Blog di Fabio Di Resta

Seminario di approfondimento

Le comunicazioni elettroniche, la Security Breach Notification (Violazione dei dati personali) e il quadro normativo più chiaro per le tecnologie RFID in Europa e in Italia

(http://w3.uniroma1.it/mastersicurezza/index.php/master-gestione-sicurezza)

Venerdì 11 giugno 2010, ore 15

Università la Sapienza

Roma

Ingresso libero

Parte introduttiva - La nuova direttiva europea 2009/136/Ce sulle comunicazioni elettroniche dovrà essere recepita in Italia entro il 26 aprile 2011, introduce in primo luogo un principio di net neutrality il quale costituisce un primo approccio in materia, viene esteso l’ambito dei servizi interessati (modifica art. 3 direttiva 2002/58/Ce) includendo anche la tecnologia RFID, perché questa disposizione?

La direttiva prescrive inoltre un nuovo obbligo che merita attenzione, si tratta della disclosure sulla “violazione dei dati personali” a carico dei fornitori.

Qual’è il significato di “violazione dei dati personali” nella direttiva comunitaria?

Qual è l’ambito applicativo di queste disposizioni (fornitore di servizio di comunicazione elettronica accessibile al pubblico su reti pubbliche di comunicazione – ISP) nel nostro ordinamento?

E in particolare riferimento alla normativa sui crimini informatici?

La procedura di notifica richiede l’applicazione di “opportune misure tecnologiche di protezione”, riferimento alle misure minime e idonee di sicurezza nel Codice della Privacy, obbligo di notificare la violazione dei dati all’”Autorità nazionale competente”, l’obbligo di notifica all’abbonato o interessato e di tenere un aggiornato “inventario delle violazioni dei dati personali”.

Analisi del nuovo ruolo del Garante privacy nel sistema di security breach notification e possibili scenari di impatto sui fornitori.

*****

RELATORE: Avv. Fabio Di Resta (Specialista legale privacy e diritto dell’informatica – LLM – ISO 27001 ICT Security Auditor -Studio legale Di Resta)

DOVE: Università la Sapienza, via Salaria, 113, Roma, Piano terzo, aula Seminari

Pubblicato online il sito aggiornato dello Studio Legale Di Resta www.studiolegalediresta.it .

Intervento su gli amminstratori di sistema e modello 231 - Università di Firenze:- MICC

http://www.youtube.com/user/Clusterltd#p/a/u/0/ti_pW65HvvI

Il Caso Google Italia come noto si riferisce alla vicenda che vede coinvolto il vertice dei Google Italia, in data 24 febbraio 2010 si è conclusa in primo grado del processo penale n. 47061/2006 presso la Procura del Tribunale di Milano che condanna alla reclusione di 6 mesi alcuni dirigenti della Google Italia, i quali sono stati ritenuti responsabili di non essersi attivati o omessa vigilanza sui contenuti di google video, riferita all’obbligo giuridico ex art. 40 comma 2 c.p. in combinato con delitto di trattamento illecito dei dati ex art. 167 Codice della Privacy. Si tratta più nello specifico di trattamento dei dati sensibili ai sensi degli artt. 13, 23 comma 3, 26 e 17 del Codice, pertanto da una parte sussiste l’omessa o incompleta informativa e la mancanza del consenso dell’interessato al trattamento di dati sensibili, dall’altra il fatto di reato dovrebbe coprire anche il nocumento ovvero un danno patrimoniale apprezzabile.

Da quanto riportato dalla stampa e articoli specialistici, parte dell’impianto accusatorio riferita alla diffamazione non è stata accolta, era stato affermato ex art. 110,  40 comma 2 e 595 comma 1 e 3 c.p. che la mancanza di attuazione di controlli (presumibilmente riferiti all’upload e quindi preventivi) nell’arco di tempo che va dall’8 settembre all’7 novembre 2006 costituiva una lesione dalla reputazione del disabile, mentre le prime contestazioni sono da riferirsi al 4 ottobre (anche se sembra che una richiesta di rimozione più formale sia pervenuta solo il 4 novembre, tra cui una senatrice, e comunque la rimozione è avvenuta 3 giorni dopo).

