Sicurezza informatica giuridica
Sicurezza informatica giuridica
Argomenti correlati: Sicurezza informatica nei SI, Sicurezza informatica tecnica, Sicurezza informatica nelle PA, Regolamento Europeo 679/2016
L'informatica giuridica interviene in diverse aree di un sistema informativo per adeguarne le procedure organizzative e tecniche alle normative vigenti.
L'informatica giuridica si è differenziata durante la sua naturale evoluzione assumendo tratti sempre più specialistici in relazione al suo campo d'applicazione.
La disciplina è vasta ma il D.Lgs 179 del 2016 definisce l'informatica giuridica una competenza fondamentale dei cittadini digitali e dei dipendenti della pubblica amministrazione.
Essa si occupa delle leggi e delle normative che riguardano gli aspetti giuridici collegati all'utilizzo dei sistemi informativi e delle informazioni da loro prodotte od acquisite.
In particolare le tematiche di diritto informatico ricadono sui seguenti macroargomenti:
- tutela delle persone con riferimento ai dati personali ed al loro utilizzo;
- diritti del Cittadino e del Consumatore;
- Codice di Amministrazione Digitale;
- gestione e conservazione documentale;
- riconoscimento del valore giuridico degli atti redatti e trasmessi elettronicamente;
- violazione del Diritto d'Autore;
- violazione di sistemi informativi.
Informazioni e dati personali
Oggi milioni di persone utilizzano le reti per fare acquisti su Internet ed interagire con fornitori di servizi dove vengono scambiati dati personali o di altra natura.
I dati personali identificano o rendono identificabile una persona fisica e possono fornire dettagli sulle sue caratteristiche, abitudini, stili di vita, relazioni personali, stato di salute, situazione economica ed altro ancora.
I dati personali che rivestono una particolare importanza sono:
- i dati indentificativi, ovvero tutti quei dati che permettono di identificare direttamente una persona attraverso i dati anagrafici, le immagini o comunque tutte le informazioni che consentono l'identifcazione diretta di un soggetto;
- i dati sensibili, che possono rivelare l'origine raziale ed etnica, le convizioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale;
- i dati giudiziari, ovvero i dati che possono rivelare lo stato di imputato, indagato o l'esistenza di provvedimenti giudiziari che prevedono l'iscrizione nel casellario giudiziale: provvedimenti penali di condanna definitivi, misure alternative alla detenzione, la liberazione condizionale, il divieto od obbligo di soggiorno.
I dati che consentono la geolocalizzazione appartengono anch'essi ai dati personali, fornendo informazioni sui luoghi frequentati e sugli spostamenti.
I dati personali costituiscono un patrimonio prezioso ed inviolabile della persona e pertanto si rende necessario l’adozione di idonee misure di sicurezza per garantire:
- che i dati vengano custoditi e controllati in modo da ridurre il rischio di sottrazione, alterazione, perdita degli stessi;
- che non ci sia accesso non autorizzato da parte di terzi agli ambienti in cui sono custoditi;
- che non avvenga trattamento di dati non consentito e non conforme a quanto normativamente previsto.
Uno sguardo alla legislazione in materia di riservatezza, protezione e trattamento dei dati personali
Sul piano della legislazione le norme contenute del D.Lgs. del 30 giugno 2003, n. 196, rappresentano il vero punto di svolta in materia di riservatezza, protezione e trattamento dei dati personali obbligando tutti i soggetti coinvolti nel trattamento ad adottare un documento programmatico sulla sicurezza (D.P.S.).
Fermo restando che chiunque ha diritto alla protezione dei dati personali che lo riguardano, Il documento - denominato anche codice in materia di trattamento dei dati personali - ha come finalità quella di garantire che il trattamento dei dati si svolga nel rispetto dei diritti e delle libertà fondamentali, con particolare riferimento alla riservatezza e all'identità personale.
Il codice si ispira anche al principio di necessità nel trattamento dei dati, secondo il quale i sistemi informativi e i programmi informatici dovrebbero essere configurati per ridurre al minimo l'utilizzo di dati personali o identificativi, in modo da escludere il trattamento quando le finalità perseguite possono essere realizzate mediante dati anonimi o che permettano di identificare l'interessato solo in caso di oggettiva necessità.
