Blog di Fabio Di Resta

Martedì 30 giugno il convegno “Sanità e Innovazione“ ad Aprilia

 

Latina, 02/06/09

 

La Consulting & Management Company Srl con il patrocinio dell’Ordine dei Medici di Latina, l’Associazione Medica Apriliana, e la SIT - Società Italiana Telemedicina e sanità elettronica, ha organizzato il convegno ” Sanità e Innovazione”, ovvero l’apporto dell’innovazione tecnologica nella sanità: la telemedicina, la sanità elettronica, l’analisi del attuale quadro normativo e le criticità, si è tenuto martedì 30 giugno 2009 presso la Casa di cura Villa Silvana in Viale Europa 1, ad Aprilia.

Comunicato a conclusivo: comunicato-2-luglio-sanita-e-innovazione

 

http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499#richiamo

 

 

http://www.giappichelli.it/home/978-88-348-9529-0,3489529.asp1

Indice

introduzione-sanita-e-innovazione1

Capitolo I - L’innovazione nella sanità e la protezione dei dati personali
(Giuseppe Chiaravalloti , Vice Presidente Garante per la protezione dei dati personali)

Capitolo II - Il trattamento dei dati personali in ambito sanitario
(Luciano Versace, Funzionario del Garante)

Capitolo III - La protezione dei dati personali nella sanità elettronica: trattamento dei dati sensibili, furto dei dati sanitari e furto di identità
(Fabio Di Resta, LLM - ISO 27001 Security Lead Auditor - Data Protection and I.P. Law Specialist)

Capitolo IV - Innovazione e problematiche di sicurezza
(Andrea Briasol, Roberto Setola, Marco Venditti, Università Campus Bio-Medico di Roma)

Capitolo V - Digitalizzazione dei dati sanitari: linea di confine tra norma e processi di dematerializzazine

(Andrea Lisi, Professore di Informatica Giuridica e Simonetta Zingarelli)

Capitolo VI - L’evoluzione dei Sistemi Informativi Ospedalieri e le Nuove Minacce Informatiche
(Enrico Frumento, Ricercatore Cefriel - Politecnico Milano)

Capitolo VII - Il Fascicolo Sanitario Elettronico (FSE)
(Paolo Donzelli, Direttore Ufficio Studi e Tecnologie Dipartimento per le Innovazioni e le Tecnologie, Presidenza del Consiglio dei Ministri)

Definizione di FSE
Piani di attuazione del FSE e problematiche
Panoramica sullo stato attuale del FSE e prospettive future

Per informazioni ed acquisto del volume: http://www.edisef.it/rivista_sanita.asp

COMUNICATO STAMPA

 

Conferenza Specialistica venerdì 15 maggio al Boscolo Hotel Palace di Roma

“La protezione dei dati personali e critici”, il punto sulle novità legislative di settore

Presentazione del volume “La tutela dei dati personali nella Società dell’informazione”

 

 

 

Roma, 23/04/2009

 

Venerdì 15 maggio 2009 dalle ore 09:00 si terrà presso il Boscolo Hotel Palace di via Veneto, 70 a Roma, la Conferenza Specialistica dal titolo “La protezione dei dati personali e critici”, un’occasione importante per approfondire le tematiche legislative di settore, con particolare riguardo al tema della tutela dei dati di traffico telefonico e telematico, all’applicazione del recente provvedimento sugli amministratori di sistema e relative responsabilità amministrative e penali, al quadro normativo sulla conservazione di dati di traffico e responsabilità connesse, Privacy.

Alla Conferenza interverranno specialisti e figure autorevoli del mondo della sicurezza informatica, quali Domenico Vulpiani, Direttore del Servizio di polizia postale e comunicazione della Polizia di Stato, il quale affronterà il tema della sicurezza delle reti e della protezione dei dati di traffico telefonici e telematici; Cosimo Comella, Dirigente informatico del Garante per la protezione dei dati personali, tratterà il recente provvedimento sugli amministratori di sistema, tema connesso alle problematiche di una corretta separazione dei ruoli in azienda ed al tracciamento delle attività svolte in azienda; Claudio De Paoli e Marco Bavazzano, Responsabili di sicurezza di importanti player ICT, rispettivamente per Hewlett Packard e Telecom Italia, i quali illustreranno la loro esperienza nel settore della protezione dei dati di traffico telematico, telefonico e delle banche dati.

Sarà presente anche Fabio Di Resta, specialista del diritto della privacy e nuove tecnologie che, oltre a trattare aspetti legali del quadro normativo sulla conservazione dei dati di traffico telematico e telefonico, amministratori di sistema e le responsabilità connesse, presenterà il nuovo volume a cura dello stesso Fabio Di Resta dal titolo “La tutela dei dati personali nella società dell’informazione” edito dalla casa editrice Giappichelli, con i contributi di Francesco Pizzetti, Presidente del Garante per la protezione dei dati personali e di Alain Brun, Capo dell’Unità Data Protection della DG giustizia, libertà e sicurezza della Commissione europea.

Il link per le iscrizioni è il seguente: http://www.consultingco.it/Evento.aspx, e la partecipazione alla Conferenza è gratuita.

Da oggi disponibile il volume Sanità e innovazione: http://www.edisef.it/libro.asp.