Il Difensore Civico del Comune di Milano e l’Associazione Vividown costituitesi parti civili nel concorso del reato omissivo di diffamazione, non riceveranno risarcimenti poiché le loro posizioni sono legate al reato di diffamazione, capo per il quale gli imputati sono stati assolti.

In attesa di conoscere le motivazioni della sentenza, l’unica considerazione che si può fare è la seguente, tutto questo clamore della stampa, inclusi segretari di Stato e diplomazia internazionale, nasce perché qualora passasse la tesi che i content provider e motori di ricerca dovessero implementare controlli preventivi, significherebbe non solo costi esorbitanti da parte di queste aziende, ma un “Controllo sui contenuti” inseriti dai singoli utenti e quindi una forma di censura, la quale potrebbe tradursi immediatamente in una limitazione della libertà di espressione.

Questa tesi porta con sé una preoccupazione ed una tensione del tutto ragionevoli perché sarebbero messe in discussione le libertà degli utenti di internet, questo accadrebbe nello specifico se la sentenza accogliesse il principio del consenso preventivo per il trattamento dei dati personali da parte degli “intermediari”.

Questo punto merita una breve parentesi, fuori dal contesto della vicenda, se questo principio fosse da applicare si potrebbe forse ritenere valido il consenso privacy “semplificato”, nella forma di flag rilasciato dall’uploader al momento del caricamento del video, il quale dovrebbe però essere a questo punto maggiorenne e attestare (anche con formulario predisposto) che i contenuti caricati sono legittimi. Questa selezione tra seggetti leggittimati e non, sarebbe alquanto assurda, sebbene coerente sul piano giuridico sarebbe poco praticabile, si tratta infatti di applicare norme in ambiti sociali veriegati e dove il diritto è bene che si limiti generalmente solo a chiare delle regole comportamentali già consolidate e comunque non invasive. Si pensi infatti che l’uploader è l’unico soggetto in grado di distingure se i dati contenuti nel video caricato siano propri o di un terzo, legali o illegali, è quindi il soggetto più appropriato per conoscere la legittimità del contenuto caricato e farsi rilasciare gli eventuali consensi relativi. In realtà questo consenso visto su internet e date le diversità di utilizzatori di internet, sarebbe da indivuarsi più nella verifica di consapevolezza degli eventuali conseguenze che possono derivare se si carica del contenuto illegale (violazione delle privacy e diritto d’autore che sia).

Traendo delle brevi conclusioni a caldo sulla pronuncia, la critica fondata che molti pongono con riferimento alla questione giuridica posta riguarda il fatto che il Tribunale di Milano avrebbe dovuto condannare solo la tardiva reazione di rimozione del contenuto illecito (takedown del video incriminato) nel quadro di adeguate misure cautelari che avrebbero dovute essere prescritte ad hoc dal Garante privacy tramite interpello preventivo o d’ufficio (art. 17 C.d.P., c.d. prior checking ovvero), se così fosse tramite un’adeguata motivazione nei termini poc’anzi richiamati ci sarebbe stato molto clamore per nulla.

Deposito sentenza e motivazioni

Il giorno 12 aprile 2010 è stata depositata la sentanza sul caso google, a breve verrà riportato un breve commento sui punti più critici, si riporta il link per scaricare il provvedimento:

http://www.lastampa.it/_web/download/pdf/sentenza_google.pdf.

Presentazione del volume “Fascicolo Sanitario Elettronico” il 14 aprile 2010 ore 17:50 presso la conferenza eHealthcare, in via Aurelia Antica, 415, Roma - Programma e iscrizione gratuita:
http://www.forumhealthcare.it/conferenza_programma.asp?id_conferenza=2

Descrizione sintetica del volume - copertina copertina-fse

Le sfide da superare per una sanità sostenibile vanno dalla centralità del paziente, alla clinical governance per la qualità delle prestazioni e sicurezza, alla valutazione dei servizi e misurazione dei risultati, alla riorganizzazione del sistema dell’offerta. La sanità elettronica può costituire un elemento cruciale di una strategia complessiva di innovazione.

