NEWS
Rubrica di informatica e diritto a cura della dott.ssa Loredana NARDUCCI
martedì 3 febbraio 2009
PEC obbligatoria per amministrazioni pubbliche, professionisti ed imprese
È stato pubblicato sulla Gazzetta Ufficiale del 28 gennaio 2009 n. 22 il Decreto Legge 29 novembre 2008 n. 185, convertito nella Legge 28 gennaio 2009 n. 2, che rende obbligatoria la PEC (Posta Elettronica Certificata).
Ai sensi dell’art. 16, co. 6 del dettato normativo, le imprese costituite in forma societaria sono tenute ad indicare il proprio indirizzo di posta elettronica certificata nella domanda di iscrizione al registro delle imprese ed entro tre anni dalla data di entrata in vigore del decreto, tutte le imprese saranno tenute a comunicare al registro delle imprese il proprio indirizzo di posta elettronica certificata. L’iscrizione dell’indirizzo di posta elettronica certificata nel registro delle imprese e le sue successive eventuali variazioni sono esenti dall’imposta di bollo e dai diritti di segreteria.
Il termine per adeguarsi è invece di un anno per i professionisti iscritti in albi ed elenchi istituiti con legge dello Stato, che ai sensi del co. 7 del medesimo articolo, debbono comunicare ai rispettivi ordini o collegi il proprio indirizzo di posta elettronica certificata entro un anno dalla data di entrata in vigore del presente decreto; prevede invece il co. 8 che le amministrazioni pubbliche istituiscono una casella di posta certificata per ciascun registro di protocollo (senza che venga stabilito un termine) e ne danno comunicazione al Centro nazionale per l’informatica nella pubblica amministrazione, che provvede alla pubblicazione di tali caselle in un elenco consultabile per via telematica.
Le comunicazioni tra i soggetti di cui ai commi 6, 7 e 8 del presente articolo, che abbiano provveduto agli adempimenti ivi previsti, possono essere inviate attraverso la posta elettronica certificata senza che il destinatario debba dichiarare la propria disponibilità ad accettarne l’utilizzo.
mercoledì 14 gennaio 2009
Semplificazione degli adempimenti in materia di privacy – Provvedimento del Garante del 27 novembre 2008, G.U. n. 287 del 9 dicembre 2008
Il provvedimento del Garante Privacy del 27 novembre 2008 ha introdotto modalità semplificate di applicazione delle misure minime di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali.
Già con l’art. 29 del decreto legge 25 giugno 2008 come modificato dalla legge di conversione 6 agosto 2008, n. 133, erano state approvate alcune semplificazioni relative ai trattamenti effettuati con strumenti elettronici da parte dei soggetti che utilizzano soltanto dati personali non sensibili e che trattano, come unici dati sensibili, quelli inerenti allo stato di salute o alla malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero all'adesione a organizzazioni sindacali o a carattere sindacale. Per questi casi, la tenuta di un aggiornato documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) del Codice) è stata sostituita da un obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. Due le ragioni dello scarso successo della misura di semplificazione: da un lato la platea ristrettissima di soggetti potenzialmente beneficiari, dall’altro l'alto livello di responsabilità anche penale connessa alla dichiarazione sostitutiva di assolvimento degli obblighi di sicurezza, anche considerato che per i non esperti del settore è difficile essere sicuri della regolarità dei trattamenti.
In relazione ai trattamenti sopra menzionati per i quali è stata introdotta l’autocertificazione, ma anche per quelli effettuati da chiunque per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante ha individuato con il provvedimento in discussione nuove modalità volte a semplificare incisivamente l'applicazione di varie regole contenute nell'Allegato B) al Codice Privacy.
Queste le principali novità introdotte.
Fermo restando che come detto sopra per alcuni casi è già previsto per disposizione di legge che si possa redigere un'autocertificazione in luogo del documento programmatico sulla sicurezza, è stata introdotta la possibilità di redigere prima dell'inizio del trattamento un documento programmatico sulla sicurezza dal contenuto semplificato e che deve essere aggiornato entro il 31 marzo di ogni anno solo nel caso in cui, nel corso dell'anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.
