Categoria: Cybersecurity

Sicurezza Informatica

ICT, GDPR, PRIVACY!

Durante lo svolgimento lavorativo per l’ICT-Information and Communications Technology, ossia la Tecnologia dell’Informazione e della Comunicazione, incontriamo la Compliance aziendale, cioè l’insieme di processi e procedure che un’azienda implementa per assicurarsi di rispettare leggi, regolamenti e normative pertinenti al suo settore. I principi relativi al trattamento dei dati personali sono posti al centro del Regolamento Generale sulla Protezione dei Dati (GDPR). L’art. 5 del GDPR fissa sette principi chiave relativi al trattamento dei dati personali, che devono essere rispettati dagli operatori economici (titolari e responsabili del trattamento) quando trattano dati personali:

  • Liceità, correttezza e trasparenza;
  • Limitazione della finalità;
  • Minimizzazione dei dati;
  • Esattezza;
  • Limitazione della conservazione;
  • Integrità e riservatezza;
  • Responsabilizzazione.

I suddetti principi di trattamento dei dati personali costituiscono il punto di partenza per la conformità al GDPR. Si tratta di principi fondamentali che mirano a il rispetto delle norme sulla protezione dei dati personali e a tutelare i diritti delle persone (soggetti interessati).

Comprendere i principi del trattamento dei dati personali è essenziale per capire gli obblighi del GDPR. Prima di qualsiasi trattamento di dati personali, le aziende (titolari del trattamento) devono chiedersi se tale trattamento sia lecito, corretto, trasparente, necessario per raggiungere uno scopo specifico, se i dati personali in possesso della società siano accurati, se siano conservati solo per il tempo strettamente necessario per realizzare una specifica finalità e se siano state adottate misure adeguate per mantenere i dati personali al sicuro.

Tutte le informazioni rivolte agli interessati devono essere rese disponibili in un unico luogo o in un documento completo, in modo conciso e trasparente, per evitare la saturazione delle informazioni. Il Regolamento Generale sulla Protezione dei Dati non specifica come debba essere definito questo documento, ma nella prassi viene comunemente chiamato informativa privacy o dichiarazione sulla privacy.

Le informazioni contenute in tale documento devono essere chiaramente distinte da altre informazioni non correlate alla protezione dei dati personali, come i termini contrattuali o le condizioni generali di utilizzo.

Molto spesso gli imprenditori commettono errori sul trattamento dei dati personali nell’ambito, ad esempio, delle condizioni generali di utilizzo. L’informativa sulla privacy deve essere un documento separato, facilmente e pubblicamente accessibile agli interessati, ad esempio in calce al sito web, su ogni sito web.

Alcune delle misure e degli strumenti utili per dimostrare la compliance rispetto al regolamento generale sulla protezione dei dati

  • Svolgimento di un’analisi approfondita delle attività di trattamento nell’organizzazione/società e una mappatura dei dati che consenta l’organizzazione e la gestione dei dati per scopi operativi e il monitoraggio dei flussi di dati;
  • Implementazione di misure tecniche e organizzative adeguate
  • Applicazione del principio di privacy by default
  • Attuazione di norme e informative sulla privacy appropriate; disporre di una informativa privacy concisa, accessibile e trasparente, disponibile al pubblico, e di policy chiare di conservazione dei dati, policy di cancellazione dei dati, policy sulle richieste di accesso ai dati e policy sulla gestione delle richieste di diritti di protezione dei dati;
  • Stipulare contratti chiari con i responsabili del trattamento che agiscono per conto del titolare del trattamento
  • Conservare i registri delle attività di trattamento, ove opportuno;
  • Nominare un responsabile della protezione dei dati e garantire il suo tempestivo coinvolgimento in tutte le questioni relative alla protezione dei dati.
  • Adottare policy interne e condurre valutazioni d’impatto sulla protezione dei dati.
  • Compliance a codici di condotta o schemi di certificazione;
  • Registrare e, se del caso, segnalare le violazioni dei dati personali.