Inasprimento del sanzioni amministrative e illeciti penali del Codice della Privacy

 

Con il recente decreto milleproroghe, d.l. n. 207/2008, pubblicato sulla G.U. n. 304 del 31/12/2008, “Proroga di termini previsti da disposizioni legislative e disposizioni finanziarie urgenti”, vengono inasprite diverse sanzioni amministrative e penali in materia di privacy. Sebbene il decreto si proponga principalmente di rendere più efficaci le sanzioni nei confronti delle grandi aziende che gestiscono banche dati importanti (rectius infrastrutture critiche) allo scopo di limitare trattamenti illeciti dei dati con specifico riferimento ad accessi non autorizzati e raccolta di dossier illeciti, le sanzioni vengono inasprite anche per le piccole e medie aziende. A questo riguardo piuttosto rilevanti appiano le modifiche che riguardano gli artt. 169 e 162 del Codice della Privacy, viene infatti eliminato il riferimento all’ammenda da 10.000 a 50.000 €, tuttavia la sanzione penale contenuta nell’art. 169 va messa in relazione il comma 2 bis dell’articolo 162 del Codice il quale aumenta la sanzione amministrativa a 120.000 €. Per essere più chiari in caso di mancata adozione delle misure minime di sicurezza, si rischia oltre l’arresto fino a due anni (prima previsto come pena alternativa all’ammenda), anche il pagamento di un’ammenda aumentata e necessaria per la regolarizzazione ed estinzione del reato di omessa adozione delle misure minime di sicurezza. In tal caso, si dovrà pertanto adottare quanto prescritto dall’autorità e pagare un’ammenda pari ad “un quarto del massimo della sanzione stabilita per la violazione amministrativa” contestata ossia almeno 30.000 € (l’articolo 162 comma 2 bis prevede la sanzione amministrativa massima di centoventimila euro in caso di omessa adozione di misure minime di sicurezza), salvo siano state contestate altre violazioni amministrative concorrenti le quali potrebbero essere comunque cumulate. Pertanto, per chi non adottasse le misure minime di sicurezza ex art 33 prescritte dal Codice della Privacy con il nuovo quadro normativo si troverebbe quanto meno contestatato il reato di arresto di due anni, salvo poi regolarizzarsi pagando una pena di almeno 30.000€ anziché la somma di 12.500 € prevista precedentemente. Si ritiene tuttavia che per il medesimo fatto oltre alla sanzione penale poc’anzia descritta potrà essere contestata anche la sanzione amministrativa, sotto quest’ultimo profilo l’art. 162 comma 2 bis stabilisce che con riferimento all’art. 33 è escluso il pagamento in misura ridotta, questo significa solo che l’organo accertatore non potrà applicare né il doppio del minimo della pena minima editale né la terza parte del massimo così come previsto dal primo comma dell’art. 16 della legge n.689/81 “E’ ammesso il pagamento di una somma in misura ridotta pari alla terza parte del massimo della sanzione prevista per la violazione commessa o, se più favorevole, al doppio del minimo della sanzione edittale, oltre alle spese del procedimento, entro il termine di sessanta giorni dalla contestazione immediata o, se questa non vi è stata, dalla notificazione degli estremi della violazione.”. La misura ridotta serve perciò a fornire una criterio vincolante nell’applicazione della sanzione amministrativa in alcuni casi limitando l’ammontare la sanzione irrogata, ma più in genere si tratta di un meccanismo deflattivo dei procedimenti contenziosi con il quale si sottrae all’ente che commina la sanzione una valutazione sulla gravità della pena, l’esclusione della misura ridotta non impedisce ovviamente di beneficare di altre riduzioni di pena. Pertanto, con riferimento specifico all’art. 164 bis (nei casi di minore gravità e con riguardo alla natura economica o sociale svolta) il quale si applica alle sanzioni amministrative anche per l’omissione di misure minime di sicurezza, si potrà a livello di sanzione amministrativa beneficare della riduzione a due quinti della sanzione prevista.

 

 

 

Si riporta una versione del Titolo III del Codice della Privacy aggiornata con le recenti modifiche introdotte fino al 31 dicembre 2008

 

Titolo III - Sanzioni

Capo I - Violazioni amministrative

Art. 161. Omessa o inidonea informativa all’interessato

1. La violazione delle disposizioni di cui all’articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da [tremila euro a diciottomila euro] da seimila euro a trentaseimila euro (1) o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell’articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.

(1) Così modificato dal decreto legge n. 207 del 30 dicembre 2008

Art. 162. Altre fattispecie

1. La cessione dei dati in violazione di quanto previsto dall’articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di una somma [da cinquemila euro a trentamila euro] da diecimila euro a sessantamila euro (1).

2. La violazione della disposizione di cui all’articolo 84, comma 1, è punita con la sanzione amministrativa del pagamento di una somma [da cinquecento euro a tremila euro] da mille euro a seimila euro (1).

2-bis. (2)  In  caso  di  trattamento  di dati personali effettuato in violazione delle misure indicate nell’articolo 33 o delle disposizioni indicate nell’articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Nei casi di cui all’articolo 33 è escluso il pagamento in misura ridotta.

2-ter. (2) In caso di inosservanza dei provvedimenti di prescrizione di misure  necessarie o di divieto di cui, rispettivamente, all’articolo 154,  comma  1,  lettere  c)  e  d),  è  altresì  applicata in sede amministrativa,  in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.

(1) Così modificato dal decreto legge n. 207 del 30 dicembre 2008
(2) Comma così aggiunto dal decreto legge n. 207 del 30 dicembre 2008

Art. 162-bis. Sanzioni in materia di conservazione dei dati di traffico (1)

 

1. Salvo che il fatto costituisca reato e salvo quanto previsto dall’articolo 5, comma 2, del decreto legislativo di recepimento della direttiva 2006/24/Ce del Parlamento europeo e del Consiglio del 15 marzo 2006, nel caso di violazione delle disposizioni di cui all’art. 132, commi 1 e 1-bis, si applica la sanzione amministrativa pecuniaria da 10.000 euro a 50.000 euro. [, che può essere aumentata sino al triplo in ragione delle condizioni economiche dei responsabili della violazione.] (2)

(1) Articolo aggiunto dall’art. 5, comma 1, del d.lg. 30 maggio 2008, n. 109, di attuazione della direttiva 2006/24/Ce riguardante la conservazione dei dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/Ce. Per completezza, si riporta il comma 2 del predetto articolo 5, richiamato dall’articolo 162-bis del Codice: “2. Salvo che il fatto costituisca reato, l’omessa o l’incompleta conservazione dei dati ai sensi dell’articolo 132, commi 1 e 1-bis, del Codice, è punita con la sanzione amministrativa pecuniaria da euro 10.000 ad euro 50.000 che può essere aumentata fino al triplo in ragione delle condizioni economiche dei responsabili della violazione. Nel caso di assegnazione di indirizzo IP che non consente l’identificazione univoca dell’utente o abbonato si applica la sanzione amministrativa pecuniaria da 5.000 euro a 50.000 euro, che può essere aumentata fino al triplo in ragione delle condizioni economiche dei responsabili della violazione. Le violazioni sono contestate e le sanzioni sono applicate dal Ministero dello sviluppo economico.”. (2) Così modificato dal decreto legge n. 207 del 30 dicembre 2008

Art. 163. Omessa o incompleta notificazione (1)

1. Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma [da diecimila euro a sessantamila euro] da ventimila euro a centoventimila euro [e con la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica].