Il Disciplinare tecnico in materia di misure minime di sicurezza(allegato B) copre gli artt. dal 33 al 36 del D.Lgs. del 30 giungo 2003, n. 196, ed elenca i contenuti relativi alle misure minime di sicurezza per redarre il documento programmatico sulla sicurezza (D.P.S.). I contenuti del documento sono elencati al punto 19 del Disciplinare tecnico e sono:
- l'elenco dei trattamenti di dati personali;
- la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
- l'analisi dei rischi che incombono sui dati
- le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
- la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
- la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento dei dati personali;
- la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
- per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
Il D.Lgs. del 9 febbraio 2012 n. 5, convertito dalla legge n. 35 del 4 aprile 2012, ha soppresso l'obbligo di redigere il D.P.S. e modificato alcune disposizioni relative alle misure minime di sicurezza. Il buon senso tuttavia raccomanda comunque l'adozione di tale documento soprattutto in relazione ai seguenti punti:
- misure per garantire l'integrità e la disponibilità dei dati;
- modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
- misure minime di sicurezza ai sensi dell'art. 34 del D.Lgs. 196/2003.
Il D.Lgs. del 14 marzo 2013, n. 33, sul riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni costituisce un'altra pietra miliare: de facto obbliga le pubbliche amministrazioni a garantire l'accesso civico alle informazioni e ad essere trasparenti nella pubblicazione delle informazioni.
Il decreto legislativo del 25 settembre 2015, n. 176, recante disposizioni concernenti l'aggiornamento e l'integrazione dei dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministero dell'Interno ha poi rinforzato l'efficacia del D.Lgs 30 giungo 2003, n. 196.
La naturale evoluzione dei sistemi di comunicazione e digitalizzazione ha reso sempre più efficiente lo scambio dei dati personali tra utenti e fornitori di servizi ma l'adeguamento delle misure di sicurezza ICT adottate a contrastare le minaccie più comuni e frequenti a cui sono soggetti i sistemi informativi non si è purtroppo evoluto con la stessa velocità.
L'aumento dei fattori di rischio connessi al trattamento dei dati personali ha spinto l'Agenzia per l'Italia Digitale (AgID) al rilascio dell'elenco ufficiale delle "Misure minime per la sicurezza ICT delle pubbliche amministrazioni" in attuazione della Direttiva del 1 agosto 2015 del Presidente del Consiglio dei Ministri che emana disposizioni volte a consolidare lo stato della sicurezza informatica nazionale.
La pubblicazione in Gazzetta Ufficiale (Serie Generale n. 103 del 5 maggio 2017) della Circolare del 18 aprile 2017, n. 2/2017, recante "Misure minime di sicurezza ICT per le pubbliche amministrazioni" rende obbligatoria la loro adozione per tutte le Amministrazioni.
In ambito europeo è stato poi adottato il Regolamento Generale sulla protezione dei dati che pone particolare attenzione alla sicurezza dei dati dei cittadini europei estendendo e rafforzando quanto già presente nel D.Lgs. del 30 giugno 2003, n. 196 chiarendo in particolar modo le responsabilità di tutti i sogetti coinvolti che operano od utilizzano il sistema informativo di un'azienda pubblica o privata.
Violazione del Diritto d'Autore
Il problema della violazione del diritto d’autore non dipende solo dal software scaricato o scambiato illegalmente su Internet ma anche dalla sua installazione e condivisione illecita con soggetti terzi o comunque non detentori di regolare licenza d’utilizzo.
La proprietà intellettuale può essere violata allo stesso modo non solo per il software ma anche per altri oggetti multimediali come i film, la musica e più in generale per tutte le opere dell’ingegno.
Si pone quindi il problema della tutela legale del software non solo come evidenziato dalla recente normativa ma anche ai sensi D.Lgs. n. 518 che che recepisce la Direttiva CEE 91/250.