Il testo offre una panoramica su un tema di grande attualità, il Fascicolo Sanitario Elettronico (FSE), nel contesto più ampio dell’e-government, sintetizzando lo stato dell’arte, le normative fondamentali, le iniziative istituzionali e gli standard internazionali per l’interoperabilità. Si approfondiscono inoltre le problematiche sulla gestione elettronica della documentazione clinica, sulla sicurezza, sulla crittografica e gestione dei dati crittografati, sull’attuazione del fascicolo e sulla sua possibile evoluzione, a supporto della collaborazione degli operatori sanitari e della partecipazione consapevole dei cittadini alla gestione della propria salute. Vengono infine esaminati la titolarità del FSE e le responsabilità che ne derivano, a cui sono interconnessi i profili legali: i problemi definitori e di valore legale del FSE, i suoi tempi di conservazione e i profili critici di diritto sanitario.

Elenco Autori del volume “Fascicolo Sanitario Elettronico”:

• 
  Paola Tarquini 

  , Ufficio II Studi e Tecnologie del Dipartimento per le Innovazioni e le Tecnologie, Presidenza del Consiglio dei Ministri

• 
  Rosanna Ugenti 

  , Direttore Generale Sistema Informativo del Ministero della Salute

• 
  Angelo Rossi Mori 

  , Ricercatore presso l’Unità Sanità Elettronica dell’Istituto Tecnologie Biomediche del CNR

• 
  Massimo Mangia 

  , Vice Presidente Onorario HL7 Italia

• 
  Fabio Di Resta 

  , Specialista legale privacy e diritto delle nuove tecnologie - LL.M - ISO 27001 ICT Security Auditor

• 
  Giuseppe Chiaravalloti 

  , Vice Presidente Garante per la Protezione dei Dati  Personali

• 
  Claudio De Paoli 

  , RSA - Resp. Servizi Professionali EMEA South

In uscita da oggi sul portale altalex il nuovo e-book sull’applicazione delle misure minime di sicurezza privacy e la misure di semplicazione introdotte dal Garante privacy.

per ulteriori dettagli si rinvia alla recensione: http://www.altalex.com/index.php?idnot=49220

Seminario intensivo due giorni 14 ore presso il MICC dell’Università di Firenze

Titolo: Modello 231, Amministratori di sistema e crimini informatici

Location: Aula Anfiteatro (Ex Farmacologia) - MICC (Centro per la comunicazione e l’integrazione dei Media) - Viale Morgagni, 65, Firenze, 50134

Categoria: Modello 231 – Amministratori di sistema – Crimini Informatici e attività investigativa - Durata: 2 giorni – giovedì 11 e venerdì 12 febbraio 2010 - 12 crediti formativi per avvocati come da regolamento AIGA sez. Firenze

Argomenti Trattati: Crimini informatici e attività investigativa; Misure a protezione delle informazioni critiche aziendali;Codice della Privacy e normative connesse;Normativa sui crimini informatici; Normativa sulla responsabilità amministrativa degli enti (Modelli 231)

Si riporta in programma:
Flyer Seminario

Iscrizioni:
per iscriversi online consultare il sito: www.consultingco.it oppure chiedere informazioni cell. 3292997124

Si avvicina la scadenza prevista dal provvedimento sugli amministratori di sistema, chi è tenuto formalmente ad adottare il Documento Programmatico per la Sicurezza (DPS) dovrà inevitabilmente adottare anche gli adempimenti previsti per gli amminitratori di sistema. Sono previste sanzioni ingenti per chi, dopo il 15 dicembre 2009, non adotti le misure prescritte.

