E. Bovo INFN 1

Documento informatico e comunicazioni elettroniche.

Tutela dei dati ed efficacia delle comunicazioni.

Castiadas (CA) 25.05.2004

Eleonora Bovo

Servizio Affari Legali e Contenzioso INFN

E. Bovo INFN 2

Temi di indagine:

Misure di sicurezza nel trattamento dei dati personali

Spamming e posta elettronica Firme elettroniche

E. Bovo INFN 3

Misure di sicurezza nel trattamento dei dati personali

Decreto Legislativo 30 giugno 2003 n. 196

Codice in materia di protezione dei dati personali

E. Bovo INFN 4

D.Lgs. n.196/03 - Codice privacy

Tre canoni fondamentali:

Confidenzialità / Riservatezza Integrità Disponibilità

dei dati personali:

E. Bovo INFN 5

D.Lgs. n.196/03 - Codice privacy

Da un punto di vista sistematico: Confidenzialità

Impernia l’intero Decreto

Integrità Disponibilità

Trovano disciplina danegli artt. da 33 a 36 e nell’Allegato B) del Codice

E. Bovo INFN 6

Confidenzialità:Principio di necessità del trattamento (art.3):

Obbligo di configurare i programmi informatici ed i sistemi informativi in modo da:

Ridurre al minimo l’utilizzazione dei dati personali identificativi;

Escludere il trattamento di dati personali quando le finalità perseguite possono essere raggiunte con modalità che permettano di identificare l’interessato solo in caso di necessità.

E. Bovo INFN 7

Confidenzialità:(Alcune norme da ribadire)

Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento di funzioni istituzionali (art.18)

La comunicazione di dati da soggetto pubblico a soggetto pubblico è ammessa solo quando prevista da norma di legge o di regolamento o a seguito di autorizzazione del Garante;

La comunicazione di dati da soggetto pubblico a soggetto privato e la diffusione sono ammesse unicamente quando previste da norma di legge o di regolamento (art.19).

E. Bovo INFN 8

Integrità e disponibilità:Sicurezza dei dati e dei sistemi Obblighi di sicurezza

CUSTODIA CONTROLLO

In relazione a:

PROGRESSO TECNICO NATURA DEI DATI CARATTERISTICHE DEL TRATTAMENTO

E. Bovo INFN 9

Misure di sicurezza

IDONEE PREVENTIVE

Al fine di ridurre i rischi di:

DISTRUZIONE PERDITA (anche accidentale) ACCESSO NON AUTORIZZATO (o non

consentito, o non conforme alle finalità della raccolta)

E. Bovo INFN 10

Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici

Trattamento consentito solo se sono adottate le seguenti misure minime (art.34): A) autenticazione informatica; B) adozione di procedure di gestione delle credenziali di autenticazione; C) utilizzazione di un sistema di autorizzazione D) aggiornamento periodico dell’individuazione dell’ambito del trattamento

consentito agli incaricati ed agli addetti alla gestione o alla manutenzione degli strumenti elettronici;

E) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti ed a determinati programmi informatici;

F) adozione di procedure per l’adozione di copie di sicurrezza, il ripristino della disponibilità dei dati e dei sistemi;

G) Tenuta del Documento Programmatico sulla Sicurezza; H) Tecniche di cifratura per trattamenti di dati idonei effettuati da

organismi sanitari.

E. Bovo INFN 11

Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici

A) autenticazione informatica; B) adozione di procedure di gestione delle

credenziali di autenticazione; Necessità di credenziali di autenticazione (codice identificativo

+password, oppure caratteristica biometrica + codice identif. o password)

Password di almeno 8 caratteri da modificare ogni 6 mesi (ogni 3 per il trattamento dei dati sensibili)

Codice identificativo se utilizzato, non può essere assegnato ad altri neppure in tempi diversi.

Credenziali di autenticazione disattivate se non utilizzate da almeno 6 mesi, salvo quelle autorizzate per scopi di gestione tecnica.