Il documento deve avere i seguenti contenuti: le coordinate identificative del titolare del trattamento, e se designati, dei responsabili e degli incaricati del trattamento. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili e degli incaricati designati, potranno essere indicate le modalità attraverso le quali è possibile individuarne l'elenco aggiornato; una descrizione generale del trattamento o dei trattamenti realizzati, le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Tra le maggiori semplificazioni previste per i trattamenti effettuati tramite strumenti elettronici vi è anche la previsione che le istruzioni in materia di misure minime di sicurezza previste dall'Allegato B) possono essere impartite agli incaricati del trattamento oralmente (non è più necessaria la forma scritta), con indicazioni di semplice e chiara formulazione; inoltre, per l'accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati (username), associato a una parola chiave (password), in cui l'username venga disattivato quando l'incaricato non ha più titolo per accedere ai dati (trasferimento, cessazione dal servizio). Non si prevede più espressamente l’automatica scadenza dell’username per non uso semestrale, l'obbligo di almeno otto caratteri per la password e l'obbligo di modifica della password con cadenza trimestrale (per i dati sensibili) o semestrale (per i dati comuni). Termini più lunghi sono inoltre previsti per il backup dei dati che non è più obbligatorio settimanalmente ma solo mensilmente e per l’aggiornamento dei programmi di sicurezza che diventa annuale.
Infine, per i trattamenti realizzati senza l'ausilio di strumenti elettronici il provvedimento in materia di semplificazioni dispone che quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione, in modo che a essi non accedano persone prive di autorizzazione e sono restituiti al termine delle operazioni affidate; le istruzioni agli incaricati, finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali sono impartite anche solo oralmente.
Se da un lato la semplificazione di alcuni adempimenti appariva opportuna, dall’altro questo nuovo provvedimento del Garante rischia di creare ulteriore confusione, in particolare sui destinatari delle agevolazioni e di svuotare la normativa in materia di protezione dei dati personali. Pertanto è fondamentale che ciascuna organizzazione aziendale e professionale, nell’individuare le misure di sicurezza da adottare, non consideri la normativa in materia di privacy soltanto come un obbligo cui adempiere per il pericolo delle sanzioni, ma si concentri sulle effettive esigenze della propria realtà aziendale con il fine della protezione dei dati personali ed in particolare sensibili.
lunedì 7 aprile 2008
Fatturazione telefonica dettagliata: anche le ultime 3 cifre vanno indicate in chiaro (Garante Privacy - provvedimento 13.03.2008)
Dal 1° luglio 2008 la fatturazione dettagliata del traffico telefonico conterrà, in assenza di esplicita richiesta di oscuramento con 'asterischi' da parte dell'abbonato, anche l'indicazione delle ultime 3 cifre in chiaro di ciascun numero telefonico chiamato. E' quanto prevede il Provvedimento 13 marzo 2008 (pubblicato in Gazzetta Ufficiale 3 aprile 2008, n. 79) con il quale il Garante della Privacy ha reso più trasparente il rapporto tra gestori telefonici ed abbonati, i quali potranno più facilmente controllare l'esattezza delle chiamate addebitate.
Spetterà alle compagnie telefoniche avvertire i propri clienti attraverso un'idonea informativa da inserire all'interno di almeno due fatture e nel proprio sito web, specificando che tutti gli abbonati che abbiano chiesto o chiederanno la fatturazione dettagliata la riceveranno in chiaro", salvo che non richiedano il mascheramento delle ultime tre cifre.
mercoledì 16 gennaio 2008
Il datore di lavoro può leggere la mail aziendale del lavoratore se è prevista la comunicazione della password del computer e della posta al superiore gerarchico - Cassazione penale , sez. V, sentenza 19.12.2007 n° 47096
L’art. 616 comma 1 c.p. punisce la condotta di “chiunque prenda cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime”.
