cosa più importante: IL BACKUP!




  • Posta elettronica




Molti di noi ricevono decine, se non centinaia, di email non richieste. Alcune, anche quelle di amici o colleghi di lavoro, possono veicolare virus, worm o trojan, che possono distruggere il computer e i dati in esso contenuti. Nella migliore delle ipotesi, invece, potremmo ritrovarci la casella di posta elettronica traboccante di spam (posta spazzatura).


La regola generale è: se ricevete una email da qualcuno che non conoscete o se la riga nel campo dell'oggetto vi sembra discutibile, non apritela. Attualmente, molti gestori locali di posta elettronica (client quali: Outlook, Thunderbird, Mail) utilizzano un sistema di filtraggio dei messaggi indesiderati, indirizzandoli in una directory (cartella) creata all'occorrenza.


Eliminate immediatamente l'email e gli eventuali allegati.


N.B. Come avrete certamente notato, anche la posta elettronica certificata è spesso veicolo di spam e potenzialmente anche di virus. Quindi tali regole valgono a maggior ragione per la nostra casella PEC.


L'ultima frontiera degli hacker è l'invio di una email, avente come falso mittente "Procura della Repubblica presso il Tribunale", nella quale viene notificato l'avviso di un procedimento penale a carico del destinatario per una serie di illeciti commessi. Nel messaggio in questione il destinatario è invitato a seguire un link per scaricare un documento informativo, relativo al procedimento in oggetto.




  • Download da Internet




Parte del divertimento nella navigazione in Internet consiste nello scaricare musica, film, giochi, applicazioni e software, ma essi potrebbero rivelarsi fonte di virus (malware[21] 19). Selezionate, quindi, accuratamente ciò che intendete scaricare - e soprattutto il sito che usate per il download - aggiornate ed eseguite l'antivirus regolarmente.


N.B. I più noti antivurs installano dei comandi azionabili tramite il mouse. E' possibile in tal modo fare un'ulteriore scansione del file appena scaricato, cliccando sopra di esso con il tasto destro del mouse per verificarne l'affidabilità.


2.7  Il browser


Avrete notato che il browser Web che utilizzate (Chrome, Internet Explorer, Mozilla Firefox, Safari, ecc.) ogni tanto vi chiede se volete ricordare le password frequentemente usate e magari anche i numeri delle vostre carte di credito. Anche se può sembrare più semplice e veloce per fare shopping online, è consigliabile declinare sempre questo tipo di offerta. Avere tali dati memorizzati sul vostro computer significa che tali dati potrebbero essere accessibili anche agli hacker.


N.B. Questo comportamento è assolutamente indispensabile, soprattutto quando si condivide il computer con un collega di studio e/o praticante.


Sarebbe opportuno, per quanto su esposto, non utilizzare i computer dedicati al lavoro per uso privato: social network, acquisti online, condivisione di supporti di memorizzazione non certificati, connessioni a reti non conosciute.


 


  • Manteniamo la nostra vita privata privata




Anche se la Rete offre la possibilità di sviluppare amicizie online, bisogna essere consapevoli del fatto che le persone con cui si sta comunicando potrebbero non essere chi dicono di essere. Non fornite mai informazioni personali attraverso forum online, e-mail, moduli web, servizi di messaggistica online (Facebook Messenger, Yahoo Messenger, Whatsapp, Telegram).


Attenzione, ad esempio, alle app dei social network che vi inducono a collegare i vostri account per accedere a giochini o a sondaggi: attenzione anche alle app che richiedono accesso alla rubrica e/o alla vostra posizione geografica.


Da questa non esaustiva elencazione, si può notare come diversi suggerimenti sono strettamente collegati a prescrizioni di legge contenute nel D.lgs 196/2003 (c.d. Codice Privacy), del quale parleremo nel capitolo II.


 




  1. Il fattore umano




Se vi doveste trovare a parlare con un esperto di sicurezza informatica, vi direbbe che prima di procedere allo sconvolgimento tecnologico in studio, bisognerebbe “educare” gli utenti. Avvocati, praticanti, segretarie, dipendenti dello studio legale, devono prendere coscienza di ciò che significa Sicurezza.


Uno dei più noti hacker al mondo, Kevin D. Mitnick, afferma che le tecnologie di sicurezza informatica possono rendere più difficili gli attacchi informatici semplicemente sottraendo il potere decisionale alle persone. Sembra una provocazione, ma - continua Mitnick - l'unica maniera efficace per ridurre la minaccia sarebbe l'uso delle tecnologie assieme a procedure che impongano delle regole base di comportamento del personale e una preparazione adeguata degli operatori[22] 20.


Un paio di anni fa, l'Università di Pittsburgh, in Pennsylvania, ha eseguito una ricerca per dimostrare come la maggior parte dei “buchi” (bug) nella sicurezza informatica è spesso determinato dal cosiddetto human factor - il fattore umano - l'anello più debole della sicurezza[23].


L'utente medio si affida incautamente a ciò che legge in rete e scarica di tutto sul proprio computer. I ricercatori dell'Università, per consolidare tale assunto, hanno diffuso in rete un programma che, a seguito di una ricompensa in denaro, invitavano a scaricare. Per la irrisoria cifra di un dollaro ben il 42% degli utenti ha scaricato il file “esca” da internet.


Questo dato è davvero inquietante perché dimostra ciò che da anni ormai gli studiosi della materia affermano: gli attacchi informatici si concentrano maggiormente sullo sfruttamento della scarsa consapevolezza degli utenti piuttosto che sulle falle dei sistemi.


Tutti gli ultimi attacchi di cui abbiamo letto sulle varie testate giornalistiche si basano sulla ingenuità dell'utente nel gestire il proprio computer. Come disse Bruce Schneier[24] 21 la sicurezza non è un prodotto, ma un processo. Inoltre non è un problema di tecnologia, bensì di persone e gestione di entrambe. A tal proposito, mi preme segnalare una lodevole (ma alquanto sconosciuta) iniziativa della Polizia di Stato[25] 22 che informa gli utenti delle minacce in atto sulla Rete. Sul sito della Polizia di Stato ci sono anche le indicazioni su come denunciare l'attacco subìto e una serie di approfondimenti su tutti i vari tipi di rischi che si corrono senza un'adeguata informazione.


Quali sono quindi i passi per evitare questi rischi?


Tornando a quanto rilevato da Mitnick (chi meglio di un hacker ci può spiegare come evitare un attacco informatico?!) bisognerà predisporre un programma completo di sicurezza delle informazioni, iniziando dalla valutazione del rischio:




  • Quante e quali sono le informazioni da proteggere?




  • Quali sono le minacce specifiche per i miei dati?




  • Quale danno posso subire nel caso di furto di dati e/o informazioni?




Il primo passo è, come già detto, la consapevolezza che il rischio è molto alto. Non sottovalutate il rischio (“ah ma io che dati ho in fondo…”, “vabbè io ho l'antivirus, che vuoi che passi nel mio pc”, “anche se mi rubano i dati io ho il backup su Dropbox!”) e non abbandonate le best practices – acquisite magari dopo un mirato corso di formazione – solo perché troppo laboriose e/o dispendiose. Negli ultimi anni si è sviluppato un mercato globale di compravendita di dati, per i fini più disparati, che inducono gli hacker ad attaccare un target indefinito.


E voi potreste essere tra questi.


Le regole per evitare che il fattore umano sia la rovina del nostro studio possono così essere elencate:




  1. consapevolezza del rischio di attacco, mai abbassare la guardia;




  2. educazione dell'utente all'uso del pc (alfabetizzazione informatica);




  3. uso di antivirus e firewall con aggiornamento automatico programmato quotidianamente;




  4. uso di password ad autenticazione forte (alfanumerica e con caratteri speciali): è consigliabile cambiare la password ogni tre mesi;




  5. se si usa un gestionale, che gestisce dati personali di clienti, usare una ulteriore password che autentichi solo l'utente responsabile del trattamento dati;




  6. impostazione del blocco schermo nel pc della segretaria, in modo che quando sia costretta ad allontanarsi dalla scrivania, non consenta, a chi si trovi nelle vicinanze, di vedere ciò che si trova in quel momento sul monitor;




  7. per evitare le tecniche di social engineering i dipendenti, le segretarie e i partner di studio dovrebbero annotare telefonate sospette e riferirle a chi si occupa della sicurezza delle reti;




  8. chiudete a chiave il server in un cabinet apposito e consegnate le chiavi solo a persone fidate;




  9. effettuate backup periodici – almeno ogni settimana – su dispositivi delocalizzati rispetto al computer di studio o su hard disk che provvederete a rimuovere e portare in luogo sicuro ogni sera, alla fine della giornata lavorativa.





Se tutte queste prescrizioni vi sgomentano sappiate che lo spavento maggiore sarebbe quello di non trovare più i vostri dati sul pc. Se non vi sentite in grado di ottemperare a queste semplici regole, il mio consiglio è quello di rivolgervi ad un consulente informatico, il quale predisporrà un piano strategico personalizzato per le vostre esigenze e ne curerà l'osservanza.