E. Bovo INFN 12

Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici C) utilizzazione di un sistema di autorizzazione; D) aggiornamento periodico dell’individuazione

dell’ambito del trattamento consentito agli incaricati ed agli addetti alla gestione o alla manutenzione degli strumenti elettronici. Necessità di utilizzare sistemi di autorizzazione ove vi siano

diversi profili di autorizzazione al trattamento dati; I profili di autorizzazione devono limitare l’accesso ai soli dati

necessari per effettuare il trattamento; Necessità di verifica periodica della sussistenza delle condizioni

per l’autorizzazione.

E. Bovo INFN 13

Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici E) protezione degli strumenti elettronici e dei

dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti ed a determinati programmi informatici Necessità di protezione dei dati contro il rischio di intrusione

o dall’azione di programmi diretti al danneggiamento dei sistemi (virus), mediante attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale

Gli aggiornamenti dei programmi diretti a prevenire la vulnerabilità degli strumenti ed a correggerne i difetti devono essere effettuati almeno annualmente. Per il trattamento di dati sensibili e giudiziari almeno semestralmente.

E. Bovo INFN 14

Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici F) adozione di procedure per la custodia di

copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi Salvataggio dei dati con frequenza almeno settimanale; Istruzioni per la custodia e l’uso dei supporti rimovibili in

modo da evitare accessi non autorizzati (in particolare per i dati sensibili e giudiziari);

Distruzione dei supporti non utilizzati che contengano dati sensibili;

Ripristino dei dati in caso di danneggiamento in tempi non superiori a sette giorni (per i dati sensibili e giudiziari).

E. Bovo INFN 15

Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici

G) Tenuta del Documento Programmatico sulla Sicurezza Data prevista dal Codice per la predisposizione del DPS: 31 marzo Provvedimento del Garante ha consentito per quest’anno (data la

recente entrata in vigore del D.Lgs n.196/03), la predisposizione del DPS entro il 30 giugno

Circolari INFN per la predisposizione del DPS In data 23.02.2004, prot. 4527 (con allegato template del DPS); In data 16.12.2003, prot. 28543:

E. Bovo INFN 16

Misure di sicurezza per il trattamento di dati effettuato con strumenti elettronici

Nel caso in cui per l’adozione delle misure di sicurezza ci si avvalga di soggetti esterni è necessario chiedere ed ottenere dall’installatore la descrizione dell’intervento effettuato con attestazione della conformità alle disposizioni di cui all’Allegato B) del D. Lgs. n. 196/03.

E. Bovo INFN 17

Oltre all’individuazione di misure di sicurezza il Codice Privacy ...

… si occupa anche di comunicazioni elettroniche (artt. 121-134) ed in particolare di comunicazioni indesiderate (Art. 130)

E. Bovo INFN 18

Art. 130 del Codice Privacy

Le comunicazioni elettroniche effettuate per l’invio di materiale pubblicitario, vendita diretta, compimento di ricerche di mercato o comunicazione commerciale sono consentite con il consenso dell’interessato (metodo dell’OPT IN). (Comma 1)

E. Bovo INFN 19

Art. 130 del Codice Privacy

E’ ammesso invece da parte di venditori di prodotti o servizi, l’uso di coordinate di posta elettronica fornite dall’interessato nell’acquisto di un bene o servizio, se diretto ad offrire prodotti o servizi analoghi a quelli della precedente vendita e purché l’interessato, adeguatamente informato non rifiuti tale uso (metodo dell’OPT OUT). (Comma 2)

E. Bovo INFN 20

Art. 130 del Codice Privacy

E’ vietato in ogni caso l’invio di comunicazioni per finalità pubblicitarie effettuato camuffando o celando l’identità del mittente o senza fornire recapito presso il quale sia possibile esercitare i propri diritti (comma 5).

In caso di violazione reiterata è dato reclamo al Garante che può adottare misure per rendere il trattamento conforme a legge.

E. Bovo INFN 21

Limite della norma:

La vigenza nel solo ambito territoriale italiano.