Ciò posto, è indiscussa l’estensione della tutela anche alla corrispondenza informatica o telematica (art. 616 comma 4 c.p.); deve tuttavia ritenersi che tale corrispondenza possa essere qualificata come “chiusa” solo nei confronti dei soggetti che non siano legittimati all’accesso ai sistemi informatici di invio o di ricezione dei singoli messaggi. Infatti, diversamente da quanto avviene per la corrispondenza cartacea, di regola accessibile solo al destinatario, è appunto la legittimazione all’uso del sistema informatico o telematico che abilita alla conoscenza delle informazioni in esso custodite. Sicché tale legittimazione può dipendere non solo dalla proprietà, ma soprattutto dalle norme che regolano l’uso degli impianti. E quando in particolare il sistema telematico sia protetto da una password, deve ritenersi che la corrispondenza in esso custodita sia lecitamente conoscibile da parte di tutti coloro che legittimamente dispongano della chiave informatica di accesso. Anche quando la legittimazione all’accesso sia condizionata, l’eventuale violazione di tali condizioni può rilevare sotto altri profili, ma non può valere a qualificare la corrispondenza come “chiusa” anche nei confronti di chi sin dall’origine abbia un ordinario titolo di accesso.
Nel caso in esame è indiscusso, e ne dà atto lo stesso ricorrente, che le password poste a protezione dei computer e della corrispondenza di ciascun dipendente dovevano essere a conoscenza anche dell’organizzazione aziendale, essendone prescritta la comunicazione, sia pure in busta chiusa, al superiore gerarchico, legittimato a utilizzarla per accedere al computer anche per la mera assenza dell’utilizzatore abituale. Ne consegue che del tutto lecitamente il superiore gerarchio prese cognizione della corrispondenza informatica aziendale della sua dipendente, utilizzando la chiave di accesso di cui legittimamente disponeva. Infatti, secondo le prescrizioni del provvedimento del Garante per la protezione dei dati personali n. 13 dell’1 marzo 2007, i dirigenti dell’azienda accedono legittimamente ai computer in dotazione ai propri dipendenti, quando delle condizioni di tale accesso sia stata loro data piena informazione.
giovedì 6 settembre 2007
La frode informatica e il phishing
L’evoluzione delle tecniche informatiche e telematiche comporta un incremento continuo di condotte criminose che configurano il delitto di frode informatica previsto all’art. 640 ter del Codice Penale.
Il phishing è un’attività che consiste nell'utilizzo di comunicazioni elettroniche, soprattutto messaggi di posta elettronica o messaggi istantanei, per ottenere l'accesso a informazioni personali o riservate con la finalità del furto d’identità: Lo scopo è quello di carpire informazioni personali riguardanti l’account, le passwords di accesso a servizi di home-banking oppure acquisire fraudolentemente informazioni riguardanti la carta di credito.
Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:
1. l'utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
2. l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio la scadenza dell'account).
3. l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione.
4. il link fornito, tuttavia, non porta al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.
Un primo controllo per difendersi dai siti di phishing che tentano di sottrarre i dati della carta di credito, è quello di visualizzare l'icona a forma di lucchetto in tutti i browser, che segnala che sì è stabilita una connessione sicura (ad esempio una connessione SSL); la pagina di autenticazione è facilmente imitabile, copiando il relativo codice HTML, mentre la presenza di una connessione sicura richiede dei certificati che identificano univocamente un sito Internet. Esistono anche programmi specifici come la barra anti-phishing di Netcraft e anche liste nere (blacklist), che consentono di avvisare l'utente quando visita un sito probabilmente non autentico. Gli utenti di Microsoft Outlook/Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar inserito nel MS Outlook / MS Outlook Express con il quale si può trovare i link sospetti in un'e-mail.
giovedì 23 agosto 2007
Commercio elettronico, la tassazione degli ISP (Agenzia delle Entrate-Risoluzione del 28/05/2007 n. 119
Con risoluzione n. 119/2007 l’Agenzia delle Entrate ha fornito dei chiarimenti in merito alla tassazione dell’attività' di commercio elettronico svolta da soggetto non residente per mezzo di server localizzato in Italia, a seguito di istanza d'interpello presentata dalla societa' di diritto francese GAMMA S.A. che offre in Italia tramite un collegamento a banda larga l’accesso on-line a videogiochi per personal computer e che per ridurre i costi di connessione e facilitare il proprio collegamento con i clienti, ha installato due server, che utilizza in esclusiva, presso un Internet Service Provider italiano ma gestiti in Francia.