  1. Stato dell'arte e prospettive per il futuro 




Come dicevo in premessa, questa sezione non ha alcuna pretesa di essere esaustiva. Ha il solo scopo di informare quali siano i principali rischi di una superficiale gestione del problema della sicurezza informatica nei nostri studi e offrire pratiche soluzioni per prevenire eventuali danni ai nostri computer.


Nel panorama internazionale, e nazionale, vi sono delle organizzazioni - governative e non – che si occupano di cyber security in riferimento a molte altre tipologie di attacco, prime tra tutte la Cyber War.


Il Cyber Security National Lab[26] 23 ha pubblicato l'anno scorso un libro bianco per raccontare le principali sfide che il nostro Paese dovrà affrontare nei prossimi cinque anni. L'ufficializzazione di un lavoro che ha coinvolto diversi esperti in materia e che evidenzia tante lacune e preoccupazioni che, se affiancato al già citato rapporto Clusit, ci da una panoramica sconcertante sul c.d. stato dell'arte in materia.


Dello stesso tenore sono state le conclusioni tratte alla fine dell'incontro tenutosi alla Camera dei Deputati[27] 24 il 9 giugno scorso, tra rappresentanti del governo ed esperti di sicurezza informatica.


L'Onorevole Antonio Palmieri – cofondatore dell'Intergruppo parlamentare per l'Innovazione - ha aperto i lavori affermando che la cyber security è un tema che nel nostro Paese è ancora sottovalutato e non ha la necessaria visibilità ed attenzione, soprattutto in termini di consapevolezza diffusa tra i cittadini, i media e, purtroppo, anche delle istituzioni.


Constatazione pesante, considerato che l'Italia sta faticosamente mettendo in piedi il processo di digitalizzazione della Pubblica Amministrazione. Pensare che una volta digitalizzato tutto si corre il rischio di falle nel sistema di conservazione e tutela di quel patrimonio fa di certo riflettere se non sia il caso di costruire prima la pentola piuttosto che il coperchio.


L'intervento più sconcertante però è stato quello del professore Umberto Gori – dell'Università di Firenze – il quale ha evidenziato le scarse conoscenze del nostro nemico, riferendosi ai terroristi. “Conosciamo il nostro nemico? No, ma lui conosce benissimo noi.”


Il CSNL si augura che, data l'ubiquità del cyberspazio e la interconnessione delle varie infrastrutture critiche a livello internazionale, gli Stati si impegnino a combattere le minacce che provengono dallo spazio cibernetico e che producono effetti “reali”; si auspica la costituzione di strutture di alert che ricevano le notifiche di attacchi informatici nei confronti di soggetti pubblici e privati per garantire al meglio la resilienza dell'intero sistema Internet-based.


Altro aspetto inquietante, legato allo sviluppo delle nuove tecnologie, è la c.d. Internet delle Cose (Internet Of Things[28] - IOT): io la chiamerei piuttosto Internet in ogni cosa.


Marco Calamari[29] 25, ingegnere nucleare, all'ultima edizione del Festival Internazionale del Giornalismo, tenutosi a Perugia lo scorso aprile, ha esposto i rischi di questa computerizzazione pervasiva. L'Internet delle cose è la materializzazione di quello che una volta era chiamato "Ubiquitous Computing" (il calcolo da ogni parte) e poi "Pervasive Computing" (il computer pervasivo), entrambi visti in passato come aspetti positivi della tecnologia. Oggi la nuda verità, dichiara Calamari, è che tutti i dispositivi di elettronica di consumo sono ben al di là del pieno controllo dei loro proprietari. Inoltre le familiari cose "analogiche" del passato, come le automobili e i televisori, sono adesso dispositivi di elaborazione specializzata, facendo molto di più che trasportare passeggeri o mostrare film e notizie, perché sono pieni di funzioni nascoste. I televisori di ultima generazione, le c.d. smart tv, ci ascoltano, ci guardano e riferiscono al loro produttore ciò che hanno acquisito. Gli apparecchi del prossimo futuro quindi potrebbero, oltre che ascoltare e vedere, agire di propria iniziativa, senza bisogno di alcun comando, anticipare i nostri desideri: ma li vorremmo in casa? Stesso discorso, a maggior ragione, vale anche per i nostri smartphone, tablet, computer, ma anche lavatrici e ferri da stiro. Le cose sono costruite con milioni di righe di codice all'interno, e tutto questo software si suppone che sia privo di bug e non controllato da soggetti diversi dal proprietario. Si suppone per l'appunto, o meglio, lo si spera.


A proposito dell'invadenza dei dispositivi smart nelle nostre vite, Calamari simpaticamente sostiene che il 99% di persone non conosceva, fino a pochi anni fa, nemmeno il concetto di privacy, quello di dato personale e della crittografia: quella stessa percentuale è passata dall'indifferenza/ignoranza al salto consapevole sul carro del “nemico”. Perché nessuno rinuncia a Facebook, anche i cosiddetti addetti al settore (informatico).


Come è evidente l'argomento dell'Internet delle Cose è strettamente legato al concetto di privacy, di cui parleremo nel prossimo capitolo.


La gestione dei nostri dispositivi smart diventa quindi fondamentale per la nostra sicurezza e la nostra privacy, perché in ogni momento della nostra vita saremo sempre più circondati da questo tipo di dispositivi, potenzialmente vulnerabili e dai quali sempre più dipenderemo.


Il pericolo reale è relativo ad attacchi che tenderanno a rendere inutilizzabili i nostri smartphone, televisori, frigoriferi oltre che le nostre auto[30] 26 che potremo riutilizzare solo a seguito di pagamento di un riscatto.


Si accennava precedentemente alla crittografia: è uno degli strumenti fondamentali per la sicurezza dei sistemi e delle reti, che permette di trasformare i dati in modo che siano accessibili solo se si conosce una chiave segreta.


Questa tecnica consente di cifrare un messaggio o un testo, rendendolo incomprensibile a tutti fuorché al suo destinatario. I due processi che vengono applicati in crittografia si dividono  in cifratura e codifica. La cifratura lavora sulle lettere individuali di un alfabeto, mentre una codifica lavora ad un livello semantico più elevato (una parola o una frase). I sistemi di cifratura possono lavorare per trasposizione (mescolando i caratteri di un messaggio in ordine diverso) o per sostituzione (scambiando un carattere con un altro, seguendo una regola precisa) o una combinazione di entrambi.


Ogni sistema di crittografia ha due parti essenziali: un algoritmo (per codificare e decifrare) e una chiave (informazione che, combinata con il testo in chiaro passato attraverso l'algoritmo, darà poi il testo codificato).


Ogni sistema connesso ad una rete accessibile in chiaro, o senza un adeguato sistema crittografico, può essere vittima di un attacco con il quale intercettare tutte le informazioni scambiate, incluse password e numeri di carte di credito.


La crittografia, oltre a proteggere la confidenzialità dei dati (è infatti richiesta dal Codice Privacy specificamente nei casi di trattamento dei dati c.d. ultrasensibili), permette di realizzare meccanismi di identificazione forte, non basati su password. Tantissimi oggetti di uso comune sono, di fatto, dispositivi crittografici: bancomat, carte di credito, smartcard, SIM di telefoni, generatori di password usati dalle banche, ecc.


 




  1. Conclusioni 




La velocità con cui gli attacchi informatici si propagano richiede un forte coordinamento tra rilevazione della minaccia e risposta delle Autorità. Gli studiosi del Cyber Security National Lab pongono l'attenzione sulla necessità di una revisione del piano strategico allo scopo di centralizzare competenze e responsabilità relative alla sicurezza cibernetica. Uno dei compiti fondamentali di un ente centrale per la sicurezza dovrebbe essere quello di delineare obiettivi strategici che permettano all'Italia di entrare nel gruppo dei Paesi sicuri, di diventare cioè un Paese in cui il rischio di furto di informazioni digitali sia minimo e la sicurezza nelle transazioni on-line sia massima.


Garantire luoghi sicuri dove mantenere e scambiare informazioni è condizione necessaria per assicurare la prosperità economica di un Paese e la sicurezza fisica dei suoi abitanti.


La messa in sicurezza del cyber space nazionale è quindi un obiettivo strategico.


Ovviamente si tratta di un piano ambizioso, perché la sicurezza costa: ma essa va vista come un investimento e come precondizione indispensabile per garantire la competitività del nostro sistema produttivo.


Per le particolari caratteristiche del settore della sicurezza cibernetica, che può richiedere riservatezza - se non addirittura segretezza – nel trattamento delle informazioni, ampiezza di conoscenze e dati, personale di altissima qualificazione, infrastrutture hardware e software, le relazioni tra accademia, pubblico e privato dovrebbero evolvere in qualcosa di più articolato rispetto alle discontinue relazioni presenti al momento sul territorio. Sarebbe necessaria, dunque, una struttura leggera, centralizzata e multidisciplinare, in parte governativa, in parte privata e in parte legata al mondo della ricerca.