Gli obblighi derivanti dal principio di responsabilizzazione si applicano e si evolvono nel tempo, e il titolare del trattamento deve costantemente rivedere e aggiornare le proprie misure.

Se l’organizzazione/società dispone di un sito web ufficiale, il titolare del trattamento può utilizzarlo come primo punto di riferimento per gli utenti che desiderano saperne di più sulla policy privacy dell’organizzazione/società (titolare del trattamento) e sui dettagli di contatto del responsabile della protezione dei dati. Queste informazioni devono essere chiaramente visibili e facilmente accessibili.

Se la società tratta i dati personali attraverso i cookie sul sito web, in particolare allo scopo di generare informazioni analitiche che possono essere successivamente utilizzate per la pubblicità mirata, ciò deve essere chiaramente visibile ai visitatori del sito web quando vi accedono per la prima volta. È essenziale consentire ai visitatori del sito web di rinunciare facilmente ai cookie senza alcuna riduzione della qualità del servizio fornito dal sito stesso.

Cos’è la protezione tecnologica e integrata dei dati ?

La privacy by design e by default è parte integrante dell’attuazione del principio di responsabilizzazione. Si tratta di integrare la privacy in tutte le attività di trattamento dei dati. La privacy by design e by default non è un principio a sé stante, ma comprende tutti i principi di cui all’articolo 5 del Regolamento Generale sulla Protezione dei Dati e le misure tecniche e organizzative atte a garantire un adeguato livello di sicurezza dei dati personali contro i rischi e ad assicurare che la società tratti solo i dati personali che sono necessari per ogni finalità specifica del trattamento.

Le società devono prendere in considerazione i principi di privacy by design e by default prima di iniziare a trattare i dati personali. Le società sono obbligate a implementare i principi di privacy by design e by default prima del trattamento, ma anche durante l’intero trattamento, verificando regolarmente l’efficacia delle misure di sicurezza scelte. Le misure che possono essere appropriate sono la riduzione della quantità di dati raccolti, l’uso di tecniche di pseudonimizzazione e il miglioramento delle misure di sicurezza. 

Nel prossimo articolo andremo ad approfondire alcuni aspetti, buona lettura.

Data Protection

Il Comitato europeo per la Protezione dei Dati (EDPB) è un organismo indipendente dell’Unione europea con sede a Bruxelles, il cui scopo è garantire un’applicazione coerente del Regolamento generale sulla Protezione dei Dati (RGPD) e promuovere la cooperazione tra le autorità di protezione dei dati dell’ UE. Il 25 maggio 2018, l’EDPB ha sostituito il gruppo di lavoro “Articolo 29”.

Il ruolo dell’EDPB include le seguenti competenze

  • Pubblicare linee guida, raccomandazioni e identificare le migliori pratiche relative all’interpretazione e all’applicazione del RGPD,
  • Informare la Commissione europea in merito a questioni riguardanti la protezione dei dati personali nello Spazio economico europeo (SEE),
  • Adottare pareri volti a garantire la coerenza dell’applicazione del GDPR da parte delle autorità nazionali di vigilanza, in particolare in merito alle decisioni che hanno effetti transfrontalieri,
  • Fungere da organo di risoluzione nelle controversie tra autorità nazionali che cooperano all’applicazione legislativa nel contesto di casi transfrontalieri,
  • Incoraggiare lo sviluppo di codici di condotta e istituire meccanismi di certificazione nel campo della protezione dei dati,
  • Promuovere la cooperazione e lo scambio efficace di informazioni e buone pratiche tra le autorità nazionali di vigilanza.

Presidenza

Il Comitato europeo per la Protezione dei Dati è rappresentato dal suo presidente, eletto tra i membri del consiglio a maggioranza semplice, per un mandato di cinque anni, rinnovabile una volta. La stessa procedura elettorale e lo stesso mandato si applicano ai due vice presidenti.

Membri dell’EDPB

Il consiglio di amministrazione è composto dai rappresentanti delle autorità nazionali di protezione dei dati dei 27 paesi in seno all’EU, da 3 paesi appartenenti allo Spazio economico europeo e dal Garante europeo della protezione dei dati (GEPD).