(1) Così modificato dal decreto legge n. 207 del 30 dicembre 2008

Art. 164. Omessa informazione o esibizione al Garante

1. Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157 è punito con la sanzione amministrativa del pagamento di una somma [da quattromila euro a ventiquattro mila euro] da  diecimila  euro  a sessantamila euro. (1)

(1) Così modificato dal decreto legge n. 207 del 30 dicembre 2008

 

Art.  164-bis. Casi di minore gravità e ipotesi aggravate (1)

1. Se taluna delle  violazioni di cui agli articoli 161, 162, 163 e 164 è di  minore  gravità,  avuto  altresì riguardo alla natura anche economica  o sociale dell’attività svolta, i limiti minimi e massimi stabiliti  dai  medesimi articoli sono applicati in misura pari a due quinti.

2. In caso di più violazioni di un’unica o di più disposizioni di cui  al  presente Capo, a eccezione di quelle previste dagli articoli 162,  comma  2,  162-bis  e  164,  commesse anche in tempi diversi in relazione  a banche di dati di particolare rilevanza o dimensioni, si applica  la  sanzione  amministrativa  del  pagamento di una somma da cinquantamila  euro  a trecentomila euro. Non è ammesso il pagamento in misura ridotta.

3.  In  altri  casi  di  maggiore  gravità  e,  in particolare, di maggiore rilevanza del pregiudizio per uno o piu’ interessati, ovvero quando  la violazione coinvolge numerosi interessati, i limiti minimo e  massimo  delle  sanzioni di cui al presente Capo sono applicati in misura pari al doppio.

4.  Le  sanzioni  di  cui al presente Capo possono essere aumentate fino  al  quadruplo  quando  possono  risultare inefficaci in ragione delle condizioni economiche del contravventore.

(1) Articolo così aggiunto dal decreto legge n. 207 del 30 dicembre 2008

Art. 165. Pubblicazione del provvedimento del Garante

1. Nei casi di cui agli articoli [161, 162 e 164] del  presente  Capo(1) può essere applicata la sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. La   pubblicazione   ha   luogo   a   cura  e  spese  del contravventore. (1)

(1) Così modificato dal decreto legge n. 207 del 30 dicembre 2008

 

Art. 166. Procedimento di applicazione

1. L’organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente capo e all’articolo 179, comma 3, è il Garante. Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni. I proventi, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo di cui all’articolo 156, comma 10, e sono utilizzati unicamente per l’esercizio dei compiti di cui agli articoli 154, comma 1, lettera h), e 158.

 

 

Capo II - Illeciti penali

Art. 167. Trattamento illecito di dati

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

 

Art. 168. Falsità nelle dichiarazioni e notificazioni al Garante

1. Chiunque, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.

 

Art. 169. Misure di sicurezza

1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni [o con l'ammenda da diecimila euro a cinquantamila euro].

2. All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al [quarto del massimo dell'ammenda stabilita per la contravvenzione] quarto  del  massimo  della  sanzione  stabilita  per  la violazione amministrativa. L’adempimento e il pagamento estinguono il reato. L’organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

 

Chiarimenti del Garante sul ruolo degli amministratori di sistema in azienda

Con un recente provvedimento pubblicato in gazzetta lo scorso 24 dicembre 2008 il Garante per la tutela dei dati personali ha fornito chiarimenti precisi sul ruolo degli amministratori di sistema intesi in senso ampio, inclusi coloro che svolgono mansioni analoghe nei sistemi di elaborazione dati e banche dati, perciò anche application administrator, database amministrator e network administrator, ed anche semplici incaricati alle copie di sicurezza e il custode delle credenziali di autenticazione. Si prescrive inoltre l’obbligo di adottare una serie misure logiche ed organizzative ai titolari dei trattamenti che utilizzano strumenti elettronici esclusi i trattamenti effettuati per finalità amministrative-contabili. Per l’attuazione di tali misure è previsto un periodo di transizione, i trattamenti già iniziati o comunque attivati entro trenta giorni dalla pubblicazione del provvedimento dovranno conformarsi entro il 23aprile 2009 (120 gg dalla pubblicazione), per quelli iniziati dopo i trenta giorni è previsto che siano già conformi sin dall’inizio. Il provvedimento si inserisce nella linea di intervento sia governativa (si veda il recente decreto legge n. 207/2008 sull’inasprimento delle sanzioni amministrative e penali del Codice della Privacy) che del Garante volta a combattere più efficacemente gli accessi non autorizzati ai dati personali e il dossieraggio illecito in azienda. In particolare, “nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare dovrà conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema”. Tale misure richiederà perciò la compilazione di una lista aggiornata e completa degli incaricati (persone fisiche) di società fornitrici di servizi di informatici. Si prevede espressamente l’obbligo di inserire nel DPS un elenco degli amministratori di sistema con indicazione delle relative funzioni. Si prescrive anche l’obbligo relativo al rapporto di lavoro tra datore e dipendenti/collaboratori, il quale consiste nel rendere noto a tutti l’identità degli amministratori di sistema nell’ambito dell’organizzazione, a tale scopo si potrà ricorrere a diversi strumenti, informativa ex art. 13 del Codice della Privacy, disciplinare interno oppure utilizzare la intranet aziendale. Devono inoltre essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilita’ e possibilita’ di verifica della loro integrita’ adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

PROVV. Garante, 27 novembre 2008.