All'estero esistono tali alleanze[31] 27 che hanno tuttavia finalità diverse da quelle che propongono i ricercatori perché si muovono in un contesto dove già esistono organi governativi che si occupano di sicurezza informatica.[32] 28


Il punto centrale del tema – a parere del CSNL - è la formazione di ogni settore della società per capire il cambiamento storico avvenuto con lo sviluppo di Internet, che ha aggiunto una nuova dimensione al nostro modo di vivere.


Ogni singolo lavoratore deve comprendere che, come vittima di attacchi, può facilitare accessi ai sistemi informatici della sua organizzazione, senza che le tecnologie preposte siano in grado di rilevarli.


Per raggiungere tale obiettivo è necessario potenziare l'educazione specialistica, innalzando la sicurezza a obiettivo strategico.


In ultimo, ma non sicuramente perché meno importante, va rilevata la necessità di rendere tutti i cittadini consapevoli dei rischi relativi ai furti di identità, violazione della privacy, intercettazioni, operazioni bancarie, ai quali essi sono esposti quando utilizzano strumenti informatici, dallo smartphone alle rete wifi (in casa o, peggio ancora, fuori da ambienti conosciuti), dal tablet al computer in ufficio.


Questa consapevolezza dovrebbe essere promossa attraverso opportune campagne di informazione e di formazione sia sui media tradizionali, sia sui social network.



Capitolo II


Il trattamento dei dati personali


Sommario:  1. I dati personali e il Codice della Privacy – 2. Le misure minime di sicurezza -  3. Le sanzioni -  4. L'avvocato e la privacy – 5. Il nuovo Regolamento europeo





  1. I dati personali e il Codice della Privacy[33] 29 




Il Codice della Privacy - D.lgs. 20 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali) - modifica, semplifica e riunisce in un testo unico le precedenti leggi, decreti e codici deontologici in tema di privacy e tutela delle persone rispetto al trattamento dei dati personali. Un testo unico che raccoglie le esigenze connesse all'evoluzione tecnologica e all'inserimento dell'individuo nella moderna società dell'informazione, nella quale l'uso dei propri dati personali è indiscriminato e spesso inconsapevole, e dove gran parte delle azioni svolte, delle scelte e delle preferenze individuali lasciano una traccia che consente di rilevare la personalità del singolo, violandone la riservatezza.


Osserviamo, ancora, come sicurezza e privacy si fondono in un unico concetto che spesso viene in concreto affermato attuando lo stesso tipo di comportamento per tutelare sia la prima che la seconda.


Il Codice, subentrato alla legge del 31 dicembre 1996 n. 675, ha introdotto delle importanti novità, in attuazione alle direttive comunitarie n. 96/45/CE e n. 2002/58/CE espressamente richiamate. Tale tipologia di atto (la direttiva) – che ha necessità di essere recepita dai vari stati membri - ha portato ad una differente interpretazione dei precetti espressi dal legislatore comunitario fino a limitare il principio di libera circolazione dei dati personali in Europa, principio ispiratore della direttiva.


La finalità che il Codice si propone è appunto quella di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali.


Sono dati personali, ai sensi del D.lgs. 196/2003, le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.


Particolarmente importanti sono:




  • dati identificativi: quelli che permettono l'identificazione diretta del soggetto, come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. (art. 4 c. 1 lett. c);




  • dati sensibili: quelli che possono rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale di un individuo (art. 4 c. 1 lett. d);




  • dati giudiziari: quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto o obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato (art. 4 c. 1 lett. e)[34] 30.




Il Codice all'art. 1 recita che chiunque ha diritto alla protezione dei dati personali che lo riguardano. Tale articolo introduce nell'ordinamento italiano un diritto fondamentale della persona, autonomo rispetto al più generale diritto alla riservatezza già richiamato nell'art. 1 della L. 675/1996[35] 31.


Il diritto alla privacy è il diritto al controllo sulla circolazione delle nostre informazioni, sulla loro comunicazione, divulgazione, diffusione.


Le origini dell'espressione right of privacy risalgono al famoso articolo scritto da Brandeis e Warren intitolato “The right to privacy”, nel quale il diritto ad essere lasciati soli (right to be let alone) è ritenuto un'evoluzione giuridica che protegge il lato spirituale dell'uomo[36] 32.


Nella realtà contemporanea, con il concetto di privacy non si intende soltanto il diritto di essere lasciati in pace o di proteggere la propria sfera privata, ma soprattutto, come si è detto, il diritto di controllare l'uso e la circolazione dei propri dati personali che costituiscono il bene primario dell'attuale società dell'informazione.


Il diritto alla privacy e, in particolare, alla protezione dei dati personali, costituisce un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità umana, come sancito anche dalla Carta dei diritti fondamentali dell'Unione Europea.


Il Codice della Privacy è diviso in tre parti:




  1. Disposizioni generali, (artt.1-45) in cui si elencano i soggetti del trattamento dei dati personali, gli adempimenti e le regole da seguire nel settore pubblico e privato;




  2. Disposizioni relative a specifici settori, (artt. 46-140) che disciplinano il trattamento in ambito giudiziario, sanitario, lavorativo, giornalistico, nonché il trattamento in ambito pubblico e nelle telecomunicazioni;




  3. Tutela dell'interessato, (artt. 141-186) in cui vengono evidenziate le sanzioni amministrative e gli illeciti penali riconducibili a condotte omissive in relazione agli obblighi esposti nella prima parte del Codice.




Il Codice riconosce e tutela il diritto alla protezione dei dati personali, cioè le informazioni inerenti alla persona - ma che non riguardano la sua sfera privata - ed il diritto alla privacy, volto a proteggere proprio la vita privata dell'individuo.


In base agli artt. 1 e 2 del Codice chiunque ha diritto alla protezione dei dati personali che lo riguardano e il trattamento di tali dati deve svolgersi nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali.


L'art. 3 sancisce, poi, il principio di necessità per cui, nel caso di utilizzo di strumenti informatici, l'utilizzazione dei dati personali e di quelli identificativi deve essere ridotta al minimo e solo qualora le stesse finalità non possano essere raggiunte con l'impiego di strumenti diversi come il ricorso ai dati anonimi.


Vengono inoltre disciplinati anche i diritti dell'interessato e le modalità di trattamento dei dati.


In allegato al Codice troviamo invece i codici deontologici già approvati e viene proposto un disciplinare, che illustra le misure minime di sicurezza in fase di trattamento dei dati personali, che analizzeremo nel paragrafo 2.


1.1 I soggetti del Codice della privacy


 Il Codice della privacy ha individuato con accuratezza i personaggi che sono direttamente coinvolti nel garantire ad ogni cittadino il rispetto della sua privacy, in fase di trattamento dei dati personali che lo riguardano.


L'interessato è la persona fisica cui si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l'indirizzo, il codice fiscale, ecc. di Mario Rossi, questa persona è l"interessato" (art. 4, comma 1, lettera i), del Codice).


Il D.L. 201/2011 ha escluso dalla normativa in esame le persone giuridiche, enti o associazioni, riallineando così la normativa italiana a quella europea.


Il titolare è la persona fisica, l'impresa, l'ente pubblico o privato, l'associazione  cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza (art. 4, comma 1, lettera f), del Codice).


Il responsabile è la persona fisica, la società, l'ente pubblico o privato, l'associazione o l'organismo cui il titolare affida, anche all'esterno della sua struttura organizzativa, specifici e definiti compiti di gestione e controllo del trattamento dei dati (art. 4, comma 1, lettera g), del Codice).


La designazione del responsabile è facoltativa (art. 29 del Codice).


L'incaricato è la persona fisica che, per conto del titolare, elabora o utilizza materialmente i dati personali sulla base delle istruzioni ricevute dal titolare e/o dal responsabile (art. 4, comma 1, lettera h), del Codice).


Al contrario di ciò che viene disposto per il responsabile, la nomina dell'incaricato è obbligatoria, così come affermato dal Garante per la protezione dei dati personali[37] 33.



1.2 Requisiti dei dati e modalità di raccolta 


Ai sensi dell'art. 11 del Codice il trattamento deve avvenire riducendo al minimo l'utilizzo di dati personali (principio di necessità, art. 3 del Codice). I dati oggetto di trattamento pertanto devono essere:




  1. a) trattati in modo lecito e secondo correttezza;




  2. b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;




  3. c) esatti e, ove fosse necessario, aggiornati;




  4. d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;




  5. e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.





I dati personali trattati in violazione della disciplina sul trattamento non possono essere utilizzati.


Nel caso in cui il trattamento dei dati personali, pur non coinvolgendo dati sensibili o dati giudiziari, presenti rischi specifici per i diritti e le libertà fondamentali ovvero per la dignità delle persone in relazione alla natura particolare dei dati trattati (ad esempio: dati biometrici) oppure, alle modalità del trattamento (ad esempio: sistemi di raccolta delle immagini associate a dati biometrici) oppure, agli effetti che il trattamento può determinare, il Garante per la protezione dei dati personali - su richiesta del titolare o d'ufficio - effettua una verifica preliminare all'inizio del trattamento, a seguito della quale può prescrivere misure ed accorgimenti particolari a tutela dell'interessato (art. 17 del Codice).


