avv. Valentina CAROLLO Consigliere e Referente Informatico COA Rovereto

avv. Eliana Sarra Commissione Informatica COA Rovereto

Seminari PCT - I sessione, anno 2016 V INCONTRO, 7 luglio 2016

Privacy e informatica nello studio legale

Di “privacy” si parla da un po’,eppure …

Legge

n.675 del 1996

Privacy & Scenari

! " + $ %

Mercoledì 10 febbraio 2016 & (9)

La Polizia: non aprite quella mailNuova ondata di virus spilla-soldi

La Polizia Postale e delle Comunicazioni mette in guardia gli utenti del webda una nuova ondata di attacchi attraverso invio di mail contenenti il notovirus Cryptolocker che blocca il computer chiede un riscatto.

Lo scenario è il seguente: l’ignaro utente riceve sulla propria casella di posta elettronica

un messaggio che fornisce indicazioni ingannevoli su presunte spedizioni a suo favore

oppure contenente un link o un allegato a nome di Istituti di credito, Aziende, Enti, gestori e

fornitori di servizi noti al pubblico.

Cliccando sul link oppure aprendo l’allegato (solitamente un documento in formato

pdf o zip), viene iniettato il virus che immediatamente cripta il contenuto delle

memorie dei computer, anche di quelli eventualmente collegati in rete. A questo

punto, spiega la polizia, si realizza il ricatto dei criminali informatici che richiedono agli

utenti, per riaprire i file e rientrare in possesso dei propri documenti, il pagamento di una

somma di alcune centinaia di euro in bitcoin a fronte del quale ricevere via e-mail un

programma per la decriptazione.

Accedi Registrati Edizione Digitale | Abbonamenti | Necrologie | Concorsi | EcoStore

La Polizia: non aprite quella mail Nuova ondata di virus s... http://www.ecodibergamo.it/stories/bergamo-citta/la-poli...

1 di 4 06/07/16 23:03

Carissima Valentina,

sono stato colpito da Troldesh/Shade e tutti i miei dati sono ora criptati. Sai a

chi posso rivolgermi per risolvere questo problema?

Art. 167. Trattamento illecito di dati1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, […] è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

Sanzioni penali - D.Lgs. n. 196/2003

Sanzioni penali - D.Lgs. n. 196/2003Art. 169. Misure di sicurezza1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni.2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il

• ART. 15 D.Lgs. 196/03 (Danni cagionati per effetto del trattamento) 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. 2. Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11.

• ART. 2050 C.C. (Responsabilità per l'esercizio di attività pericolose) 1. Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati [965 c. nav.], è tenuto al risarcimento [2056 ss.; 678 c.p.], se non prova di avere adottato tutte le misure idonee a evitare il danno [2054].

Sanzioni Civili - D.Lgs. n. 196/2003

Sanzioni Amministrative - D.Lgs. n. 196/2003

•Art. 161. Omessa o inidonea informativa all'interessato•1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.

Art. 162. Altre fattispecie2-bis. In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta.

Controlli 2015 303 ispezioni

1700 ca. violazioni amministrative contestate

riscossi 3 milioni e 500 mila euro

33 violazioni segnalate all'autorità giudiziaria, in particolare per mancata adozione di misure minime di sicurezza

OCCORRE DUNQUE PRESTARE MOLTA ATTENZIONE AL TRATTAMENTO DEI

DATI PERSONALI

“trattamento" =qualunque operazione o complesso di

operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati

"dato personale" = qualunque informazione relativa a persona fisica persona giuridica, ente od associazione, , identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

“dati identificativi” - "dati giudiziari" - "dati sensibili"

COSA OCCORRE FARE DUNQUE?

1. ACQUISIRE VALIDAMENTE …

2. UTILIZZARE CORRETTAMENTE …

3. PROTEGGERE DA PERDITA O ACCESSI / USI NON LEGITTIMI …

✓Finalità del trattamento ✓Modalità del trattamento ✓Facoltatività o meno del

conferimento dei dati ✓Conseguenze in caso di riufiuto del

conferimento ✓Comunicazione dei dati ✓Diffusione dei dati ✓Trasferimento dei dati all’estero ✓Diritti dell’interessato ✓Titolare del trattamento

1. ACQUISIRE VALIDAMENTE

• A) Informativa (ART. 13 D.Lgs. 196/2003)

• B) Consenso (ARTT. 23 - 24 D.Lgs. 196/2003)

A)

informativa

16

deve precedere il trattamento

può essere data in forma orale o scritta

deve riguardare gli aspetti riportati nell’art. 13 D.Lgs.