Limite riconosciuto dallo stesso Garante per la Protezione dei dati personali in un provvedimento del 29.05.2003: “Spamming - Regole per un corretto invio delle e-mail pubblicitarie”

E. Bovo INFN 22

Afferma il Garante:

Ai messaggi provenienti dall’estero non è applicabile la legge italiana;

“In alcuni casi cioè quelli degli stati federali, l’invio di messaggi pubblicitari di posta elettronica può essere illecito in base alla legge di alcuni stati, per cui è parimenti possibile, per gli utenti, chiedere alle competenti autorità pubbliche degli stati di valutare la perseguibilità degli illeciti” (Art.8 del Provvedimento).

E. Bovo INFN 23

… ma afferma anche

Che alcune e-mail indesiderate possono essere strumento per commettere reati comuni (per esempio truffa) che devono considerarsi commessi nel territorio italiano quando, sebbene l’azione sia avvenuta all’estero, l’evento reato che ne deriva si è verificato in Italia. (Art. 8)

(Principio affermato anche dalla giurisprudenza).

E. Bovo INFN 24

… e ribadisce

che “… la circostanza che gli indirizzi di posta elettronica possano essere reperiti con una certa facilità in internet non comporta il diritto di utilizzarli liberamente per inviare messaggi pubblicitari” (art. 2)

(ciò è affermato, tra l’altro, anche con riferimento

agli indirizzi di posta elettronica pubblicati su siti web di soggetti pubblici per fini istituzionali).

E. Bovo INFN 25

Con riferimento alla posta elettronica…

… sotto il profilo normativo, lavori in corso

E. Bovo INFN 26

Al momento disponiamo di:

Un provvedimento avente forza di legge (D.P.R. n. 445/2000)

Una direttiva Presidenza Consiglio dei Ministri (Dip. Innov. e Tecnol. Del 27.11.2003)

Una bozza di Regolamento (non ancora emanato e che non ha quindi, efficacia normativa) in tema di posta elettronica certificata.

E. Bovo INFN 27

Il D.P.R. n. 445/2000

Documento informatico: la rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti. (art.1, lett.b)

Il documento informatico da chiunque formato, la registrazione su supporto informatico e la trasmissione con strumenti telematici sono validi e rilevanti a tutti gli effetti di legge, se conformi alle disposizioni del presente testo unico. (art.8)

E. Bovo INFN 28

Il D.P.R. n. 445/2000 - art. 10 -

Il documento informatico, sottoscritto con firma elettronica, soddisfa il requisito legale della forma scritta. Sul piano probatorio è liberamente valutabile, in relazione alle sue caratteristiche oggettive di qualità e sicurezza.

Quando è sottoscritto con firma digitale, o con altra firma elettronica avanzata e la firma è basata su di un certificato qualificato e generata con un dispositivo per la firma sicura, fa piena prova, fino a querela di falso, della provenienza delle dichiarazioni da chi l’ha sottoscritto.

E. Bovo INFN 29

Il D.P.R. n. 445/2000 - art. 14 -

Il documento informatico trasmesso per via telematica si intende inviato e pervenuto al destinatario, se trasmesso all’indirizzo elettronico da questi dichiarato.

La data e l’ora di formazione, trasmissione o ricezione di un documento, redatto in conformità a specifiche regole tecniche sono opponibili ai terzi.

La trasmissione del documento informatico per via telematica, con modalità che assicurino l’avvenuta consegna, equivale alla notificazione per mezzo della posta nei casi consentiti dalla legge.

E. Bovo INFN 30

Per avere efficacia un documento trasmesso per via telematica Deve essere predisposto secondo specifiche regole

tecniche (recentemente individuate con DPCM 13 gennaio 2004, pubblicato nella Gazzetta Ufficiale n.98 del 27.04.2004) e

Deve essere trasmesso con modalità che assicurino l’avvenuta consegna (modalità non ancora ufficialmente individuate con un provvedimento normativo, ma per le quali è stata predisposta una bozza di Regolamento)

E. Bovo INFN 31

Piccolo inciso …

“Gli addetti alle operazioni di trasmissione per via telematica di atti dati e documenti formati con strumenti informatici, non possono prendere cognizione della corrispondenza telematica, duplicare con qualsiasi mezzo o cedere a terzi aqualsiasi titolo informazioni anche in forma sintetica o per estratto sull’esistenza o sul contenuto di corrispondenza, comunicazioni, trasmessi per via telematica, salvo che si tratti di informazioni per loro natura o per espressa indicazione del mittente destinate ad essere rese pubbliche” (art. 17 D.P.R. n: 445/2000)