 


1.3 Informativa e consenso


Tutti possono liberamente raccogliere, per uso strettamente personale, dati personali riguardanti altri individui, a patto di non diffonderli o comunicarli sistematicamente a terzi (es.: i dati raccolti nelle proprie agende cartacee o elettroniche).


Quando però i dati sono raccolti e utilizzati per altre finalità (ad esempio, un'azienda che vuole vendere prodotti, un professionista che vuole pubblicizzare i suoi servizi, un'associazione che vuole trovare nuovi iscritti, un partito che fa propaganda politica), il trattamento dei dati personali deve rispettare delle regole.


Fatte salve alcune eccezioni[38] 34, chi intende effettuare un trattamento di dati personali deve prima fornire all'interessato alcune informazioni (art. 13 del Codice) per  metterlo nelle condizioni di esercitare i propri diritti (art. 7 del Codice).



In particolare, l'informativa[39] 35 – la piattaforma di consapevolezza per l'interessato - deve spiegare:




  1. a) in che modo e per quale scopo verranno trattati i propri dati personali;




  2. b) se il conferimento dei propri dati personali è obbligatorio o facoltativo;




  3. c) le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali;




  4. d) a chi saranno comunicati o se saranno diffusi i propri dati personali;




  5. e) i diritti previsti dall' 7del Codice;




  6. f) chi è il titolare e, se è stato designato, il responsabile del trattamento.




Se i dati personali sono stati raccolti da altre fonti (ad esempio, archivi pubblici, familiari dell'interessato), cioè non direttamente presso l'interessato, l'informativa deve essere resa  quando i dati sono registrati oppure non oltre la prima comunicazione a terzi.



Il trattamento di dati personali da parte di privati è ammesso solo con il consenso[40] 36 espresso dell'interessato, che può riguardare l'intero trattamento ovvero una o più operazioni dello stesso. Anche se nel Codice non è contenuta una nozione di consenso, esso può definirsi come qualsiasi manifestazione di volontà libera, specifica e informata, con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento[41].


Il Codice distingue a seconda che chi raccolga il consenso dell'interessato sia un soggetto privato o un soggetto pubblico.


Il trattamento di dati personali da parte di privati è ammesso solo con il consenso espresso dell'interessato, che può riguardare l'intero trattamento ovvero una o più operazioni dello stesso e deve essere documentato per iscritto (art. 23 del Codice), che è valido se all'interessato è stata resa l'informativa (art. 13 del Codice) e se è stato espresso dall'interessato liberamente e specificamente in riferimento ad un trattamento chiaramente individuato (oppure a singole operazioni di trattamento).


Nel caso in cui a trattare i dati personali sia un soggetto pubblico (ente pubblico, pubblica amministrazione) invece non è necessario avere il consenso dell'interessato, purché il trattamento sia effettuato nell'ambito dello svolgimento delle proprie funzioni istituzionali (art. 18 del Codice).


Il consenso, per essere valido ed efficace, deve essere informato, libero, espresso, specifico e avere una determinata forma esteriore[42] 37.





  1. Le misure minime di sicurezza 




Il Capo II del Codice della privacy prende in esame le misure minime di sicurezza a tutela dei dati personali, operando una divisione tra trattamento dei dati con strumenti elettronici (art.34) e trattamenti che non utilizzano tali strumenti (art. 35). Questi articoli determinano il complesso delle garanzie minime volte ad escludere, o a ridurre sensibilmente, il rischio di un trattamento illecito successivo o la successiva compromissione delle qualificazioni essenziali dei dati personali raccolti (in termini di integrità ed esattezza) ad opera dei soggetti estranei al trattamento stesso. Il titolare del trattamento è obbligato ad adottare misure di sicurezza idonee a ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento dei dati personali non consentito o non conforme alle finalità della raccolta (art. 31 del Codice).



L'art. 33 introduce le misure minime di sicurezza obbligatorie (e tassative) precisate negli artt. 34 e 35, mentre le modalità operative sono contenute nel Disciplinare tecnico di cui all'Allegato B, cui occorre quindi riferirsi[43] 38.



In particolare, l'art. 34 dispone:




  1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:




  2. a) autenticazione informatica;




  3. b) adozione di procedure di gestione delle credenziali di autenticazione;




  4. c) utilizzazione di un sistema di autorizzazione;




  5. d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;




  6. e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;




  7. f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;




  8. g) [soppressa][44];




  9. h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari;




1-bis. [abrogato];


1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.


Tra tutte le misure illustrate nell'art. 34 (argomenti già trattati nel capitolo I, paragrafo 2) mi soffermo sulla lettera f) che introduce un concetto non molto conosciuto dai professionisti: il disaster recovery. Con questo termine, in informatica, si intende l'insieme delle misure tecnologiche e logistico/organizzative atte a ripristinare sistemi, dati e infrastrutture colpite da “disastri informatici”. Scopo di tale previsione è far si che non venga meno uno degli obiettivi principali della sicurezza nel trattamento dei dati: la disponibilità dei dati stessi.


Nell'Allegato B al punto 23 si legge: Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.


Tale adempimento si ricollega al più generale “suggerimento” (ricordiamo, collegato ad obblighi di legge) riguardante la corretta gestione dei computer di studio. Quello che nella prima parte, relativa alla sicurezza informatica, era un avvertimento, lo ritroviamo in questa sezione come una rigorosa elencazione prevista dalla legge, con – lo ricordo ancora – la previsione di sanzioni civili e penali in caso di violazione o omissione.


Altro tema già trattato, ma del quale non si parlerà mai abbastanza, è l'obbligo di effettuare periodicamente copie di backup (All. B, punto 18), con frequenza almeno settimanale.


L'art. 35 invece si riferisce ai trattamenti senza l'ausilio di strumenti elettronici:




  1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:




  2. a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;




  3. b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;




  4. c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.




Qualora il trattamento abbia ad oggetto dati sensibili o giudiziari, questi saranno custoditi dagli incaricati fino alla loro restituzione all'interessato, al termine delle operazioni affidate al titolare del trattamento.


Gli adempimenti appena elencati dovranno essere osservati scrupolosamente dagli incaricati del trattamento e controllati dagli altri soggetti, individuati dal Codice e dal Disciplinare tecnico All. B, ai fini del monitoraggio costante della sicurezza nei tre ambiti delle misure di sicurezza: misure organizzative (istituzione di prassi e modalità di svolgimento del trattamento), misure fisiche (installazione di allarmi e sistemi anti intrusione, e particolari disposizioni fisiche di locali ove si trattano dati personali), misure logiche (installazione di programmi antivirus, adozione di firewall e di procedure di verifica periodica delle reti informatiche e telematiche)[45] 39. 




  1. Le sanzioni




La mancata adozione delle misure minime, di cui si è appena parlato, fa sorgere in capo a chiunque, essendovi tenuto, delle responsabilità penali ed amministrative, mentre l'omissione di misure idonee da parte di chiunque cagiona danno ad altri fa sorgere un obbligo risarcitorio ex art. 2050 c.c.


L'impianto sanzionatorio previsto dal Codice della privacy è disciplinato nella parte terza, Titolo III, e distingue tra violazioni amministrative (artt. 161-166) e illeciti penali (artt. 167-172).


Le  sanzioni amministrative hanno lo scopo di punire i casi di omessa o incompleta notificazione del trattamento al Garante, di inosservanza delle richieste del Garante o per l'omessa informativa ai soggetti interessati.


Le norme relative alle sanzioni penali riguardano i comportamenti quali il trattamento illecito di dati personali, la omessa adozione delle misure di sicurezza, nonché l'omessa osservanza dei provvedimenti del Garante, la falsità nelle dichiarazioni al Garante.


Nella tabella che segue vengono illustrate le principali norme in materia[46] 40.


Gli illeciti penali: artt. 167-172






















Trattamento illecito di dati (Art. 167)



Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei mesi a due anni.



Falsità nelle dichia- razioni e notificazioni al Garante (Art. 168)



Chiunque, nelle comunicazioni di cui all'articolo 32-bis, commi 1 e 8, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.



Misure di sicurezza
(Art. 169)



Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato.



Inosservanza di provvedimenti del Garante
(Art. 170)



Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.




Le violazioni amministrative: artt. 161-166


























Omessa o inidonea informativa all'interessato
(Art.161)



La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da 6.000 a 36.000 Euro.



Omessa o incompleta notificazione
(Art. 163)



Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da 20.000 Euro a 120.000 Euro.



Omessa informazione o esibizione al Garante
(Art. 164)



Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157 è punito con la sanzione amministrativa del pagamento di una somma da 10.000 a 60.000 Euro.



Cessione illecita di dati
(“Altre fattispecie”, Art. 162)



La cessione dei dati in violazione di quanto previsto dall'articolo 16, o di altre disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di una somma da 10.000 a 60.000 Euro.