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema.

(GU n. 300 del 24-12-2008 )

IL GARANTE PER LA PROTEZIONE

                               DEI DATI PERSONALI

  Nella  riunione  odierna, in presenza del prof. Francesco Pizzetti,

presidente,  del  dott.  Giuseppe Chiaravalloti, vice presidente, del

dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del

dott. Giovanni Buttarelli, segretario generale;

  Visto  il Codice in materia di protezione dei dati personali (d.lg.

30 giugno 2003, n. 196) e, in particolare, gli articoli 31 ss. e 154,

comma  1, lettera c) e h), nonche' il disciplinare tecnico in materia

di  misure  minime  di  sicurezza  di  cui all'allegato B al medesimo

Codice;

  Visti gli atti d'ufficio relativi alla protezione dei dati trattati

con sistemi informatici e alla sicurezza dei medesimi dati e sistemi;

  Rilevata   l'esigenza  di  intraprendere  una  specifica  attivita'

rispetto   ai  soggetti  preposti  ad  attivita'  riconducibili  alle

mansioni  tipiche  dei  c.d.  «amministratori di sistema», nonche' di

coloro  che  svolgono  mansioni  analoghe  in  rapporto  a sistemi di

elaborazione  e  banche di dati, evidenziandone la rilevanza rispetto

ai  trattamenti  di  dati  personali  anche  allo scopo di promuovere

presso  i  relativi  titolari  e nel pubblico la consapevolezza della

delicatezza    di    tali    peculiari   mansioni   nella   «Societa'

dell'informazione» e dei rischi a esse associati;

  Considerata  l'esigenza  di consentire piu' agevolmente, nei dovuti

casi,  la  conoscibilita'  dell'esistenza  di  tali figure o di ruoli

analoghi   svolti   in   relazione  a  talune  fasi  del  trattamento

all'interno di enti e organizzazioni;

  Ritenuta  la  necessita'  di  promuovere  l'adozione  di specifiche

cautele  nello svolgimento delle mansioni svolte dagli amministratori

di   sistema,   unitamente  ad  accorgimenti  e  misure,  tecniche  e

organizzative, volti ad agevolare l'esercizio dei doveri di controllo

da parte del titolare (due diligence);

  Constatato  che  lo svolgimento delle mansioni di un amministratore

di  sistema,  anche  a  seguito di una sua formale designazione quale

responsabile  o  incaricato  del  trattamento,  comporta di regola la

concreta   capacita',  per  atto  intenzionale,  ma  anche  per  caso

fortuito,  di  accedere  in  modo  privilegiato a risorse del sistema

informativo  e a dati personali cui non si e' legittimati ad accedere

rispetto ai profili di autorizzazione attribuiti;

  Rilevata  la  necessita' di richiamare l'attenzione su tale rischio

del    pubblico,    nonche'    di   persone   giuridiche,   pubbliche

amministrazioni   e   di   altri   enti  [di  seguito  sinteticamente

individuati  con  l'espressione  «titolari  del trattamento»: art. 4,

comma  1,  lettera  f) del Codice] che impiegano, in riferimento alla

gestione  di banche dati o reti informatiche, sistemi di elaborazione

utilizzati  da  una molteplicita' di incaricati con diverse funzioni,

applicative o sistemistiche;

  Rilevato  che  i  titolari  sono  tenuti, ai sensi dell'art. 31 del

Codice,  ad  adottare  misure  di  sicurezza «idonee e preventive» in

relazione  ai  trattamenti  svolti,  dalla  cui  mancata o non idonea

predisposizione  possono  derivare  responsabilita'  anche  di ordine

penale e civile (articoli 15 e 169 del Codice);

  Constatato  che  l'individuazione dei soggetti idonei a svolgere le

mansioni   di   amministratore   di   sistema  riveste  una  notevole

importanza, costituendo una delle scelte fondamentali che, unitamente

a  quelle  relative alle tecnologie, contribuiscono a incrementare la

complessiva  sicurezza dei trattamenti svolti, e va percio' curata in

modo particolare evitando incauti affidamenti;

  Considerato   inoltre  che,  qualora  ritenga  facoltativamente  di

designare  uno  o  piu'  responsabili del trattamento, il titolare e'

tenuto  a individuare solo soggetti che «per esperienza, capacita' ed

affidabilita'  forniscano  idonea  garanzia  del pieno rispetto delle

vigenti  disposizioni  in  materia  di  trattamento,  ivi compreso il

profilo relativo alla sicurezza» (art. 29, comma 2, del Codice);

  Ritenuto  che i titolari di alcuni trattamenti effettuati in ambito

pubblico  e  privato a fini amministrativo-contabili, i quali pongono

minori  rischi  per  gli interessati e sono stati pertanto oggetto di

recenti  misure  di  semplificazione (art. 29 decreto-legge 25 giugno

2008,  n. 112, convertito, con modifiche, con legge 6 agosto 2008, n.

133;  art.  34  del  Codice; provv. Garante 6 novembre 2008), debbano

essere  allo  stato  esclusi  dall'ambito  applicativo  del  presente

provvedimento;

  Viste   le   osservazioni  dell'Ufficio  formulate  dal  segretario

generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

  Relatore il prof. Francesco Pizzetti;

                              Premesso:

1. Considerazioni preliminari.

  Con  la  definizione  di «amministratore di sistema» si individuano

generalmente, in ambito informatico, figure professionali finalizzate

alla gestione e alla manutenzione di un impianto di elaborazione o di

sue  componenti.  Ai  fini  del  presente provvedimento vengono pero'

considerate  tali  anche altre figure equiparabili dal punto di vista

dei   rischi   relativi   alla   protezione   dei   dati,  quali  gli

amministratori  di  basi  di  dati,  gli  amministratori di reti e di

apparati  di  sicurezza  e  gli  amministratori  di  sistemi software

complessi.