Le Nuove Tecnologie

I DIRITTI DELLA PERSONALITÀ

La società della Tecnica e dell’Informazione

La tecnologia ha assunto negli ultimi decenni una rilevanza crescente e significativa in tutti i contesti socio-economici.

La diffusione delle tecnologie informatiche, che costituiscono il cuore della società dell’informazione, la rivoluzione tecnologica e sociale degli ultimi anni può essere ricondotta al passaggio dalla società industriale alla società dell’informazione.
L’informatizzazione ha condotto alla formazione di un nuovo modello: la società dell’informazione.
Le tecnologie informatiche e di telecomunicazione assumono un ruolo significativo nello sviluppo delle attività umane. È evidente che la rivoluzione digitale è indissolubilmente connessa con l’evoluzione della società dell’informazione.
La rivoluzione digitale sancisce il passaggio dalla tecnologia meccanica ed
elettronica analogica a quella elettronica digitale, rivoluzione che ha interessato i Paesi industrializzati già a partire dalla metà del secolo scorso.
La rivoluzione digitale procede parallelamente alla cosiddetta rivoluzione informatica, intesa quale processo di cambiamento apportato dalle Tecnologie dell’Informazione e della Comunicazione, in ragione soprattutto dello sviluppo del World Wide Web.
Dreyfus, docente all’Università di Harvard, ha coniato nel 1962 il termine informatica dall’spressione francese information automatique, per indicare la gestione automatica di dati e in formazioni mediante calcolatore. Dagli anni Ottanta del secolo scorso, l’informatica ha trovato larga diffusione nella società.

La società dell’informazione è caratterizzata dalla gestione e dalla ricerca automatizzata delle informazioni, e permea tutte le attività umane. La trasformazione connessa all’elaborazione automatica delle informazioni non si limita infatti alle attività produttive e amministrative,
poiché l’informatica crea il ciberspazio, il mondo virtuale delle reti informatiche.
L’informatica ha conquistato, per certi versi, anche lo spazio fisico attribuendo agli oggetti la capacità di elaborare e comunicare.

Si parla dunque di Internet of Things (internet delle cose) per indicare l’estensione di Internet anche al mondo degli oggetti. Internet of Things descrive un sistema in cui internet è collegato al mondo fisico mediante sensori che consentono alle applicazioni di far “comunicare” gli oggetti. L’identificazione di ciascun oggetto avviene tramite minuscoli transponder a radiofrequenza in essi inseriti, oppure mediante codici a barre o codici grafici bidimensionali impressi sull’oggetto. Le applicazioni riguardano, dunque, la gestione di beni di consumo (durante la produzione, l’immagazzinamento, la distribuzione, la vendita o l’assistenza postvendita), o anche il tracciamento di oggetti.
Comprendere come la sfera giuridica sia stata coinvolta e interessata dalle dinamiche connesse allo sviluppo tecnologico è un approfondimento avvincente.
L’utilizzo di strumenti informatici non ha comportato esclusivamente questioni di carattere tecnico, investendo numerosi ambiti della riflessione giuridica.
Il mutamento della realtà conseguente all’innovazione scientifica e tecnologica investe immediatamente il diritto, tanto che alcune vicende prima ritenute giuridicamente irrilevanti interessano ora il giurista, così come altre, collocate tradizionalmente in una sfera di rilevanza pubblicistica, entrano invece nell’orbita dell’autonomia privata. Fino a poco tempo fa, l’intervento del sistema giuridico si è limitato alla risoluzione di controversie di non eccessiva complessità sociale. Rispetto a esse, è stato sufficiente rimodulare le interpretazioni delle norme esistenti in funzione delle esigenze via via sollevate dal progresso scientifico. La diffusione delle tecnologie informatiche ha richiesto ai legislatori l’emanazione di norme ad hoc, in grado di disciplinare le nuove istanze connesse all’implementazione tecnologica. Il rapporto tra tecnologia e diritto si è configurato in termini complessi sin dall’inizio: innanzitutto, dal punto di vista definitorio, vi è la tradizionale bipartizione nel rapporto tra l’informatica e il diritto, che si risolve nella suddivisione in informatica giuridica e diritto dell’informatica.
Il diritto dell’informatica esamina i problemi giuridici connessi all’utilizzo delle tecnologie di comunicazione e dell’informatica, e gli effetti riconducibili ai comportamenti posti in essere utilizzando le tecnologie nella vita sociale.
Si concretizza nello studio delle vicende giuridiche nel contesto delle nuove tecnologie soprattutto telematiche, e in riferimento alle modalità con cui il progresso tecnologico incide sulla tutela dei dati personali, sulla tutela dei diritti della personalità, sulla conclusione dei contratti del commercio elettronico.
Le aree di studio possono essere così riassunte:
• Tutela dei dati-privacy
• Proprietà intellettuale informatica
• Documenti digitali
• Commercio elettronico (e-commerce)
• Proprietà intellettuale informatica
• Documenti digitali
• Governo elettronico: e-governance
• Reati informatici
La rivoluzione connessa alla società dell’informazione incide in maniera significativa sulla riflessione giuridica. L’attività giuridica è oggetto dell’informatizzazione e non esclusivamente in relazione all’acquisizione di nuovi strumenti di lavoro. Il giurista deve operare in stretta correlazione con gli strumenti informatici e deve contestualmente operare negli ambienti virtuali creati dalla tecnologia.
Su questi presupposti si concretizza la dottrina dell’ informatica giuridica.