Pubblicazione della sentenza
(“Pene accessorie”, Art. 172)



La condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza.




La responsabilità civile per danni










Danni cagionati per effetto del trattamento
(Art. 15)



Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. E' risarcibile anche il danno non patrimoniale nel caso di violazione dell'art. 11.



Già da una prima analisi delle norme, ciò che si nota è la severità delle sanzioni penali previste. Rilevante è inoltre la potenziale vastità di applicazione dell'art. 167 che sanziona il trattamento illecito di dati. Per trattamento illecito di norma si intende ogni contatto con dati personali e/o sensibili di terzi eseguito in modo difforme dalle prescrizioni impartite dal Codice della privacy, se dal fatto deriva nocumento all'interessato.


In particolare, tale articolo è applicabile nei casi della mancata acquisizione del consenso, quando quest'ultimo sia previsto come obbligatorio. Il consenso, come detto, deve ottenersi previa presentazione di un'idonea informativa, adempimento fondamentale richiesto dal Codice della privacy.


La responsabilità dovrà essere accertata caso per caso tra il titolare dei dati, il responsabile o altri soggetti incaricati del loro trattamento in relazione a due requisiti: a) l'elemento oggettivo (il nocumento ai diritti dell'interessato) e b) l'elemento soggettivo (il dolo specifico determinato dall'aver agito al fine di trarre profitto per sé o per altri o di recare danno ad altri)[47] 41.


Il fatto che, oltre alle fattispecie direttamente previste, le sanzioni penali potrebbero essere applicate anche ad altre inadempienze, con un potere discrezionale abbastanza significativo da parte del giudice, dovrebbe ovviamente suggerire a chi tratta dati personali di non correre rischi ed essere solleciti nell'effettuare gli adempimenti previsti dalla legge.


Per quel che concerne la responsabilità civile per danni, il Codice della privacy qualifica il trattamento dei dati personali come attività pericolosa, ex art. 2050 c.c. E' da evidenziare come ciò comporti un'inversione dell'onere della prova nell'azione risarcitoria, per cui tale onere viene a gravare sull'azienda, che è tenuta a dimostrare di avere applicato “tutte le misure di sicurezza più idonee” (quindi con la miglior tecnologia ed organizzazione possibile) a garantire la sicurezza dei dati personali gestiti. Per misure idonee si intendono, in dottrina, le migliori misure di sicurezza che la scienza e la tecnica mettono a disposizione.





  1. L'avvocato e la Privacy




Il professionista che tratta i dati dei clienti ha l'obbligo che il trattamento sia eseguito a norma delle disposizioni contenute nel Codice della privacy.


Con Autorizzazione n.4/2014[48] 42, il Garante per la protezione dei dati personali ha rinnovato l'autorizzazione per i liberi professionisti, iscritti in albi o elenchi professionali, a trattare i dati sensibili di cui all'art. 4, comma 1, lett. D) del Codice Privacy, secondo una serie di specifiche prescrizioni.


Non vi è bisogno di specifica richiesta al Garante per trattare questo tipo di dati: l'autorizzazione è rilasciata ai liberi professionisti tenuti ad iscriversi in albi o elenchi per l'esercizio di un'attività professionale in forma individuale o associata. L'autorizzazione è estesa anche ai collaboratori del libero professionista (segretaria, praticanti, ecc.) ai sensi dell'art. 2232 C.C. qualora tali soggetti siano titolari di un autonomo trattamento o siano contitolari del trattamento effettuato dal libero professionista.



4.1 Interessati ai quali i dati si riferiscono e categorie di dati


Il trattamento può riguardare i dati sensibili relativi ai clienti.


I dati sensibili relativi ai terzi possono essere trattati ove ciò sia strettamente indispensabile per l'esecuzione di specifiche prestazioni professionali richieste dai clienti per scopi determinati e legittimi. In ogni caso, i dati devono essere strettamente pertinenti e non eccedenti rispetto ad incarichi conferiti che non possano essere svolti mediante il trattamento di dati anonimi o di dati personali di natura diversa. Il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale deve essere effettuato anche nel rispetto della citata autorizzazione generale.



4.2  Finalità del trattamento


Il trattamento dei dati sensibili può essere effettuato ai soli fini dell'espletamento di un incarico che rientri tra quelli che il libero professionista può eseguire in base al proprio ordinamento professionale, e in particolare:




  1. a) per curare gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell'interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo, ai sensi della legge 11 gennaio 1979, n. 12, che disciplina la professione di consulente del lavoro;




  2. b) ai fini dello svolgimento da parte del difensore delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, anche a mezzo di sostituti e di consulenti tecnici, o, comunque, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi.




Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;




  1. c) per l'esercizio del diritto di accesso ai documenti amministrativi, nei limiti di quanto stabilito dalle leggi e dai regolamenti in materia, salvo quanto previsto dall'art. 60 del Codice in relazione ai dati sullo stato di salute e sulla vita sessuale.





4.3  Modalità di trattamento


Il trattamento dei dati sensibili deve essere effettuato unicamente con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto all'incarico conferito dal cliente. Restano fermi gli obblighi previsti dagli articoli 11 e 14 del Codice, nonché dagli articoli 31 e seguenti del Codice e dall'Allegato B) già citato. Resta inoltre fermo l'obbligo di informare l'interessato ai sensi dell'art. 13, commi 1, 4 e 5, del Codice, anche quando i dati sono raccolti presso terzi, e di acquisire, ove necessario, il consenso scritto.


L'avvocato può fornire tale informativa e le notizie che deve indicare ai sensi della disciplina sulle indagini difensive in un unico contesto, anche mediante affissione nei locali dello studio e, se ne dispone, pubblicazione sul proprio sito Internet, anche utilizzando formule sintetiche e colloquiali. Se i dati sono raccolti per l'esercizio di un diritto in sede giudiziaria o per le indagini difensive (punto 3, lettera b), l'informativa relativa ai dati raccolti presso terzi, e il consenso scritto, sono necessari solo se i dati sono trattati per un periodo superiore a quello strettamente necessario al perseguimento di tali finalità, oppure per altre finalità con esse non incompatibili.


Le informative devono permettere all'interessato di comprendere agevolmente se il titolare del trattamento è il singolo professionista o un'associazione di professionisti, ovvero se ricorre un'ipotesi di contitolarità tra più liberi professionisti o di esercizio della professione in forma societaria ai sensi del decreto legislativo 2 febbraio 2001, n. 96.


Resta ferma la facoltà del libero professionista di designare quali responsabili o incaricati del trattamento i sostituti, gli ausiliari, i tirocinanti presso il libero professionista, i quali, in tal caso, possono avere accesso ai soli dati strettamente pertinenti alla collaborazione ad essi richiesta. Analoga cautela deve essere adottata in riferimento agli incaricati del trattamento preposti all'espletamento di compiti amministrativi.



4.4 Conservazione dei dati


Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e), del Codice, i dati sensibili possono essere conservati, per il periodo di tempo previsto dalla normativa comunitaria, da leggi, o da regolamenti e, comunque, per un periodo non superiore a quello strettamente necessario per adempiere agli incarichi conferiti. A tal fine, anche mediante controlli periodici, deve essere verificata la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto agli incarichi in corso, da instaurare o cessati, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa.


I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene.


Specifica attenzione è prestata per l'indispensabilità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti. I dati acquisiti in occasione di precedenti incarichi possono essere mantenuti se pertinenti, non eccedenti e indispensabili rispetto a successivi incarichi.



4.5 Comunicazione e diffusione dei dati


I dati sensibili possono essere comunicati e ove necessario diffusi, a soggetti pubblici o privati, nei limiti strettamente pertinenti all'espletamento dell'incarico conferito e nel rispetto, in ogni caso, del segreto professionale. I dati idonei a rivelare lo stato di salute possono essere comunicati solo se necessario per finalità di prevenzione, accertamento o repressione dei reati, con l'osservanza delle norme che regolano la materia. I dati relativi allo stato di salute e alla vita sessuale non possono essere diffusi.


Nell'effettuare il trattamento dei dati personali devono essere soddisfatti i principi contenuti nella normativa in materia di privacy e di sicurezza dei dati personali trattati. Pertanto le operazioni di trattamento devono essere svolte in modo lecito e secondo correttezza; la raccolta e la registrazione dei dati stessi devono avvenire per scopi determinati, espliciti e legittimi, e le finalità di utilizzo dei dati non possono essere incompatibili con tali scopi.


Per queste ragioni è opportuno che il professionista indichi dettagliatamente nelle lettere d'incarico[49] 43: il tipo di dati cui l'incaricato avrà accesso; la tipologia di trattamento; gli archivi che potrà utilizzare.


Nel contesto descritto l'analisi dei rischi gioca un ruolo fondamentale, le cui conclusioni possono essere sintetizzate in un documento, di natura facoltativa, estremamente importante in quanto individua e analizza i punti di forza e di debolezza all'interno di un ambiente di lavoro.