L’Agenzia delle Entrate precisa che il sito web di un'impresa e' costituito da una combinazione di informazioni elettroniche, immagazzinate su un server, e di un software, che e' un bene immateriale, installato su un disco fisso del server medesimo. L'imprenditore titolare di un sito web dispone di una porzione, non identificabile, del disco fisso della macchina elettronica adoperata come server. Il server, essendo dotato di una consistenza fisica, puo' configurare, in presenza di determinate circostanze, una sede fissa d'affari.
Ai fini della configurabilita', come individuata dal Commentario OCSE, di una stabile organizzazione, l'impresa non residente deve esercitare la propria attivita' per mezzo di un server che sia nella sua piena disponibilita', la quale sussiste qualunque sia il titolo giuridico che la determina (proprieta', locazione ecc.). Inoltre, affinche' il server costituisca base fissa, deve considerarsi decisivo il fatto che l'apparecchiatura permanga in un luogo specifico per un tempo sufficiente ad essere considerata tale.
I commi 4 e 5 dell'articolo 162 del T.U.I.R. recependo, sostanzialmente, l'orientamento dell'OCSE confermano che non costituisce di per se' stabile organizzazione la disponibilita' a qualsiasi titolo di elaboratori elettronici e relativi impianti ausiliari che consentano semplicemente la raccolta e la trasmissione di dati ed informazioni finalizzati alla vendita di beni e servizi. Ai fini della configurazione della stabile organizzazione e' necessaria, infatti, la piena ed esclusiva disponibilita' dell'apparecchiatura da parte del soggetto non residente per un periodo tale da configurare il presupposto della fissita' e lo svolgimento attraverso di essa di attivita' ritenute principali nell'ambito dell'attivita' complessiva dell'impresa, restando esclusa la sussistenza della stabile organizzazione quando l'attivita' della sede fissa nel suo insieme abbia carattere preparatorio o ausiliare. Si ritiene, al riguardo, non preparatoria o ausiliare, ma espressione diretta dell'attivita' principale esercitata, l'utilizzo di una apparecchiatura rilevante come bene strumentale che consenta di commercializzare i beni-merce dell'azienda.
Nell'eventualita', in particolare, che dette apparecchiature siano di proprieta' e di utilizzo esclusivi del soggetto non residente, che siano stati installati per un tempo indefinito in Italia e che attraverso i medesimi detto soggetto svolga la propria attivita' commerciale, e' da ritenere che i servizi garantiti ai clienti italiani debbano essere considerati prestati da una stabile organizzazione in Italia e, come tali, assoggettati ad imposta nel territorio dello Stato. Detta conclusione resta vieppiu' avvalorata dalla circostanza che, attraverso il server, il soggetto non residente svolga una attivita' di commercio elettronico diretto, caratterizzato dalla fornitura di beni o servizi scaricabili (download) direttamente dall'elaboratore e che tutte le fasi del contratto, compresa quella dell'acquisizione del prodotto e del pagamento, si realizzino per via telematica.
giovedì 26 luglio 2007
Pubblicata la classifica dei maggiori produttori di spam.
Sophos ha pubblicato l'ultimo rapporto sui dodici paesi che hanno prodotto la maggiore quantita' di spam durante il secondo trimestre del 2007. Analizzando tutti i messaggi ricevuti dalla rete globale gli esperti dei Sophos Labs hanno riscontrato che dagli Stati Uniti proviene quasi un quinto, ossia il 19,6 per cento dello spam in circolazione nel mondo. L'Europa e' presente in classifica con sei paesi che, complessivamente, hanno inviato una quantita' di e-mail spazzatura superiore a quella statunitense.
I dodici paesi che hanno prodotto la maggior quantita' di spam da aprile a giugno 2007 sono nell’ordine i seguenti: Stati Uniti, Cina (inclusa Hong Kong), Corea del Sud, Polonia, Germania, Brasile, Francia, Russia, Turchia, Gran Bretagna, Italia e India. Migliora la posizione dell’Italia che dalla ottava posizione (dati secondo semestre 2006), scende alla 11°.
mercoledì 2 maggio 2007
Trasparenza sui siti di Comuni e Province, ma con dati personali indispensabili (Garante Privacy , deliberazione 19.04.2007 n° 17)
Con il provvedimento "Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali" l’Autorità ha precisato i principi e i limiti che gli enti locali sono tenuti a rispettare quando pubblicano e diffondono i dati personali contenuti in atti e deliberazioni dai quali possono emergere delicate informazioni dei cittadini.