L’informatica giuridica è la disciplina che studia l’informatica applicata al diritto, concetrandosi sugli aspetti giuridici della rivoluzione tecnologica, economica e sociale connessi all’informatica.
Con l’espressione informatica giuridica si fa generalmente riferimento al ruolo che gli strumenti informatici rivestono in relazione a molti settori del diritto: dalla gestione di database al processo telematico fino alla possibilità di tradurre a livello di algoritmo schemi di ragionamento tipici dell’argomentazione giuridica (le sentenze).
In alcuni ambiti, le questioni del diritto dell’informatica sono connesse con quelle dell’informatica del diritto e ciò avviene quando il legislatore regola l’uso dell’informatica in alcune attività giuridiche. Si pensi al processo civile telematico, materia in cui il diritto dell’informatica regola e individua le soluzioni organizzative e tecnologiche, oppure al tema dell’informatica nella pubblica amministrazione.
Le vicende che presentano tale duplice profilo di rilevanza sono: il documento informatico, la firma elettronica la circolazione e la tutale degli atti e dei dati informatici.
L’informatizzazione ha avuto un significativo impatto sulla vita sociale, contribuendo da una parte a determinare nuovi rischi e, dall’altra, ad introdurre nuove opportunità per l’economia, la politica e la vita sociale.
Sotto un altro aspetto, l’informatizzazione modifica il lavoro del giurista che si avvale sempre più di frequente degli strumenti informatici.
Al di là delle sia pur necessarie e utili questioni definitorie, è interessante comprendere come l’irrompere della tecnologia, soprattutto informatica, abbia trasformato la prospettiva della riflessione giuridica.
Il tema di analisi prende inizio dai rischi connessi all’impatto delle tecnologie sulla tutela della persona e dei diritti della personalità.

Nel prossimo articolo parleremo delle nuove tecnologie e interessi tutelati, buona lettura.

Cybersecurity

Dal Blog di Marialuisa Portaluppi

La sicurezza informatica (in inglese cyber security), è l’insieme dei mezzi, delle tecnologie e delle procedure tesi alla protezione dei sistemi informatici in termini di confidenzialitàintegrità e disponibilità, dei beni o asset informatici.

Un sinonimo che trova talvolta impiego in questo contesto è cybersicurezza, essendo quell’ambito della sicurezza informatica che dipende solo dalla tecnologia: con esso si enfatizzano spesso qualità di resilienza, robustezza e reattività che una tecnologia deve possedere per fronteggiare attacchi mirati a comprometterne il suo corretto funzionamento e le sue performance.