 


4.6  Gli adempimenti consigliati



Come evidenziato in questa sezione, è opportuno per il professionista adottare una serie di adempimenti, anche in relazione al rigoroso quadro sanzionatorio, che devono ritenersi come assolutamente prioritari:




  1. a) la redazione delDocumento Programmatico sulla Sicurezza: anche se ne è formalmente abrogato[50] 44 l'obbligo, è tuttavia consigliabile tenere un documento scritto che contenga le misure di sicurezza adottate negli studi professionali, la loro evoluzione nel tempo e gli eventuali episodi di contestazione di presunte violazioni. Ciò anche per continuare a tenere sotto controllo il rispetto delle misure di tutela della privacy previste dal Codice, che sono rimaste in vigore. Lo scopo del DPS, infatti, era proprio quello di descrivere la situazione relativa alle misure adottate con riferimento ai punti stabiliti all'art. 34 del Codice;




  2. b) l'adeguamento allamisure minime di sicurezza (di cui si è parlato nel par. 2);




  3. c) la redazione e presentazione delleinformativee, quando previsto, il conseguimento del consenso degli interessati;




  4. d) la redazione e consegna dellelettere di incaricoai componenti dello studio legale incaricati del trattamento;




  5. e) laformazione del personale di studio.







  1. Il nuovo Regolamento europeo sulla protezione dei dati




Con lo sviluppo delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione[51] 45, fornendo informazioni sui luoghi frequentati e sugli spostamenti.


Ogni attività compiuta sul web rivela qualcosa di noi stessi, della nostra vita, delle nostre abitudini e delle nostre frequentazioni (persone e/o luoghi). I social network tracciano il nostro passaggio in modo puntuale, prendendo nota di orari, contenuti e permanenza online su un determinato sito. Facebook, ad esempio, può ottenere molteplici informazioni proprio grazie alle opinioni, alle discussioni, ai like, attribuiti ai singoli prodotti, alle aziende e alle loro iniziative, che compaiono sulle pagine personali degli utenti del social network[52] 46.


In questi ultimi anni ci si è resi conto che le norme esistenti non erano più adeguate a tutelare i nostri dati personali. Erano norme antiche ormai, basate su principi e comportamenti antecedenti alla diffusione e allo sviluppo del Web, e questo ha avuto un impatto notevole nella necessità di determinare regole nuove, che sostituissero quelle definite in Europa con la direttiva del 95/46/CE.


Il nuovo Regolamento europeo[53] 47 in materia di protezione dei dati personali - entrato in vigore il 24 maggio 2016, ma che diverrà applicabile solo a partire dal 25 maggio 2018 - presenta una corposa disciplina che porterà di conseguenza un aggravamento del carico di adempimenti, ma porta anche diverse novità rispetto alla nostra normativa interna.


Ricordiamo che il Regolamento è parte del cosiddetto Pacchetto protezione dati, l'insieme normativo che definisce un nuovo quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell'UE e comprende anche la Direttiva in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini.


La Direttiva, pubblicata in GUUE insieme al Regolamento e vigente dallo scorso 5 maggio, dovrà essere recepita dagli Stati membri entro 2 anni.


La prima novità è senza dubbio la forma giuridica scelta dal legislatore comunitario: il Regolamento non avrà, infatti, bisogno di norme di attuazione dei singoli stati membri (com'è previsto invece per la direttiva), ma sarà direttamente efficace dal 25 maggio 2018.


La normativa italiana sulla privacy nasceva nel 1996 con un provvedimento italiano, ma in realtà era figlia dell'Europa, ma con uno sviluppo nei singoli stati con legislazioni a volte contrastanti e sicuramente non coordinate.


Il Regolamento europeo nasce, invece, con la garanzia di uniformità di trattamento per le imprese e gli enti pubblici, ma soprattutto uniformità di tutele per consumatori ed utenti. Cambia l'approccio, che non  è un approccio burocratico, ma è un approccio destinato a risolvere i problemi concreti per le imprese affinché possano far circolare – al pari di beni e capitali - i dati personali all'interno dell'Europa in un quadro di garanzie pieno ed effettivo. Gli interessati devono sapere come saranno trattati i loro dati, dove vanno a finire le loro informazioni, ma nel contempo non si può pensare di fermare o intralciare lo sviluppo economico e imprenditoriale. Si tratta di una tutela che impone la nascita di nuove figure e nuovi diritto: il diritto all'oblio, il diritto alla portabilità dei dati e una nuova figura (il Privacy Officer).


Il 25 maggio 2018 si avrà l'automatica abrogazione della direttiva 95/46/CE, a seguito dell'immediata esecutività del Regolamento, ma non vi sarà l'abrogazione delle disposizioni di legge degli ordinamenti interni, a patto che, naturalmente, non siano incompatibili con i contenuti del testo comunitario. Di conseguenza, ci sarà invece la disapplicazione (abrogazione implicita) delle norme di diritto interno incompatibili con le previsioni del Regolamento. Secondo il principio di residualità, le norme del diritto interno, quindi, continueranno ad essere applicate se il Regolamento nulla prevede in argomento.


Analizzando il testo, notiamo subito delle previsioni articolate ed esaustive, anticipate da ben 173 Considerando, che riportano le osservazioni del legislatore comunitario su quanto esposto nel testo normativo, e 99 articoli che regolano ogni aspetto della tutela del trattamento dei dati personali.



Le principali novità possiamo elencarle nei dieci punti che seguono[54] 48.




  1. Efficacia.




Il regolamento europeo in materia di dati personali è un testo normativo generale e riguarderà tutti i paesi dell'Unione e sarà direttamente esecutivo senza bisogno di leggi di recepimento nazionale. Una stessa legge valida per 28 paesi senza nessuna differenza. La prima novità è una nuova regola generale: la normativa sarà applicabile a tutti coloro che trattano dati di cittadini europei, indipendentemente dal fatto che chi tratta i dati abbia sede in Europa o fuori dall'Unione europea. E' un grande cambiamento perché finora la regola generale si basava su un criterio opposto: in precedenza, infatti, valeva la legge del paese in cui il titolare del trattamento aveva sede. A breve quindi, società che operano nel settore della ricerca di informazioni, di raccolta di dati, grandi multinazionali (Google, Facebook, Twitter) saranno soggette a regole europee a prescindere dal fatto che la loro sede sia in territorio extraeuropeo.




  1. Accountability.




E' un nuovo concetto che trova spazio nel Regolamento, e riguarda l'attribuzione di responsabilità a tutti i soggetti che collaborano nella gestione delle informazioni legate ai dati personali. E' un cambiamento che imporrà di avere delle regole organizzative precise, delle procedure ben definite e soprattutto delle forme di controllo che permettano di verificare ciò che è stato fatto anche a posteriori. La nuova logica che va reintrodotta è simile a quella che si utilizza nel mondo dei trasporti: la scatola nera, un sistema cioè che permetta di registrare e di controllare, all'esigenza di verifica, che cosa effettivamente è successo nel trattamento dei dati.




  1. Informativa.




Come già si è detto, l'informativa è il testo da fornire all'interessato per raccoglierne il consenso per il trattamento dei dati personali. Le nuove regole impongono di avere dei testi semplici, comprensibili, senza riferimenti legislativi, privi di formule troppo burocratiche, indecifrabili, che nessuno legge e comprende. La forma deve essere chiara, precisa, semplice che la persona possa comprendere subito senza dover dedicare troppo tempo alla lettura, in modo che la sua volontà di aderire al trattamento dei dati sia consapevole e non sia frutto, invece, di una semplice inerzia.




  1. Consenso.




Occorre che la persona (l'interessato al trattamento dei dati personali) sia informata, capisca quello che sta sottoscrivendo, e occorre soprattutto che il consenso sia riferito a specifici trattamenti, preventivo e inequivocabile, anche quando espresso attraverso mezzi elettronici (ad esempio, selezionando un'apposita casella in un sito web).


Per trattare i dati sensibili, il Regolamento prevede che il consenso deve essere anche «esplicito».


Viene esclusa ogni forma di consenso tacito (il silenzio, cioè, non equivale al consenso) oppure ottenuto proponendo a un interessato una serie di opzioni già selezionate.


Il consenso potrà essere revocato in ogni momento. I trattamenti effettuati fino a quel momento dal titolare sulla base del consenso rimarranno comunque legittimi.


I fornitori di servizi Internet e i social media, dovranno richiedere il consenso ai genitori o a chi esercita la potestà genitoriale per trattare i dati personali dei minori di 16 anni.




  1. Impact assessment.




Si tratta di un documento di valutazione di impatto nel trattamento dei dati.


E' in sostanza un'analisi del rischio, che va effettuata in concreto considerando quali dati vengono trattati da una determinata organizzazione, quali sono i rischi concreti nel trattamento dei dati e quali possibili cautele possono essere realizzate per risolvere e prevenire questi rischi. Si tratta di realizzare una lista di possibili rischi o criticità e di definire un programma sviluppato nel corso del tempo successivo alla realizzazione dell'assessment per risolvere questi problemi.