  Gli amministratori di sistema cosi' ampiamente individuati, pur non

essendo  preposti  ordinariamente  a  operazioni  che  implicano  una

comprensione  del  dominio applicativo (significato dei dati, formato

delle  rappresentazioni  e  semantica  delle  funzioni),  nelle  loro

consuete  attivita' sono, in molti casi, concretamente «responsabili»

di   specifiche   fasi  lavorative  che  possono  comportare  elevate

criticita' rispetto alla protezione dei dati.

  Attivita' tecniche quali il salvataggio dei dati (backup/recovery),

l'organizzazione  dei  flussi  di  rete,  la gestione dei supporti di

memorizzazione  e  la  manutenzione  hardware  comportano infatti, in

molti  casi,  un'effettiva capacita' di azione su informazioni che va

considerata  a  tutti  gli  effetti alla stregua di un trattamento di

dati  personali; cio', anche quando l'amministratore non consulti «in

chiaro» le informazioni medesime.

  La rilevanza, la specificita' e la particolare criticita' del ruolo

dell'amministratore  di  sistema  sono  state  considerate  anche dal

legislatore  il  quale  ha  individuato,  con  diversa denominazione,

particolari  funzioni  tecniche  che,  se  svolte  da chi commette un

determinato  reato,  integrano ad esempio una circostanza aggravante.

Ci   si  riferisce,  in  particolare,  all'abuso  della  qualita'  di

operatore di sistema prevista dal codice penale per le fattispecie di

accesso  abusivo  a sistema informatico o telematico (art. 615-ter) e

di  frode  informatica  (art. 640-ter), nonche' per le fattispecie di

danneggiamento   di   informazioni,   dati  e  programmi  informatici

(articoli 635-bis e ter) e di danneggiamento di sistemi informatici e

telematici (articoli 635-quater e quinques) di recente modifica (vedi

nota 1)

  .

  La  disciplina di protezione dei dati previgente al Codice del 2003

definiva  l'amministratore di sistema, individuandolo quale «soggetto

al  quale  e'  conferito il compito di sovrintendere alle risorse del

sistema  operativo  di un elaboratore o di un sistema di banca dati e

di  consentirne l'utilizzazione» [art. 1, comma 1, lettera c) decreto

del Presidente della Repubblica n. 318/1999].

  Il  Codice  non  ha  invece  incluso  questa  figura tra le proprie

definizioni     normative.     Tuttavia     le    funzioni    tipiche

dell'amministrazione  di  un  sistema  sono richiamate nel menzionato

allegato  B,  nella  parte in cui prevede l'obbligo per i titolari di

assicurare  la  custodia delle componenti riservate delle credenziali

di  autenticazione.  Gran  parte  dei  compiti  previsti nel medesimo

allegato  B spettano tipicamente all'amministratore di sistema: dalla

realizzazione  di copie di sicurezza (operazioni di backup e recovery

dei  dati)  alla custodia delle credenziali alla gestione dei sistemi

di autenticazione e di autorizzazione.

  Nel  loro  complesso,  le  norme  predette  mettono  in  rilievo la

particolare  capacita'  di  azione  propria  degli  amministratori di

sistema  e  la  natura  fiduciaria delle relative mansioni, analoga a

quella  che,  in  un  contesto  del  tutto  differente,  caratterizza

determinati  incarichi  di  custodia  e  altre  attivita'  per il cui

svolgimento   e'   previsto  il  possesso  di  particolari  requisiti

tecnico-organizzativi,  di  onorabilita',  professionali, morali o di

condotta,  a oggi non contemplati per lo svolgimento di uno dei ruoli

piu' delicati della «Societa' dell'informazione» (vedi nota 2).

  Nel  corso delle attivita' ispettive disposte negli ultimi anni dal

Garante  e'  stato  possibile  rilevare quale importanza annettano ai

ruoli  di system administrator (e di network administrator o database

administrator)  la  gran  parte di aziende e di grandi organizzazioni

pubbliche   e  private,  al  di  la'  delle  definizioni  giuridiche,

individuando  tali  figure  nell'ambito  di  piani  di sicurezza o di

documenti programmatici e designandoli a volte quali responsabili.

  In   altri   casi,   non  soltanto  in  organizzazioni  di  piccole

dimensioni,  si  e'  invece  riscontrata,  anche a elevati livelli di

responsabilita',  una  carente consapevolezza delle criticita' insite

nello   svolgimento   delle   predette   mansioni,  con  preoccupante

sottovalutazione  dei  rischi  derivanti dall'azione incontrollata di

chi dovrebbe essere preposto anche a compiti di vigilanza e controllo

del corretto utilizzo di un sistema informatico.

  Con   il   presente   provvedimento  il  Garante  intende  pertanto

richiamare  tutti  i  titolari  di  trattamenti  effettuati, anche in

parte,  mediante  strumenti  elettronici  alla necessita' di prestare

massima   attenzione   ai   rischi   e   alle   criticita'  implicite

nell'affidamento degli incarichi di amministratore di sistema.

  L'Autorita'  ravvisa  inoltre  l'esigenza  di individuare in questa

sede  alcune  prime misure di carattere organizzativo che favoriscano

una  piu'  agevole  conoscenza, nell'ambito di organizzazioni ed enti

pubblici  e  privati,  dell'esistenza  di  determinati ruoli tecnici,

delle  responsabilita'  connesse  a  tali mansioni e, in taluni casi,

dell'identita'  dei  soggetti  che  operano  quali  amministratori di

sistema in relazione ai diversi servizi e banche di dati.

2. Quadro di riferimento normativo.

  Nell'ambito  del  Codice  il presente provvedimento si richiama, in

particolare,  all'art.  154,  comma  1,  lettera h), rientrando tra i

compiti  dell'Autorita'  quello  di  promuovere la «conoscenza tra il

pubblico  della  disciplina  rilevante  in materia di trattamento dei

dati  personali  e  delle relative finalita', nonche' delle misure di

sicurezza dei dati».

  La  lettera c) del medesimo comma 1 prevede poi la possibilita', da

parte  del Garante, di prescrivere misure e accorgimenti, specifici o

di  carattere  generale, che i titolari di trattamento sono tenuti ad

adottare.