Nelle linee guida il Garante segna con chiarezza alcuni punti tra i quali:
- l’ente prima di pubblicare gli atti, renderli accessibili a terzi o metterli in rete, deve valutare se le finalità di trasparenza possano essere perseguite senza divulgare dati personali o attraverso modalità che permettano di identificare gli interessati solo se necessario.
- negli atti devono comparire solo dati pertinenti e non eccedenti rispetto alle finalità che l'ente intende raggiungere.
- i dati sensibili e giudiziari possono essere diffusi solo se realmente indispensabili e se l'ente abbia adottato il regolamento previsto dal Codice sull'uso di questi dati.
- è sempre vietato diffondere informazioni sulla salute.
Con riguardo all'impiego delle nuove tecnologie l’ente dovrà assicurare sempre l'esattezza, l'aggiornamento e la pertinenza dei dati pubblicati in rete, sia garantire il diritto all'oblio delle persone interessate
martedì 13 febbraio 2007
Caso Peppermint: file sharing e utilizzo di dati personali illecitamente trattati
(Tribunale Roma, sez. IX civile, ordinanza 09.02.2007)
In questi giorni circa 4000 cittadini italiani si sono visti recapitare una raccomandata, inviata da uno studio legale di Bolzano il quale, in nome e per conto della casa discografica tedesca Peppermint Jam Records GMbH, chiede il risarcimento dei danni e la cancellazione di file musicali di artisti di cui la casa detiene i diritti di sfruttamento del diritto d’autore e che sarebbero stati messi a disposizione di altri utenti di internet attraverso programmi di file sharing.
La Peppermint con un apposito software (definito antipirateria) ha raccolto e registrato i dati relativi agli utenti connessi in rete, rei di effettuare attività di condivisione in reti P2P di opere tutelate in violazione del diritto di cui all’art. 16 L.d.A. Con tali dati a disposizione la Peppermint ha successivamente presentato avanti il Tribunale di Roma ricorso ex art.156 bis, L.633/41 ottenendo con ordinanza l’ordine nei confronti degli ISP di esibire i dati anagrafici degli utenti “schedati”.
Al di là delle poco condivisibili argomentazioni giuridiche esposte dal Tribunale sull’applicazione dell’art.156 bis, L.633/41, ciò che lascia perplessi e stupiti è l’assoluta carenza di valutazione circa possibili violazioni delle disposizioni legislative a tutela dei dati personali.
I dati possono essere trattati solo con il consenso espresso dell'interessato e previa informativa -art.23, D.Lvo 196/03 (sanzionato penalmente dall’art.167) - ma soprattutto, ai sensi dell’art.122, D. L.vo 196/03, è vietato espressamente l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente stesso. Sebbene il disposto dell’art.122 non sia sanzionato penalmente (sic!), va detto che ai sensi dell’art.11, 2° co., del medesimo codice i dati personali trattati in violazione della disciplina in materia di trattamento dei dati personali non possono essere utilizzati ed il danno anche non patrimoniale che ne deriva è risarcibile ai sensi dell’art.15, D. L.vo 196/03.
mercoledì 29 novembre 2006
Smart card per autobus e metro a prova di privacy (Garante Privacy – Newsletter n. 282 de 16 ottobre 2006)
Sì all'uso di smart card per salire su metro e autobus, ma no al controllo degli spostamenti degli abbonati. Tempi di conservazione limitati e solo dati anonimi per monitorare flussi di traffico e effettuare analisi statistiche. Nuove tecnologie e diritti dei cittadini possono convivere.
Queste le principali prescrizioni che il Garante ha dato a tutela della privacy degli abbonati. alle aziende di trasporto che hanno introdotto tessere di abbonamento elettroniche nominative dotate di microchip, in cui sono contenute una serie di informazioni, tra le quali il numero identificativo dell'abbonamento, la data di scadenza, il luogo e l'ora di convalida ogni volta che il passeggero utilizza la tessera mediante gli appositi lettori presso i tornelli di ingresso della metro o sui mezzi di superficie per usufruire del servizio pubblico.