Si rinvia per una breve analisi all’articolo seguente:

http://www.fabiodiresta.com/?p=369

Vengono inoltre riportate le Frequently Asked Questions (FAQ) raccolte dal Garante e pubblicate in calce al recente provvedimento del 27 novembre 2008 sugli amministratori di sistema e il provvedimento di modifica con il quale si è resa più agevole l’applicazione degli adempimenti.

http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499#richiamo

Provvedimento di modifica

http://www.garanteprivacy.it/garante/doc.jsp?ID=1626595

Si riporta inoltre le recenti precisazioni emanate il 10 dicembre 2009 dal Garante in materia

http://www.garanteprivacy.it/garante/doc.jsp?ID=1676654

Con il nuovo disegno di legge n. 1784 approvato al Senato, viene tutelato il telemarketing e viene ridotta la tutela della privacy degli abbonati, queste le principali novità della riforma:

- la nuova deroga inserisce un principio del consenso preventivo (c.d. opt in), principio stabilito anche a livello comunitario e sostituito da un diritto al rifiuto (c.d. opt out), ci si può opporre solo successivamente al contatto telefonico, questo con solo riferimento alle banche dati comunque costituite sulla base di elenchi telefonici pubblici registri anteriormente al 5 agosto 2005 (d.l. 207/2008 - si veda http://www.fabiodiresta.com/?p=375); a questo riguardo molti si interrogano su quali siano i requisiti della prova di costituzione della data anteriore al 5 agosto 2005, non essendo obbligatoria la data certa, si naviga su un ampio ventaglio di possibilità tecniche che lascia incertezze e favorisce soprattutto chi voglia profittare di un opportunità per costuire ex novo o ampliare la banca dati esistente.

- verrà costituita la c.d. Robinson list (registro indicante gli abbonati che non possono essere chiamati), tale registro laddove è adottato (per esempio in Inghilterra) è volto principalmente a tutelare l’interesse delle imprese ma a scapito tuttavia della privacy degli utenti (in effetti le finalità che si perseguono sono la tutela della concorrenza e le esigenze di liberalizzazione del mercato), i risultati in termini di monitoraggio sono scarsi con  ridotta efficacia delle sanzioni che rimangono inapplicate, fra l’altro l’importo delle sanzioni è molto contenuto e poco dissuasivo (max 5000,00 £). A questo riguardo, il Garante, pur non condividendo nel contenuto questa “deroga”, negli interventi pubblici auspica quantomeno di prevedere sanzioni serie e sufficiente certezza di colpire gli Operatori che disattendono la volontà degli utenti (monitoraggio efficace e garanzie di esercizio del rifiuto al trattamento).

- ridurre a 10.000 euro la pena minima per la violazione dei provvedimenti del Garante ex art. 154, sembra una modifica inutile, in effetti 10.000 euro potrebbero essere molti per una piccolissima azienda, ma un inezia per una grande azienda, insomma la solita storia, il problema infatti è come noto la scarsa efficacia delle norme in questione, non di eccessiva gravità delle sanzioni.

Fra l’altro tutto il corpus dei provvedimenti del Garante in materia di marketing verrà completamente nichilizzato dopo poco tempo con prevalenza della nuova disciplina legislativa. Si prevede infatti che entro sei mesi dall’entrata in vigore della riforma: “restano in vigore i provvedimenti adottati dal Garante per la protezione dei dati personali ai sensi dell’articolo 154 del citato codice di cui al decreto legislativo n. 196 del 2003, e successive modificazioni, in attuazione dell’articolo 129 del medesimo codice”

Si riportano le prime osservazioni ufficiali del Garante privacy e l’estratto del Disegno di legge N. 1784:

osservazioni-garante-privacy-su-telemarketing e 19112009-garante-su-telemarketing

http://www.senato.it/japp/bgt/showdoc/frame.jsp?tipodoc=Ddlmess&leg=16&id=442419

«Art. 20-bis. - (Adeguamento alla normativa comunitaria in materia di tutela della vita privata nel settore delle comunicazioni elettroniche, di cui alla direttiva 2002/58/CE) - 1. Al fine di superare a regime la disciplina introdotta dall’articolo 44, comma 1-bis, del decreto-legge 30 dicembre 2008, n. 207, convertito, con modificazioni, dalla legge 27 febbraio 2009, n. 14, al codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modifiche:

            a) al comma 3 dell’articolo 130 sono aggiunte, in fine, le seguenti parole: “nonché ai sensi di quanto previsto dal comma 3-bis del presente articolo”;
            b) dopo il comma 3 dell’articolo 130 sono inseriti i seguenti:

        ”3-bis. In deroga a quanto previsto dall’articolo 129, il trattamento dei dati di cui all’articolo 129, comma 1, mediante l’impiego del telefono per le finalità di cui all’articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario in un registro pubblico delle opposizioni.

        3-ter. Il registro di cui al comma 3-bis è istituito con decreto del Presidente della Repubblica da adottare ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa deliberazione del Consiglio dei ministri, acquisito il parere del Consiglio di Stato e delle Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla richiesta, nonché, per i relativi profili di competenza, il parere dell’Autorità per le garanzie nelle comunicazioni, che si esprime entro il medesimo termine, secondo i seguenti criteri e princìpi generali:

            a) attribuzione dell’istituzione e della gestione del registro ad un ente o organismo pubblico titolare di competenze inerenti alla materia;

            b) previsione che l’ente o organismo deputato all’istituzione e alla gestione del registro vi provveda con le risorse umane e strumentali di cui dispone o affidandone la realizzazione e la gestione a terzi, che se ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di servizio, nel rispetto del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163. I soggetti che si avvalgono del registro per effettuare le comunicazioni corrispondono tariffe di accesso basate sugli effettivi costi di funzionamento e di manutenzione. Il Ministro dello sviluppo economico, con proprio provvedimento, determina tali tariffe;
            c) previsione che le modalità tecniche di funzionamento del registro consentano ad ogni utente di chiedere che sia iscritta la numerazione della quale è intestatario secondo modalità semplificate ed anche in via telematica o telefonica;
            d) previsione di modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni selettive che non consentano il trasferimento dei dati presenti nel registro stesso, prevedendo il tracciamento delle operazioni compiute e la conservazione dei dati relativi agli accessi;
            e) disciplina delle tempistiche e delle modalità dell’iscrizione al registro, senza distinzione di settore di attività o di categoria merceologica, e del relativo aggiornamento, nonché del correlativo periodo massimo di utilizzabilità dei dati verificati nel registro medesimo, prevedendosi che l’iscrizione abbia durata indefinita e sia revocabile in qualunque momento, mediante strumenti di facile utilizzo e gratuitamente;
            f) obbligo per i soggetti che effettuano trattamenti di dati per le finalità di cui all’articolo 7, comma 4, lettera b), di garantire la presentazione dell’identificazione della linea chiamante e di fornire all’utente idonee informative, in particolare sulla possibilità e sulle modalità di iscrizione nel registro per opporsi a futuri contatti;
            g) previsione che l’iscrizione nel registro non precluda i trattamenti dei dati altrimenti acquisiti e trattati nel rispetto degli articoli 23 e 24.

        3-quater. La vigilanza e il controllo sull’organizzazione e il funzionamento del registro di cui al comma 3-bis e sul trattamento dei dati sono attribuiti al Garante”;
            c) all’articolo 162:
                1) al comma 2-bis, le parole: “ventimila euro” sono sostituite dalle seguenti: “diecimila euro”;

                2) è aggiunto, in fine, il seguente comma:

        ”2-quater. La violazione del diritto di opposizione nelle forme previste dall’articolo 130, comma 3-bis, e dal relativo regolamento è sanzionata ai sensi del comma 2-bis del presente articolo”.
        2. Il registro previsto dall’articolo 130, comma 3-bis, del codice di cui al decreto legislativo 30 giugno 2003, n. 196, introdotto dal comma 1, lettera b), del presente articolo, è istituito entro sei mesi dalla data di entrata in vigore della legge di conversione del presente decreto. Fino al suddetto termine, restano in vigore i provvedimenti adottati dal Garante per la protezione dei dati personali ai sensi dell’articolo 154 del citato codice di cui al decreto legislativo n. 196 del 2003, e successive modificazioni, in attuazione dell’articolo 129 del medesimo codice.