Nella sicurezza informatica sono coinvolti elementi tecnici, organizzativi, giuridici e umani. Per valutare la sicurezza solitamente è necessario individuare le minacce, le vulnerabilità e i rischi associati ai beni informatici, al fine di proteggerli da possibili attacchi (interni o esterni) che potrebbero provocare danni diretti o indiretti di impatto superiore a una determinata soglia di tollerabilità (es. economico, politico-sociale, di reputazione, ecc…) a un’organizzazione. Oltre alle tre fondamentali proprietà (disponibilità, riservatezza, integrità) possono essere considerate anche: autenticità, non ripudiabilità, responsabilità, affidabilità.

La sicurezza informatica è un problema molto sentito in ambito economico-informatico per via della crescente informatizzazione della società e dei servizi (pubblici e privati) in termini di apparati e sistemi informatici e della parallela diffusione e specializzazione degli attaccanti.

L’interesse per la sicurezza dei sistemi informatici è dunque cresciuto negli ultimi anni, proporzionalmente alla loro diffusione e al ruolo da essi svolto nella collettività.

Sicurezza delle informazioni

Sicurezza informatica non coincide con sicurezza delle informazioni (InfoSec). La prima si rivolge agli asset informatici (impianti, reti, dispositivi, sistemi, applicazioni, servizi), la seconda mira a mettere in sicurezza l’asset “informazione” nelle dimensioni: organizzazione, fisica ed ambientale, logica (cioè tecnologia informatica o telematica). Per la sicurezza delle informazioni la sicurezza informatica è una parte ed è un mezzo, non è la finalità.

Si può sommariamente osservare che:

  • quando le informazioni sono non digitali allora non riguardano la sicurezza informatica, mentre la sicurezza delle informazioni è interessata;
  • un’informazione orale (o materializzata unicamente su carta) rimane un’informazione che potrebbe essere necessario mettere in sicurezza senza dover o poter ricorrere alla sicurezza informatica.

Esiste a livello internazionale la norma ISO 27001 finalizzata alla standardizzazione delle modalità adatte a proteggere le informazioni da minacce di ogni tipo, al fine di assicurarne la riservatezza, l’integrità e la disponibilità (proprietà identificate con l’acronimo RID). Lo standard indica i requisiti di un adeguato sistema di gestione della sicurezza delle informazioni (SGSI; in inglese Information security management system o ISMS) finalizzato a una corretta gestione delle informazioni dell’organizzazione. Una fase indispensabile di ogni pianificazione della sicurezza è la valutazione del rischio e la gestione del rischio. Le organizzazioni (di qualsiasi natura, settore, dimensione) possono far certificare ISO 27001 il proprio SGSI.

The Ride Of A Thousand Cols

This is some dummy copy. You’re not really supposed to read this dummy copy, it is just a place holder for people who need some type to visualize what the actual copy might look like if it were real content.

If you want to read, I might suggest a good book, perhaps Hemingway or Melville. That’s why they call it, the dummy copy. This, of course, is not the real copy for this entry. Rest assured, the words will expand the concept. With clarity. Conviction. And a little wit.

Night Photography

This is some dummy copy. You’re not really supposed to read this dummy copy, it is just a place holder for people who need some type to visualize what the actual copy might look like if it were real content.

If you want to read, I might suggest a good book, perhaps Hemingway or Melville. That’s why they call it, the dummy copy. This, of course, is not the real copy for this entry. Rest assured, the words will expand the concept. With clarity. Conviction. And a little wit.

In today’s competitive market environment, the body copy of your entry must lead the reader through a series of disarmingly simple thoughts.

All your supporting arguments must be communicated with simplicity and charm. And in such a way that the reader will read on. (After all, that’s a reader’s job: to read, isn’t it?) And by the time your readers have reached this point in the finished copy, you will have convinced them that you not only respect their intelligence, but you also understand their needs as consumers.