Sulla base delle indicazioni del Garante le società dovranno utilizzare tessere elettroniche che consentano di memorizzare al proprio interno i dati degli utenti solo per un numero ridotto di convalide. Il Garante ha ritenuto infatti sufficiente, per verificare eventuali malfunzionamenti della tessera e controllarne il suo uso regolare, la registrazione di non più di 5 convalide.
Ridotti a 72 ore anche i tempi di conservazione dei dati di convalida raccolti nel data base centralizzato aziendale, periodo ritenuto sufficiente per controllare anomalie, annotare furti o smarrimenti e provvedere al rilascio di una nuova tessera, dopodiché i dati vanno resi anonimi.
Le aziende di trasporto dovranno infine garantie l'informativa agli abbonati rendendo "trasparenti" le tipologie di dati raccolti, loro modalità d'uso e specificando chiaramente le finalità perseguite, come ad esempio il contrasto alle falsificazioni degli abbonamenti, delle tessere e dei titoli di viaggio.
Pagine di Risultato >>
1
2
3
|
|
|
|
|
|
NEWS
Rubrica di informatica e diritto a cura della dott.ssa Loredana NARDUCCI
|
|
|
|
È stato pubblicato sulla Gazzetta Ufficiale del 28 gennaio 2009 n. 22 il Decreto Legge 29 novembre 2008 n. 185, convertito nella Legge 28 gennaio 2009 n. 2, che rende obbligatoria la PEC (Posta Elettronica Certificata).
Ai sensi dell’art. 16, co. 6 del dettato normativo, le imprese costituite in forma societaria sono tenute ad indicare il proprio indirizzo di posta elettronica certificata nella domanda di iscrizione al registro delle imprese ed entro tre anni dalla data di entrata in vigore del decreto, tutte le imprese saranno tenute a comunicare al registro delle imprese il proprio indirizzo di posta elettronica certificata. L’iscrizione dell’indirizzo di posta elettronica certificata nel registro delle imprese e le sue successive eventuali variazioni sono esenti dall’imposta di bollo e dai diritti di segreteria.
Il termine per adeguarsi è invece di un anno per i professionisti iscritti in albi ed elenchi istituiti con legge dello Stato, che ai sensi del co. 7 del medesimo articolo, debbono comunicare ai rispettivi ordini o collegi il proprio indirizzo di posta elettronica certificata entro un anno dalla data di entrata in vigore del presente decreto; prevede invece il co. 8 che le amministrazioni pubbliche istituiscono una casella di posta certificata per ciascun registro di protocollo (senza che venga stabilito un termine) e ne danno comunicazione al Centro nazionale per l’informatica nella pubblica amministrazione, che provvede alla pubblicazione di tali caselle in un elenco consultabile per via telematica.
Le comunicazioni tra i soggetti di cui ai commi 6, 7 e 8 del presente articolo, che abbiano provveduto agli adempimenti ivi previsti, possono essere inviate attraverso la posta elettronica certificata senza che il destinatario debba dichiarare la propria disponibilità ad accettarne l’utilizzo.
|
|
|
|
Il provvedimento del Garante Privacy del 27 novembre 2008 ha introdotto modalità semplificate di applicazione delle misure minime di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali.
Già con l’art. 29 del decreto legge 25 giugno 2008 come modificato dalla legge di conversione 6 agosto 2008, n. 133, erano state approvate alcune semplificazioni relative ai trattamenti effettuati con strumenti elettronici da parte dei soggetti che utilizzano soltanto dati personali non sensibili e che trattano, come unici dati sensibili, quelli inerenti allo stato di salute o alla malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero all'adesione a organizzazioni sindacali o a carattere sindacale. Per questi casi, la tenuta di un aggiornato documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) del Codice) è stata sostituita da un obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. Due le ragioni dello scarso successo della misura di semplificazione: da un lato la platea ristrettissima di soggetti potenzialmente beneficiari, dall’altro l'alto livello di responsabilità anche penale connessa alla dichiarazione sostitutiva di assolvimento degli obblighi di sicurezza, anche considerato che per i non esperti del settore è difficile essere sicuri della regolarità dei trattamenti.
In relazione ai trattamenti sopra menzionati per i quali è stata introdotta l’autocertificazione, ma anche per quelli effettuati da chiunque per correnti finalità amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante ha individuato con il provvedimento in discussione nuove modalità volte a semplificare incisivamente l'applicazione di varie regole contenute nell'Allegato B) al Codice Privacy.
