Normativa sulla sicurezza e sulla privacy

 

Sicurezza informatica

Un insieme di strategie, tecniche e modelli di management finalizzate alla protezione delle informazioni gestite dai sistemi informativi .  

 

Le caratteristiche fondamentali che deve possedere un sistema informativ o sicuro sono:

• integrità: i dati non devono essere modificati o alterati da nessuno che non abbia le adeguate autorizzazioni; 

• confidenzialità (riservatezza): né i dati memorizzati né quelli trasmessi devono essere comprensibili a chi non ha i diritti per poterli utilizzare;

• disponibilità: i dati devono essere sempre a disposizione di chi è autorizzato a fruirne ;  

 

l'evoluzione tecnologica ha determinato l'introduzione nostro panorama giuridico di nuovi concetti giuridici, di nuovi beni tutelati, di nuovi reati e di nuove forme contrattuali (si pensi alla licenza d'uso dei programmi). il codice civile che quello penale hanno introdotto articoli in merito ai diversi aspetti dell'informatica, tra i quali ricordiamo quelli relativi: 

• al software (d.lgs. 518/92 -1 . 633/41 ) e alle forme nuove di licenza (open source);

• alla privacy (d.lgs. 196/03);

• alla frode informatica (art. 640 ter c.p. );

• al domicili o informatico (art. 615 ter c.p.);

• ai virus (art. 615 quinquie s c.p.);

• alla posta elettronica (art. 616 c.p.);

• al valore legale della firma digitale (d.lgs. 235/10). 

 

Il decreto 196/03 del 30 giugno 2003

Il decreto legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali pubblicato nella Gazzetta Ufficiale n.174 del 29 luglio 2003 - Supplemento Ordinario n. 123, ha avuto un ruolo determinante nel diritto sulla sicurezza e sulla privacy in quanto:

 

• introduce un nuovo fondamentale diritto: il diritto alla protezione dei dati personali;

• contiene le prescrizioni e le regole per la sicurezza dei dati e dei sistemi.

 

Il nome del decreto 196/03 è quello prima riportato, cioè Codice in materia di protezione dei dati personali, ma è noto comune mente anche come Testo unico sulla privacy.

 

Con il decreto 196/03 la materia della tutela e della protezione dei dati personali subisce una profonda modifica: vengono abrogati una serie di decreti legislativi e leggi, tra cui legge 675/96, sparisce un regolamento attuativo, sono integrati e recepiti i princip i contenuti in una nuova direttiva comunitaria e sono introdotte "ex novo " alcune misure di sicurezza a protezione dei dati personali e dei sistemi:

• la normativa sancisce il diritto alla protezione dei propri dati personali facendo in modo che il proprietario dei dati non è chi tratta l'informazione ma le persone a cui i dati si riferiscono;

• chi tratta dati personali ha il dovere di proteggerli.

 

II decreto è composto da 186 articol i strutturati in tre parti e da due allegati:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Il testo completo è disponibile all'indirizzo:

http://www.parlamento.it/parlam/leggi/deleghe/03196dl.htm

 

 

Con l'avvento delle nuove tecnologie come outsourcing e il cloud i sistemisti devono valutare attentamente le clausole contrattuali previste a tutela della riservatezza prima di stipulare accordi con fornitori di questi servizi esterni alla organizzazione:

ad esempio, spesso i data base sono su server localizzati fisicamente in paesi tropicali, dove le normative sulla tutela del la privacy e riservatezza dei dati generalmente sono "molto carenti " e non rispettano quanto previsto dalla nostra normativa.

 

In sintesi, le misure minime di sicurezza da adottare ai titolari del trattamento degli stessi sono quelle idonee a ridurre al minimo i rischi di distruzione o perdita anche parziale dei dati. E' prescritto l'utilizzo di sistemi di autenticazione, di autorizzazione, di soluzioni antivirus e di protezione da intrusioni maligne e anche di soluzioni di sicurezza volte a evitare o prevenire la commissione di reati da parte dei dipendenti, come il download di file a contenuto pedopornografico o lo scambio di file audio e video protetti da diritto d'autore. In linea generale si può affermare che un'azienda può controllare il pc di un dipendente per prevenirne gli abusi ma non può fare di questa attività un utilizzo distorto e finalizzato al monitoraggio della prestazione lavorativa: il legislatore e il garante fissano diritti e doveri per lavoratori e aziende. Ciò che è auspicabile e opportuno è una linea di condotta equilibrata fra corretta interpretazione delle norme e utilizzo delle risorse e funzionalità tecnologiche.