3.  Segnalazione ai titolari di trattamenti relativa alle funzioni di

amministratore di sistema.

  Ai  sensi  del menzionato art. 154, comma 1, lettera h) il Garante,

nel  segnalare  a  tutti  i titolari di trattamenti di dati personali

soggetti   all'ambito   applicativo  del  Codice  ed  effettuati  con

strumenti  elettronici  la  particolare  criticita'  del  ruolo degli

amministratori   di   sistema,  richiama  l'attenzione  dei  medesimi

titolari   sulla  necessita'  di  adottare  idonee  cautele  volte  a

prevenire  e  ad  accertare  eventuali accessi non consentiti ai dati

personali,  in  specie  quelli realizzati con abuso della qualita' di

amministratore    di    sistema;    richiama   inoltre   l'attenzione

sull'esigenza  di  valutare  con  particolare  cura l'attribuzione di

funzioni tecniche propriamente corrispondenti o assimilabili a quelle

di  amministratore  di sistema, laddove queste siano esercitate in un

contesto  che  renda  ad essi tecnicamente possibile l'accesso, anche

fortuito,   a   dati   personali.  Cio',  tenendo  in  considerazione

l'opportunita'  o  meno  di tale attribuzione e le concrete modalita'

sulla base delle quali si svolge l'incarico, unitamente alle qualita'

tecniche,  professionali  e  di condotta del soggetto individuato, da

vagliare  anche  in  considerazione  delle responsabilita', specie di

ordine  penale  e  civile (articoli 15 e 169 del Codice), che possono

derivare in caso di incauta o inidonea designazione.

4.  Misure  e  accorgimenti  prescritti  ai  titolari dei trattamenti

effettuati con strumenti elettronici.

  Di  seguito  sono indicati gli accorgimenti e le misure che vengono

prescritti  ai sensi dell'art. 154, comma 1, lettera c) del Codice, a

tutti  i  titolari  dei  trattamenti di dati personali effettuati con

strumenti  elettronici,  esclusi,  allo  stato,  quelli effettuati in

ambito  pubblico  e  privato  a  fini  amministrativo-contabili  che,

ponendo  minori  rischi per gli interessati, sono stati oggetto delle

recenti  misure  di  semplificazione (art. 29 decreto-legge 25 giugno

2008,  n. 112, convertito, con modifiche, con legge 6 agosto 2008, n.

133; art. 34 del Codice; provv. Garante 6 novembre 2008).

  I seguenti accorgimenti e misure lasciano impregiudicata l'adozione

di  altre  specifiche  cautele  imposte  da discipline di settore per

particolari  trattamenti  o che verranno eventualmente prescritte dal

Garante ai sensi dell'art. 17 del Codice.

  Per effetto del presente provvedimento:

4.1. Valutazione delle caratteristiche soggettive.

  L'attribuzione  delle  funzioni  di  amministratore di sistema deve

avvenire   previa  valutazione  dell'esperienza,  della  capacita'  e

dell'affidabilita'  del  soggetto  designato,  il  quale deve fornire

idonea  garanzia  del  pieno  rispetto  delle vigenti disposizioni in

materia   di  trattamento  ivi  compreso  il  profilo  relativo  alla

sicurezza.

  Anche  quando le funzioni di amministratore di sistema o assimilate

sono  attribuite solo nel quadro di una designazione quale incaricato

del  trattamento  ai  sensi dell'art. 30 del Codice, il titolare e il

responsabile  devono  attenersi  comunque  a  criteri  di valutazione

equipollenti  a quelli richiesti per la designazione dei responsabili

ai sensi dell'art. 29.

4.2. Designazioni individuali.

  La designazione quale amministratore di sistema deve essere in ogni

caso  individuale  e  recare  l'elencazione analitica degli ambiti di

operativita'   consentiti   in  base  al  profilo  di  autorizzazione

assegnato.

4.3. Elenco degli amministratori di sistema.

  Gli  estremi identificativi delle persone fisiche amministratori di

sistema,  con  l'elenco  delle  funzioni  ad  essi attribuite, devono

essere riportati nel documento programmatico sulla sicurezza, oppure,

nei  casi  in  cui  il  titolare  non e' tenuto a redigerlo, annotati

comunque   in   un   documento  interno  da  mantenere  aggiornato  e

disponibile in caso di accertamenti anche da parte del Garante.

  Qualora  l'attivita' degli amministratori di sistema riguardi anche

indirettamente  servizi  o  sistemi  che trattano o che permettono il

trattamento  di  informazioni di carattere personale di lavoratori, i

titolari  pubblici  e privati nella qualita' di datori di lavoro sono

tenuti  a rendere nota o conoscibile l'identita' degli amministratori

di  sistema  nell'ambito  delle  proprie  organizzazioni,  secondo le

caratteristiche  dell'azienda o del servizio, in relazione ai diversi

servizi  informatici  cui  questi  sono  preposti.  Cio', avvalendosi

dell'informativa  resa  agli  interessati  ai  sensi dell'art. 13 del

Codice  nell'ambito  del  rapporto di lavoro che li lega al titolare,

oppure  tramite  il  disciplinare tecnico la cui adozione e' prevista

dal  provvedimento  del  Garante n. 13 del 1° marzo 2007 (in Gazzetta

Ufficiale  10  marzo  2007,  n.  58); in alternativa si possono anche

utilizzare  strumenti  di  comunicazione  interna  (a  es.,  intranet

aziendale,  ordini  di servizio a circolazione interna o bollettini).

Cio',   salvi   i  casi  in  cui  tale  forma  di  pubblicita'  o  di

conoscibilita'  non sia esclusa in forza di un'eventuale disposizione

di legge che disciplini in modo difforme uno specifico settore.

  Nel  caso  di  servizi  di  amministrazione  di sistema affidati in

outsourcing    il    titolare    deve   conservare   direttamente   e

specificamente,   per   ogni   eventuale   evenienza,   gli   estremi

identificativi delle persone fisiche preposte quali amministratori di

sistema.