Queste le principali novità introdotte.
Fermo restando che come detto sopra per alcuni casi è già previsto per disposizione di legge che si possa redigere un'autocertificazione in luogo del documento programmatico sulla sicurezza, è stata introdotta la possibilità di redigere prima dell'inizio del trattamento un documento programmatico sulla sicurezza dal contenuto semplificato e che deve essere aggiornato entro il 31 marzo di ogni anno solo nel caso in cui, nel corso dell'anno solare precedente, siano intervenute modifiche rispetto a quanto dichiarato nel precedente documento.
Il documento deve avere i seguenti contenuti: le coordinate identificative del titolare del trattamento, e se designati, dei responsabili e degli incaricati del trattamento. Nel caso in cui l'organizzazione preveda una frequente modifica dei responsabili e degli incaricati designati, potranno essere indicate le modalità attraverso le quali è possibile individuarne l'elenco aggiornato; una descrizione generale del trattamento o dei trattamenti realizzati, le finalità del trattamento, le categorie di persone interessate e dei dati o delle categorie di dati relativi alle medesime, nonché i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; una descrizione delle altre misure di sicurezza adottate per prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Tra le maggiori semplificazioni previste per i trattamenti effettuati tramite strumenti elettronici vi è anche la previsione che le istruzioni in materia di misure minime di sicurezza previste dall'Allegato B) possono essere impartite agli incaricati del trattamento oralmente (non è più necessaria la forma scritta), con indicazioni di semplice e chiara formulazione; inoltre, per l'accesso ai sistemi informatici si può utilizzare un qualsiasi sistema di autenticazione basato su un codice per identificare chi accede ai dati (username), associato a una parola chiave (password), in cui l'username venga disattivato quando l'incaricato non ha più titolo per accedere ai dati (trasferimento, cessazione dal servizio). Non si prevede più espressamente l’automatica scadenza dell’username per non uso semestrale, l'obbligo di almeno otto caratteri per la password e l'obbligo di modifica della password con cadenza trimestrale (per i dati sensibili) o semestrale (per i dati comuni). Termini più lunghi sono inoltre previsti per il backup dei dati che non è più obbligatorio settimanalmente ma solo mensilmente e per l’aggiornamento dei programmi di sicurezza che diventa annuale.
Infine, per i trattamenti realizzati senza l'ausilio di strumenti elettronici il provvedimento in materia di semplificazioni dispone che quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dai medesimi incaricati fino alla restituzione, in modo che a essi non accedano persone prive di autorizzazione e sono restituiti al termine delle operazioni affidate; le istruzioni agli incaricati, finalizzate al controllo e alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali sono impartite anche solo oralmente.
Se da un lato la semplificazione di alcuni adempimenti appariva opportuna, dall’altro questo nuovo provvedimento del Garante rischia di creare ulteriore confusione, in particolare sui destinatari delle agevolazioni e di svuotare la normativa in materia di protezione dei dati personali. Pertanto è fondamentale che ciascuna organizzazione aziendale e professionale, nell’individuare le misure di sicurezza da adottare, non consideri la normativa in materia di privacy soltanto come un obbligo cui adempiere per il pericolo delle sanzioni, ma si concentri sulle effettive esigenze della propria realtà aziendale con il fine della protezione dei dati personali ed in particolare sensibili.
|
|
|
|
Dal 1° luglio 2008 la fatturazione dettagliata del traffico telefonico conterrà, in assenza di esplicita richiesta di oscuramento con 'asterischi' da parte dell'abbonato, anche l'indicazione delle ultime 3 cifre in chiaro di ciascun numero telefonico chiamato. E' quanto prevede il Provvedimento 13 marzo 2008 (pubblicato in Gazzetta Ufficiale 3 aprile 2008, n. 79) con il quale il Garante della Privacy ha reso più trasparente il rapporto tra gestori telefonici ed abbonati, i quali potranno più facilmente controllare l'esattezza delle chiamate addebitate.