  1. Scompare la notificazione al Garante.




La notificazione consisteva nella necessità di comunicare preventivamente alle autorità garanti il fatto che una organizzazione, un ente o una società trattava dati personali. Il nuovo Regolamento non prevede più questo tipo di comunicazione preventiva: sarà invece onere del soggetto che tratta i dati documentare adeguatamente le tipologie di dati trattati attraverso un “registro dei trattamenti” ed un buon data privacy impact assessment, o documento di valutazione di impatto nel trattamento dei dati.




  1. Data Privacy Officer o Data Protection Officer.




E' il manager del trattamento dei dati. E' il nuovo protagonista del trattamento dei dati personali, incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti.


Non è un corrispondente del tradizionale responsabile del trattamento dei dati che tutti siamo abituati a conoscere dal Codice della Privacy. E' un privacy auditor, una figura interna all'organizzazione che ha il compito di verificare che i trattamenti siano effettuati in modo corretto, e che non ci siano delle situazioni di rischio nel trattamento dei dati. Egli deve predisporre il documento di valutazione di impatto nel trattamento dei dati e deve avere ampia autonomia, anche economica, viene nominato dal titolare del trattamento e resta in carica 4 anni: è, altresì, il referente a cui si può rivolgere il Garante quando ha necessità di avere delle informazioni rispetto al trattamento dei dati personali svolto dall'azienda. E' una figura nuova che entra nell'organizzazione dell'azienda: non è un soggetto che si occupa dei dati e li gestisce direttamente.




  1. Privacy by design.




E' una nuova modalità di concepire la privacy che dovrà essere tenuta in considerazione fin dall'inizio della raccolta dei dati. Disegnare i processi operativi, considerando fin dall'inizio la protezione dei dati come un elemento strategico, ridurre al minimo l'uso di dati personali e avere un approccio proattivo incentrato sull'utente.


Ad esempio, è previsto l'obbligo di effettuare valutazioni di impatto prima di procedere ad un trattamento di dati che presenti rischi elevati per i diritti delle persone, consultando l'Autorità di protezione dei dati in casi dubbi.


E' un nuovo modo di concepire la protezione dei dati, non come rimedio ma come processo.




  1. Data breach notification.




La normativa introduce anche in Italia un nuovo regolamento specifico per le ipotesi di violazione dei dati personali: si tratta dell'obbligo di informare tempestivamente le autorità delle eventuali violazioni dei dati personali.


Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitarne le possibili conseguenze negative.


Il titolare del trattamento potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti (quando non si tratti, ad esempio, di frode, furto di identità, danno di immagine, ecc.); oppure se dimostrerà di avere adottato misure di sicurezza (come la cifratura) a tutela dei dati violati; oppure, infine, nell'eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte è elevato). In questo ultimo caso, è comunque richiesta una comunicazione pubblica o adatta a raggiungere quanti più interessati possibile (ad esempio, tramite un'inserzione su un quotidiano o una comunicazione sul sito web del titolare).


L'Autorità di protezione dei dati potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria autonoma valutazione del rischio associato alla violazione.


Ciò significa che bisognerà adottare meccanismi di monitoraggio e controllo del database che permettano di rilevare tempestivamente queste violazioni.


Si porrà poi un problema non indifferente legato alla necessità di gestire in modo corretto queste situazioni di comunicazione obbligata verso l'esterno di fatti che possono essere pesanti dal punto di vista della reputazione e della immagine aziendale.




  1. Il diritto all'oblio e diritto alla portabilità.




Il primo consiste nel diritto che ha l'interessato ad essere dimenticato. E' una cosa diversa e molto più profonda rispetto al tradizionale diritto alla cancellazione e alla opposizione al trattamento. Significa eliminare qualsiasi traccia delle informazioni raccolte in precedenza, e significa quindi per il titolare doversi organizzare per rispettare, in modo specifico e approfondito, questo tipo di diritto dell'interessato.


La normativa introduce il diritto alla portabilità dei dati personali per trasferirli da un titolare del trattamento ad un altro. Esattamente come succede per il numero di telefono, che si può trasferire da un fornitore di servizi telefonici all'altro, lo stesso varrà per i dati personali.


Il Presidente di Federprivacy[55], Nicola Bernardi, in un suo recente intervento, ha affermato che  il nuovo Regolamento europeo è una grande opportunità su vari livelli. Secondo Bernardi, infatti, l'introduzione della figura del Data Privacy Officer obbligherà aziende e pubbliche amministrazioni a rivolgersi a professionisti del settore, e questo porterà da un lato la necessità per le aziende di comprendere che con le statuizioni del nuovo Regolamento europeo  potranno sfruttare al meglio le opportunità del mercato digitale, ma sempre nel rispetto delle regole per non incorrere in risarcimenti e sanzioni da parte del Garante della Privacy; dall'altro porterà a nuove opportunità di lavoro per i professionisti certificati in materia che potranno approfittare della nuova normativa per offrire le loro competenze all'interno dell'intera Unione Europea, e non solo in Italia.


In conclusione, si può affermare che il Regolamento punta a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei Paesi dell'Unione europea.


[1] 49 Ethan Katsh è professore di studi giuridici presso l'Università del Massachusetts, ad Amherst e condirettore del Centro per l'Informatica e la risoluzione delle controversie. E' autore di Law in a Digital World (1995) e The Electronic Media and the Transformation of Law (1989).


[2] 50 Robert C. Clark, The Interdisciplinary Study of Legal Evolution, 90 YALE LAW JOURNAL (1980).



[3] 51 Stefano Rodotà, Il mondo nella rete: Quali diritti, quali vincoli, Ed. Laterza, 2014.


[4] 52 Lo spamming consiste nell'invio di messaggi pubblicitari di posta elettronica che non siano stati in alcun modo sollecitati, V.S. Desisto, G. Dezzani, C. Santoriello, Il diritto penale delle nuove tecnologie, Ed. Cedam, 2007.


[5] 53 Il filmato è ancora reperibile in rete www.speaking.com/speakers/mikko-hypponen. Hypponen è Chief Research Officer per la F-Secure in Finlandia dove ha dedicato gli ultimi 25 anni a combattere le più devastanti minacce informatiche come Stuxnet, Sasser e Storm Worm. E' stato uno dei primi a documentare le minacce alla sicurezza degli smartphone. Il suo discorso sulla sicurezza online per TED dal 2011  è il più visto in rete (un milione e mezzo di visualizzazioni ed è stato tradotto in 40 lingue).


[6] 54 http://www.inc.com/will-yakowicz/big-business-of-hacking-small-businesses.html.


[7] 55 Fonte: Trustwave Global Security Report 2015.


[8] 56 Il Dark Web è la parte più oscura del Deep Web: il primo è una specie di supermercato online dove è possibile comprare e vendere di tutto, quasi sempre di illegale o poco legale (droga, armi, materiale pornografico, soldi falsi, identità rubate, ecc.). Fonte: Andrea Aparo Von Flue, fisico e docente universitario.


[9] 57 Fonte: www.formiche.net/2015/06/22/business-cybercrime.


[10] 58 E' un tipo di malware (un software) creato allo scopo di introdursi in un computer senza autorizzazioni, per trafugarne i dati o causare danni al sistema informatico su cui viene eseguito (www.certnazionale.it/glossario/malware).


[11] 59 Linee guida – Ransomware: rischi e azioni di prevenzione (fonte www.certnazionale.it).


[12] 60 Clusit.it è l'Associazione Italiana per la Sicurezza Informatica.


[13] 61 Ing. Andrea Gelpi, Processo telematico di Alessandra Villecco, Ed. Wolters Kluwer Italia, Milano, 2013.


[14] 62 Fonte: Nannibassetti.com.


[15] 63 Qualsiasi organizzazione deve poter garantire la sicurezza dei propri dati, soprattutto in un mercato in cui i rischi informatici derivanti da violazioni dei sistemi di sicurezza sono in continuo aumentano. L'obiettivo di ISO 27001 sta proprio nel  proteggere i dati e le informazioni da minacce di ogni tipo, assicurandone l'integrità, e la disponibilità ai soli e riservati utenti “addetti”. E' possibile applicare la norma ISO 27001 a tutte le aziende che svolgono attività nei settori governativi o nel campo di: finanza, telecomunicazioni, trasporti, assicurazioni e servizi.


[16] 64 Relazione di accompagnamento al DDL 2773/1993.


[17] 65 Fonte: Symantec.com


[18] 66 Vedi in Appendice il testo integrale dell'Allegato B al D.lgs 196/2003.


[19] 67 Allegato B D.lgs 196/2003: 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.


[20] 68 E' un hard disk su porta ethernet, connesso alla rete interna (LAN).


[21] 69 Malware è l'abbreviazione di "malicious software", software dannoso. Malware è un qualsiasi tipo di software indesiderato che viene installato senza espresso consenso dell'utente. Virus, worm e cavalli di Troia sono esempi di software dannoso che sono spesso raggruppati e denominati malware (Fonte: Microsoft.com).