        3. All’articolo 44, comma 1-bis, del decreto-legge 30 dicembre 2008, n. 207, convertito, con modificazioni, dalla legge 27 febbraio 2009, n. 14, le parole: “sino al 31 dicembre 2009″ sono sostituite dalle seguenti: “sino al termine di sei mesi successivi alla data di entrata in vigore della legge di conversione del decreto-legge 25 settembre 2009, n. 135″.
        4. All’articolo 58 del codice del consumo, di cui al decreto legislativo 6 settembre 2005, n. 206, il comma 1 è sostituito dal seguente:

            ”1. L’impiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l’intervento di un operatore o di fax richiede il consenso preventivo del consumatore, fatta salva la disciplina prevista dall’articolo 130, comma 3-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, per i trattamenti dei dati inclusi negli elenchi di abbonati a disposizione del pubblico”.
        5. Dall’applicazione del presente articolo non devono derivare nuovi o maggiori oneri per la finanza pubblica.

Il documento del Gruppo europeo dei Garanti emesso nel 2007 ha sicuramente il pregio di dare delle indicazioni di massima per una disciplina legislativa di diritto interno, si tratta in sostanza di linee guida valide per 27 Stati Membri contenenti perciò i principi generali e le soluzioni conformi, lasciando contempo agli Stati Membri un discreto margine di manovra per adottare una disciplina interna così come delimitata in termini più generali della Direttiva Privacy. E’ in questo quadro e nel silenzio di normative primarie e secondarie in materia, che il Garante italiano è intervenuto su una questione così critica che riguarda la gestione informatica dei dati sanitari ossia la gestione informatica di aspetti della salute dei cittadini/pazienti, dove questi ultimi non possono non assumere un ruolo decisionale centrale. Questa l’ottica di fondo con i due provvedimenti che si sono avvicendati in materia di Fascicolo Sanitario Elettronico, da una parte “vengono fissate regole rispettose dei principi già fissati del Gruppo art. 29″ definendo degli aspetti più di dettaglio, dalle finalità di trattamento ammissibili per il FSE, al diritto generale alla costituzione dello stesso fascicolo, ai profili di sicurezza per l’accesso al FSE, dall’altra si auspica un intervento del legislatore per affrontare alcuni problemi aperti come gli aspetti definitori più precisi, il valore giuridico del FSE e l’efficacia legale dello stesso, al contenuto minimo del FSE sul territorio nazionale e ai tempi minimi di conservazione dello stesso, aspetti cruciali che si riconducono l’attività medica a precise responsabilità anche di natura penale nel nostro ordinamento.  Passiamo ora ad analizzare il primo provvedimento del Garante del 5 marzo 2009, si tratta di un provvedimento a carattere generale denominato “Linee Guida in tema di fascicolo sanitario elettronico e di dossier elettronico”, nel quale in primo luogo si fissano due concetti, il Fascicolo Sanitario Elettronico e il dossier sanitario, quest’ultimo inteso come uno strumento costituito presso un organismo sanitario in qualità di unico titolare del trattamento (p.e. ospedale o clinica privata) all’interno del quale operino più professionisti, mentre il FSE trae spunto dalla definizione di CCE del Gruppo Art. 29 sopra esaminata e viene inteso come un documento formato con riferimento a dati sanitari originati da diversi titolari del trattamento ed operanti si solito nello stessa regione o medesimo ambito territoriale. Si tratta sostanzialmente di una documentazione riconducibile ad una memoria storica degli eventi clinici del paziente, la cui costituzione è attualmente facoltativa non essendo rinvenibili normative a livello primario né secondario. Si riporta il link al provvedimento del Garante del 3 agosto scorso: 

provv-garante-fascicolo-sanitario-elettronico