Spetterà alle compagnie telefoniche avvertire i propri clienti attraverso un'idonea informativa da inserire all'interno di almeno due fatture e nel proprio sito web, specificando che tutti gli abbonati che abbiano chiesto o chiederanno la fatturazione dettagliata la riceveranno in chiaro", salvo che non richiedano il mascheramento delle ultime tre cifre.
|
|
|
|
L’art. 616 comma 1 c.p. punisce la condotta di “chiunque prenda cognizione del contenuto di una corrispondenza chiusa, a lui non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta, ovvero, in tutto o in parte, la distrugge o sopprime”.
Ciò posto, è indiscussa l’estensione della tutela anche alla corrispondenza informatica o telematica (art. 616 comma 4 c.p.); deve tuttavia ritenersi che tale corrispondenza possa essere qualificata come “chiusa” solo nei confronti dei soggetti che non siano legittimati all’accesso ai sistemi informatici di invio o di ricezione dei singoli messaggi. Infatti, diversamente da quanto avviene per la corrispondenza cartacea, di regola accessibile solo al destinatario, è appunto la legittimazione all’uso del sistema informatico o telematico che abilita alla conoscenza delle informazioni in esso custodite. Sicché tale legittimazione può dipendere non solo dalla proprietà, ma soprattutto dalle norme che regolano l’uso degli impianti. E quando in particolare il sistema telematico sia protetto da una password, deve ritenersi che la corrispondenza in esso custodita sia lecitamente conoscibile da parte di tutti coloro che legittimamente dispongano della chiave informatica di accesso. Anche quando la legittimazione all’accesso sia condizionata, l’eventuale violazione di tali condizioni può rilevare sotto altri profili, ma non può valere a qualificare la corrispondenza come “chiusa” anche nei confronti di chi sin dall’origine abbia un ordinario titolo di accesso.
Nel caso in esame è indiscusso, e ne dà atto lo stesso ricorrente, che le password poste a protezione dei computer e della corrispondenza di ciascun dipendente dovevano essere a conoscenza anche dell’organizzazione aziendale, essendone prescritta la comunicazione, sia pure in busta chiusa, al superiore gerarchico, legittimato a utilizzarla per accedere al computer anche per la mera assenza dell’utilizzatore abituale. Ne consegue che del tutto lecitamente il superiore gerarchio prese cognizione della corrispondenza informatica aziendale della sua dipendente, utilizzando la chiave di accesso di cui legittimamente disponeva. Infatti, secondo le prescrizioni del provvedimento del Garante per la protezione dei dati personali n. 13 dell’1 marzo 2007, i dirigenti dell’azienda accedono legittimamente ai computer in dotazione ai propri dipendenti, quando delle condizioni di tale accesso sia stata loro data piena informazione.
|
|
|
|
L’evoluzione delle tecniche informatiche e telematiche comporta un incremento continuo di condotte criminose che configurano il delitto di frode informatica previsto all’art. 640 ter del Codice Penale.
Il phishing è un’attività che consiste nell'utilizzo di comunicazioni elettroniche, soprattutto messaggi di posta elettronica o messaggi istantanei, per ottenere l'accesso a informazioni personali o riservate con la finalità del furto d’identità: Lo scopo è quello di carpire informazioni personali riguardanti l’account, le passwords di accesso a servizi di home-banking oppure acquisire fraudolentemente informazioni riguardanti la carta di credito.
Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi:
1. l'utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).
2. l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio la scadenza dell'account).
3. l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione.
4. il link fornito, tuttavia, non porta al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.
Un primo controllo per difendersi dai siti di phishing che tentano di sottrarre i dati della carta di credito, è quello di visualizzare l'icona a forma di lucchetto in tutti i browser, che segnala che sì è stabilita una connessione sicura (ad esempio una connessione SSL); la pagina di autenticazione è facilmente imitabile, copiando il relativo codice HTML, mentre la presenza di una connessione sicura richiede dei certificati che identificano univocamente un sito Internet. Esistono anche programmi specifici come la barra anti-phishing di Netcraft e anche liste nere (blacklist), che consentono di avvisare l'utente quando visita un sito probabilmente non autentico. Gli utenti di Microsoft Outlook/Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar inserito nel MS Outlook / MS Outlook Express con il quale si può trovare i link sospetti in un'e-mail.
|
|
|
|
|
|
La nostra
proposta per adeguare la tua attività alla nuova normativa.
Scopri
dove siamo e come contattarci.