[22] 70 Kevin D. Mitnick “L'arte dell'inganno” Feltrinelli 2002.


[23] 71 K. D. Mitnick (cit.)


[24] 72 Bruce Schneier è un crittografo americano, specializzato in sicurezza informatica e privacy, ed è anche scrittore. E' autore di diversi libri sulla sicurezza in generale, sulla sicurezza informatica e sulla crittografia.


[25] 73 http://www.commissariatodips.it


[26] 74 Laboratorio Nazionale di Cyber Security del CINI (Consorzio Interuniversitario Nazionale per l'Informatica).


[27] 75 Il convegno è andato in diretta, ma lo si può visionare all'indirizzo http://webtv.camera.it/evento/9591.


[28] 76 Il concetto della IOT è stato introdotto da Kevin Ashton, cofondatore e direttore esecutivo di Auto-ID Center (consorzio di ricerca con sede al MIT). I principali domini applicativi ed ambiti operativi interessati dallo sviluppo della IOT sono la domotica, la robotica, l'avionica, l'industria automobilistica e biomedicale.


[29] 77 Marco Calamari lavora in una multinazionale come archeologo di sorgenti legacy. Appassionato di privacy e crittografia, ha contribuito ai progetti FOSS Freenet, Mixmaster, Mixminion, Tor e GlobalLeaks. Fondatore del Progetto Winston Smith 78 (http://pws.winstonsmith.org) e cofondatore del Centro Hermes 79, scrive su Punto Informatico 80 la rubrica Cassandra crossing.



[30] 81 L'anno scorso degli hacker, nel corso di un esperimento organizzato da Wired US, hanno preso il controllo di un'automobile smart riuscendo a manovrarne il climatizzatore, l'impianto stereo e il pannello touch, ma anche il tergicristalli, la trasmissione, i freni e lo sterzo.


[31] 82 Segnatamente l'iniziativa NCSA (National Cyber Security Alliance) americana o l'alleanza security made in Germany.


[32] 83 NSA, NIST, DHS negli Stati Uniti e BSI in Germania.


[33] 84 Per elaborare questa sezione del manuale si è fatto spesso ricorso alle indicazioni del Garante per la protezione dei dati personali illustrate sul sito www.garanteprivacy.it.


[34] 85 www.garanteprivacy.it.


[35] 86 Relazione parlamentare di accompagnamento al D.Lgs. 196/2003.


[36] 87 E. Berlingieri, Legge 2.0, il Web tra legislazione e giurisprudenza, Apogeo, 2008.


[37] 88 Provv. 23 maggio 2000, in Boll. N. 13.


[38] 89 Art. 13, comma 5-bis. L'informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell'eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all'invio del curriculum, il titolare è tenuto a fornire all'interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f).


[39] 90 In appendice è allegato un facsimile di informativa.


[40] 91 Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso




  1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:




  2. a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;




  3. b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato;




  4. c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;




  5. d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;




  6. e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2;




  7. f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;




  8. g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato;




  9. h) con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13;




  10. i) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati;




i-bis) riguarda dati contenuti nei curricula, nei casi di cui all'articolo 13, comma 5-bis;


i-ter)con esclusione della diffusione e fatto salvo quanto previsto dall'articolo 130 del presente codice, riguarda la comunicazione di dati tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell'articolo 2359 del codice civile ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come definite all'articolo 34, comma 1-ter, e purché queste finalità siano previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa di cui all'articolo 13.


[41] 92 Art. 2, comma 1, lett. h), Direttiva 95/46/CE.


[42] 93 M. Soffientini, Privacy, protezione e trattamento dei dati, Wolters Kluwer, 2015.


[43] 94 Vedi testo integrale in Appendice.


[44] 95 Lettera soppressa dall'art. 45, comma 1, lett. c), del decreto legge 9 febbraio 2012, n. 5, convertito, con modificazioni, dalla legge 4 aprile 2012, n. 35. Il testo originale era: "tenuta di un aggiornato documento programmatico sulla sicurezza".


[45] 96 Glauco Riem, docente di Informatica Giuridica presso la Facoltà di Giurisprudenza dell'Università degli Studi di Trieste.


[46] 97 Tabelle estratte dal sito www.consulenzaprivacy.it.


[47] 98 E. Bassoli, La sicurezza dei sistemi informativi aziendali: norme protettive, oneri e misure minime obbligatorie, in Diritto dell'internet, Cedam, 2013.


[48] 99 Autorizzazione al trattamento dei dati sensibili da parte dei liberi professionisti – 11 dicembre 2014 (pubblicato in Gazzetta Ufficiale n. 301 del 30 dicembre 2014).


[49] 100 Ogni persona fisica dipendente o collaboratore dell'azienda o ente deve essere incaricata per iscritto con la specificazione delle modalità a cui deve attenersi nel trattamento dei dati personali. La preparazione delle apposite lettere di incarico comporta la necessità di svolgere un lavoro di analisi delle mansioni e in particolare dei trattamenti di dati personali effettuati da ciascuna persona o categoria di persone, in modo da definire l'ambito e le modalità di trattamento previste per ognuno.


[50] 101 D.L. 5/2012.


[51] 102 La geolocalizzazione è l'identificazione della posizione geografica nel mondo reale di un dato oggetto, come ad esempio un telefono cellulare o un computer connesso o meno ad Internet, secondo varie possibili tecniche.


[52] 103 AGCOM, Indagine conoscitiva sul settore dei servizi internet e sulla pubblicità online.


[53] 104 Regolamento Europeo n. 2016/679.


[54] 105 Fonte: MailUp.


[55] 106 Federprivacy.it.

Links:
  1. #_ftn1
  2. #_ftn2
  3. #_ftn3
  4. #_ftn4
  5. #_ftn5
  6. #_ftn6
  7. #_ftn7
  8. #_ftn9
  9. #_ftn11
  10. #_ftn12
  11. #_ftn13
  12. #_ftn14
  13. #_ftn15
  14. #_ftn16
  15. #_ftn17
  16. #_ftn18
  17. #_ftn19
  18. #_ftn20
  19. #_ftn21
  20. #_ftn22
  21. #_ftn24
  22. #_ftn25
  23. #_ftn26
  24. #_ftn27
  25. #_ftn29
  26. #_ftn30
  27. #_ftn31
  28. #_ftn32
  29. #_ftn33
  30. #_ftn34
  31. #_ftn35
  32. #_ftn36
  33. #_ftn37
  34. #_ftn38
  35. #_ftn39
  36. #_ftn40
  37. #_ftn42
  38. #_ftn43
  39. #_ftn45
  40. #_ftn46
  41. #_ftn47
  42. #_ftn48
  43. #_ftn49
  44. #_ftn50
  45. #_ftn51
  46. #_ftn52
  47. #_ftn53
  48. #_ftn54
  49. #_ftnref1
  50. #_ftnref2
  51. #_ftnref3
  52. #_ftnref4
  53. #_ftnref5
  54. #_ftnref6
  55. #_ftnref7
  56. #_ftnref8
  57. #_ftnref9
  58. #_ftnref10
  59. #_ftnref11
  60. #_ftnref12
  61. #_ftnref13
  62. #_ftnref14
  63. #_ftnref15
  64. #_ftnref16
  65. #_ftnref17
  66. #_ftnref18
  67. #_ftnref19
  68. #_ftnref20
  69. #_ftnref21
  70. #_ftnref22
  71. #_ftnref23
  72. #_ftnref24
  73. #_ftnref25
  74. #_ftnref26
  75. #_ftnref27
  76. #_ftnref28
  77. #_ftnref29
  78. http://pws.winstonsmith.org/
  79. http://logioshermes.org/
  80. http://punto-informatico.it/cerca.aspx?s=cassandra %20calamari&t=4
  81. #_ftnref30
  82. #_ftnref31
  83. #_ftnref32
  84. #_ftnref33
  85. #_ftnref34
  86. #_ftnref35
  87. #_ftnref36
  88. #_ftnref37
  89. #_ftnref38
  90. #_ftnref39
  91. #_ftnref40
  92. #_ftnref41
  93. #_ftnref42
  94. #_ftnref43
  95. #_ftnref44
  96. #_ftnref45
  97. #_ftnref46
  98. #_ftnref47
  99. #_ftnref48
  100. #_ftnref49
  101. #_ftnref50
  102. #_ftnref51
  103. #_ftnref52
  104. #_ftnref53
  105. #_ftnref54
  106. #_ftnref55
Post date: 2018-04-15 09:05:30
Post date GMT: 2018-04-15 07:05:30

Post modified date: 2018-04-15 09:05:30
Post modified date GMT: 2018-04-15 07:05:30

Export date: Thu Nov 21 8:47:54 2024 / +0000 GMT
This page was exported from Il Processo Telematico - La Privacy - La Sicurezza Informatica [ https://maurizioreale.it ]
Export of Post and Page has been powered by [ Universal Post Manager ] plugin from www.ProfProjects.com