4.4. Verifica delle attivita'.

  L'operato  degli amministratori di sistema deve essere oggetto, con

cadenza  almeno  annuale,  di  un'attivita'  di verifica da parte dei

titolari  del  trattamento, in modo da controllare la sua rispondenza

alle  misure  organizzative,  tecniche  e  di  sicurezza  rispetto ai

trattamenti dei dati personali previste dalle norme vigenti.

4.5. Registrazione degli accessi.

  Devono  essere  adottati  sistemi  idonei  alla registrazione degli

accessi   logici   (autenticazione   informatica)   ai   sistemi   di

elaborazione e agli archivi elettronici da parte degli amministratori

di    sistema.   Le   registrazioni   (access   log)   devono   avere

caratteristiche  di  completezza,  inalterabilita'  e possibilita' di

verifica della loro integrita' adeguate al raggiungimento dello scopo

di verifica per cui sono richieste.

  Le  registrazioni  devono  comprendere i riferimenti temporali e la

descrizione dell'evento che le ha generate e devono essere conservate

per un congruo periodo, non inferiore a sei mesi.

5. Tempi di adozione delle misure e degli accorgimenti.

  Per  tutti  i  titolari dei trattamenti gia' iniziati o che avranno

inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta

Ufficiale del presente provvedimento, le misure e gli accorgimenti di

cui  al  punto 4 dovranno essere introdotti al piu' presto e comunque

entro,  e  non  oltre,  il  termine  che  e'  congruo  stabilire,  in

centoventi giorni dalla medesima data.

  Per tutti gli altri trattamenti che avranno inizio dopo il predetto

termine  di  trenta giorni dalla pubblicazione, gli accorgimenti e le

misure   dovranno  essere  introdotti  anteriormente  all'inizio  del

trattamento dei dati.

                   Tutto cio' premesso il Garante:

  1.  Ai  sensi  dell'art.  154,  comma 1, lettera h) del Codice, nel

segnalare  a  tutti  i  titolari  di  trattamenti  di  dati personali

soggetti   all'ambito   applicativo  del  Codice  ed  effettuati  con

strumenti  elettronici  la  particolare  criticita'  del  ruolo degli

amministratori   di   sistema,  richiama  l'attenzione  dei  medesimi

titolari   sull'esigenza   di  valutare  con  particolare  attenzione

l'attribuzione  di  funzioni  tecniche  propriamente corrispondenti o

assimilabili   a   quelle   di   amministratore  di  sistema  (system

administrator),    amministratore   di   base   di   dati   (database

administrator)  o  amministratore  di  rete  (network administrator),

laddove  tali  funzioni  siano esercitate in un contesto che renda ad

essi   tecnicamente  possibile  l'accesso,  anche  fortuito,  a  dati

personali.  Cio',  tenendo in considerazione l'opportunita' o meno di

tale  attribuzione  e le concrete modalita' sulla base delle quali si

svolge l'incarico, unitamente alle qualita' tecniche, professionali e

di condotta del soggetto individuato.

  2. Ai sensi dell'art. 154, comma 1, lettera c) del Codice prescrive

l'adozione  delle seguenti misure ai titolari dei trattamenti di dati

personali  soggetti  all'ambito  applicativo del Codice ed effettuati

con  strumenti elettronici, anche in ambito giudiziario e di forze di

polizia (articoli 46 e 53 del Codice), salvo per quelli effettuati in

ambito pubblico e privato a fini amministrativo-contabili che pongono

minori  rischi  per gli interessati e sono stati oggetto delle misure

di   semplificazione  introdotte  di  recente  per  legge  (art.  29,

decreto-legge  25 giugno 2008, n. 112, convertito, con modifiche, con

legge  6  agosto  2008,  n. 133; art. 34 del Codice; provv. Garante 6

novembre 2008):

   a) Valutazione delle caratteristiche soggettive.

   L'attribuzione  delle  funzioni  di amministratore di sistema deve

avvenire  previa  valutazione  delle  caratteristiche  di esperienza,

capacita'  e  affidabilita'  del  soggetto  designato,  il quale deve

fornire idonea garanzia del pieno rispetto delle vigenti disposizioni

in  materia  di  trattamento,  ivi  compreso il profilo relativo alla

sicurezza.

  Anche  quando le funzioni di amministratore di sistema o assimilate

sono  attribuite solo nel quadro di una designazione quale incaricato

del  trattamento  ai  sensi dell'art. 30 del Codice, il titolare e il

responsabile  devono  attenersi  comunque  a  criteri  di valutazione

equipollenti  a quelli richiesti per la designazione dei responsabili

ai sensi dell'art. 29;

   b) Designazioni individuali.

  La   designazione  quale  amministratore  di  sistema  deve  essere

individuale   e   recare  l'elencazione  analitica  degli  ambiti  di

operativita'   consentiti   in  base  al  profilo  di  autorizzazione

assegnato.

   c) Elenco degli amministratori di sistema.

  Gli  estremi identificativi delle persone fisiche amministratori di

sistema,  con  l'elenco  delle  funzioni  ad  essi attribuite, devono

essere  riportati nel documento programmatico sulla sicurezza oppure,

nei  casi  in  cui  il  titolare  non e' tenuto a redigerlo, annotati

comunque   in   un   documento  interno  da  mantenere  aggiornato  e

disponibile in caso di accertamenti da parte del Garante.