196/2003

può non comprendere informazioni già note

all’interessato

“ALLEGATO 1: Informativa ai sensi dell'art. 13 d. lgs. 196/2003

Gentile Cliente,ai sensi dell'art. 13 d. lgs. 196/2003 (di seguito T.U.), ed in relazione ai dati personali

di cui questo StudioLegale entrerà in possesso, il Titolare del trattamento dati Le fornisce le seguenti

informazioni […]”

B)

consenso dell'interessato

18

•espresso

•può riguardare l'intero trattamento ovvero una o più operazioni dello stesso

•espresso liberamente e specificamente riguardo un trattamento chiaramente individuato

•documentato per iscritto

•“informato”

•manifestato in forma scritta quando il trattamento riguarda dati sensibili.

• TITOLARE - persona fisica / giuridica, cui competono le scelte sulle finalità e modalità del trattamento, compreso il profilo della sicurezza

• RESPONSABILE(I) INTERNO o ESTERNO - persona fisica / giuridica, la cui designazione è facoltativa; ricorre frequentemente in presenza di servizi in outsourcing (es. elaborazione buste paga, assistenza informatica)

• INCARICATO/I - questa figura, la cui designazione è obbligatoria, individua le persone fisiche che - materialmente - compiono operazioni di trattamento dei dati all’interno dello studio professionale

2. UTILIZZARE CORRETTAMENTE

➔ per iscritto

➔ istruzioni

LETTERA DI INCARICO

ALLEGATO 2

Lettera di incarico al trattamento dei dati con istruzioni

Codice in materia di protezione dei dati personali (D.Lgs. 196/2003)

[ … ]

ALLEGATO A.6. Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere

investigazioni difensive

ALLEGATO 3: Lettera di incarico della custodia delle parole chiave(da utilizzarsi qualora non esista un amministratore di sistema o il Titolare - persona fisica non preferisca custodire le password direttamente)

23

3. PROTEGGERE DA PERDITA O ACCESSI / USI NON LEGITTIMI

La gestione dei dati in cloud

http://giuridica.net/cloud-computing-opportunita-consapevole-per-avvocati/

Sicurezza Informatica

misure di sicurezza

Misure Minime (all. B) - il mancato rispetto costituisce reato Misure idonee (art. 31, co. 1) - la mancata adozione espone al

risarcimento dei danni

IDONEEMINIME

Misure idonee Art. 31 D.Lgs. n. 196/2003

IDONEE E PREVENTIVE MISURE DI SICUREZZA

Per ridurre al minimo i rischi di:

-distruzione/perdita dei dati -accesso non autorizzato -trattamento non consentito, non conforme

In relazione a: - conoscenze acquisite dal

progresso tecnico; - natura dei dati - specifiche caratteristiche del

trattamento

NB: Le polizze professionali coprono la responsabilità civile, non penale, e

SOLO a determinate condizioni!

MISURE DI SICUREZZA MINIME

D.Lgs. 196/2003, “Allegato B”

MISURE DI SICUREZZA MINIME

MISURE DI SICUREZZA MINIME

MISURE DI SICUREZZA

MINIME

MISURE DI SICUREZZA MINIME

MISURE DI SICUREZZA MINIME

ANTIVIRUS e S.O. II I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.

MISURE DI SICUREZZA MINIME

• 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

• a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

• b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

• c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

E' … può essere... potrebbe essere quindi utile... la redazione annuale del DPS ?

E’ MOLTO OPPORTUNO predisporre un documento interno che riepiloghi tutti gli adempimenti illustrati e la periodicità, tanto più che è bene “mantenere l ’a l lenamento” , poiché i l nuovo Regolamento (da applicarsi dal 25 maggio 2018) prevede, all’art. 30, la redazione dei Registri delle attività di trattamento, dal contenuto molto simile al DPS!!

grazie per l’attenzione

39