E. Bovo INFN 32

D. P.C. M. 13.01.2004 - Regole tecniche per la formazione, trasmissione, conservazione, duplicazione, riproduzione e validazione, anche temporale, dei documenti informatici

E’ diretto a certificatori qualificati e certificatori accreditati; Individua:

Le norme per la generazione, apposizione e verifica della firma digitale;

le caratteristiche delle chiavi per la creazione e verifica della firma;

Le modalità di generazione e conservazione delle chiavi e di verifica delle firme;

Gli obblighi cui sono tenuti i certificatori sia con riferimento alla loro organizzazione, sia in relazione alla sospensione e/o revoca dei certificati;

Le regole di validazione temporale e per la protezione dei documenti informatici.

E. Bovo INFN 33

D. P.C. M. 13.01.2004 - Regole tecniche per la formazione, trasmissione, conservazione, duplicazione, riproduzione e validazione, anche temporale, dei documenti informatici

Con riferimento alle Pubbliche amministrazioni afferma che queste possono utilizzare come sistemi di validazione temporale: Il riferimento contenuto nella segnatura di protocollo; Il riferimento ottenuto attraverso la conservazione dei

documenti in conformità alle norme vigenti; Il riferimento ottenuto attraverso l’utilizzo della posta certificata.

E. Bovo INFN 34

In tema di posta certificata …

La Bozza di Regolamento prevede

Mittente DestinatarioGestoreDel servizio

Provvede alla trasmissione del messaggioOffre i dati di certificazione della posta (compreso il rif. Temporale)Offre ricevuta:

- di accettazione- di avvenuta consegna- di presa in carico- di errore di consegna

Conserva traccia delle operazioni di trasmissione

E. Bovo INFN 35

Sempre in tema di posta

Direttiva Presidenza del Consiglio dei Ministri 27 novembre 2003 (in G.U. 12.01.2004) “Impiego della posta elettronica nelle pubbliche amministrazioni”

“Le singole amministrazioni, nell’ambito delle rispettive competenze, ferma restando l’osservanza delle norme in materia di riservatezza e delle norme tecniche di sicurezza informatica, si adopereranno per estendere l’utilizzo la posta elettronica …”

E. Bovo INFN 36

Sempre in tema di posta

Direttiva Presidenza del Consiglio dei Ministri 27 novembre 2003 (in G.U. 12.01.2004) “Impiego della posta elettronica nelle pubbliche amministrazioni”

Posta elettronica utilizzabile per la trasmissione di alcune tipologie di comunicazioni

interne; Per trasmettere in allegato documenti amministrativi ove sia

sufficiente conoscere il mittente e la data di invio; Per la trasmissione di documenti informatici, sottoscritti con

firme elettroniche; Per inviare copie immagine; Quanto alla certezza della ricezione, il mittente può

richiedere al destinatario un messaggio di risposta che confermi l’avvenuta ricezione.

E. Bovo INFN 37

In tema di sottoscrizione con firma elettronica 1/1

D.P.R. n. 445/2000 prevede “Norme particolari per le pubbliche amministrazioni e per altri soggetti qualificati” (art. 29-quinquies)

Ai fini della sottoscrizione di documenti informatici distingue tra:

Documenti informatici di rilevanza esterna e Documenti informatici di rilevanza interna

E. Bovo INFN 38

In tema di sottoscrizione con firma elettronica 1/2

Per i Documenti informatici aventi rilevanza esterna le pubbliche amministrazioni:

Possono svolgere direttamente attività di rilascio dei certificati qualificati o

Possono rivolgersi a certificatori accreditati

E. Bovo INFN 39

In tema di sottoscrizione con firma elettronica 1/3

Per i Documenti informatici aventi rilevanza esclusivamente interna

Ciascuna amministrazione può adottare nella propria autonomia organizzativa, regole diverse da quelle contenute nelle regole tecniche di cui all’art. 8 comma 2. (cioè DPCM 13.01.2004)