  Qualora  l'attivita' degli amministratori di sistema riguardi anche

indirettamente  servizi  o  sistemi  che trattano o che permettono il

trattamento  di informazioni di carattere personale dei lavoratori, i

titolari  pubblici e privati sono tenuti a rendere nota o conoscibile

l'identita' degli amministratori di sistema nell'ambito delle proprie

organizzazioni,   secondo   le  caratteristiche  dell'azienda  o  del

servizio, in relazione ai diversi servizi informatici cui questi sono

preposti. Cio', avvalendosi dell'informativa resa agli interessati ai

sensi  dell'art. 13 del Codice nell'ambito del rapporto di lavoro che

li lega al titolare, oppure tramite il disciplinare tecnico di cui al

provvedimento  del  Garante  n.  13  del  1°  marzo 2007 (in Gazzetta

Ufficiale  10  marzo  2007,  n. 58) o, in alternativa, mediante altri

strumenti  di  comunicazione  interna  (ad  es.,  intranet aziendale,

ordini  di servizio a circolazione interna o bollettini). Cio', salvi

i  casi  in  cui  tali forme di pubblicita' o di conoscibilita' siano

incompatibili    con    diverse   previsioni   dell'ordinamento   che

disciplinino uno specifico settore;

   d) Servizi in outsourcing.

  Nel  caso  di  servizi  di  amministrazione  di sistema affidati in

outsourcing    il    titolare    deve   conservare   direttamente   e

specificamente,   per   ogni   eventuale   evenienza,   gli   estremi

identificativi delle persone fisiche preposte quali amministratori di

sistema;

   e) Verifica delle attivita'.

  L'operato  degli amministratori di sistema deve essere oggetto, con

cadenza  almeno  annuale,  di  un'attivita'  di verifica da parte dei

titolari  del  trattamento, in modo da controllare la sua rispondenza

alle  misure  organizzative,  tecniche  e  di sicurezza riguardanti i

trattamenti dei dati personali previste dalle norme vigenti.

   f) Registrazione degli accessi.

  Devono  essere  adottati  sistemi  idonei  alla registrazione degli

accessi   logici   (autenticazione   informatica)   ai   sistemi   di

elaborazione e agli archivi elettronici da parte degli amministratori

di    sistema.   Le   registrazioni   (access   log)   devono   avere

caratteristiche  di  completezza,  inalterabilita'  e possibilita' di

verifica della loro integrita' adeguate al raggiungimento dello scopo

per  cui  sono  richieste.  Le  registrazioni  devono  comprendere  i

riferimenti temporali e la descrizione dell'evento che le ha generate

e  devono  essere  conservate per un congruo periodo, non inferiore a

sei mesi.

  3.  Dispone  che le misure e gli accorgimenti di cui al punto 2 del

presente  dispositivo  siano introdotti, per tutti i trattamenti gia'

iniziati  o  che  avranno  inizio  entro  trenta giorni dalla data di

pubblicazione nella Gazzetta Ufficiale del presente provvedimento, al

piu'  presto e comunque entro, e non oltre, il termine che e' congruo

stabilire  in  centoventi  giorni  dalla medesima data; per tutti gli

altri  trattamenti  che  avranno  inizio  dopo il predetto termine di

trenta  giorni  dalla  pubblicazione,  gli  accorgimenti  e le misure

dovranno  essere  introdotti anteriormente all'inizio del trattamento

dei dati.

  4.  Dispone  che  copia del presente provvedimento sia trasmesso al

Ministero della giustizia - Ufficio pubblicazione leggi e decreti per

la  sua  pubblicazione  nella  Gazzetta  Ufficiale  della  Repubblica

italiana.

   Roma, 27 novembre 2008

                                   Il presidente e relatore: Pizzetti

Il segretario generale: Buttarelli

(1)  V.,  ad  es.,  l'art. 5 legge 18 marzo 2008, n. 48, che prevede,

oltre a una maggiore pena, la procedibilita' d'uffico nel caso in cui

il  reato  sia  commesso  con  «abuso della qualita' di operatore del

sistema».

(2)  Per  altro  verso  il  legislatore,  nell'intervenire in tema di

«Societa'  dell'informazione»,  ha  previsto  che  i certificatori di

firma  elettronica,  i  quali  sono  preposti al trattamento dei dati

connessi  al  rilascio  del certificato di firma, debbano possedere i

requisiti di onorabilita' richiesti ai soggetti che svolgono funzioni

di  amministrazione,  direzione  e  controllo presso banche, oltre ai

requisiti  tecnici  necessari per lo svolgimento della loro attivita'

(articoli 26, 27 e 29 del decreto legislativo 7 marzo 2005, n. 82).

Protezione delle Informazioni. Privacy e sicurezza a cura di Fabio Di Resta

 

Pubblicato dalla casa editrice Giappichelli (www.giappichelli.it)

 

Descrizione del contenuto

 

La protezione delle informazioni rappresenta un fattore cruciale sia per la persona che vuole tutelare i propri diritti alla riservatezza e alla tutela dei dati personali, sia per le imprese che devono tutelare il proprio patrimonio informativo e la propria immagine al fine di garantirsi competitività sul mercato.

L’opera giuridica rivolta principalmente a liberi professionisti ed imprese approfondisce a livello teorico/pratico i temi della protezione dei dati personali ed esamina la dottrina più autorevole, gli orientamenti giurisprudenziali e la prassi decisoria del Garante. Sotto un profilo legale si affrontano le tematiche generali relative al consenso informato e all’informativa, ai diritti dell’interessato, alla delega di funzioni in azienda e alla privacy nel rapporto di lavoro. Sotto un profilo più tecnico-informatico si analizzano i temi del controllo degli accessi, delle comunicazioni elettroniche, dello standard ISO 27001 sulla protezione del patrimonio informativo aziendale, del furto dei dati e dell’identità, della acquisizione delle prove informatiche.

Si offre inoltre al lettore un’analisi aggiornata delle ultime modifiche apportate al Codice della Privacy, dal recepimento della direttiva 2006/24/Ce sulla data retention alle recenti semplificazioni approvate con la conversione del decreto legge n.112/2008.

Si riporta un breve estratto del volume: 

protezione-delle-informazioni-privacy-e-sicurezza-estratto

La partecipazione è gratuita, le iscrizioni sono aperte fino al 4 dicembre, l’adesione può essere invia anche via email.

brochure-convegno    e    scheda-preadesione 

Come raggiungere la sede del convegno:
dalla stazione ferroviaria di Roma Termini prendere la metropolitana linea A direzione Battistini e scendere alla fermata di piazza Barberini, percorrere via Veneto fino al Marriott Hotel.