Sicurezza Informatica e PA / pt2

 

Riprendiamo il tema già introdotto in precedente articolo di qualche mese fa.

Negli ultimi 3 anni, la crescente necessità di poter contare su reti ed infrastrutture sicure ed affidabili ancor prima che efficienti, nonché l'evoluzione dei moderni sistemi informatici verso il Cloud, cioè un unico punto centrale in cui raccogliere una grossa quantità di dati che diventa quindi ad alta sensibilità, ha indotto DigitPA ad imporre con maggior forza la sua posizione.

Il 30 dicembre 2010 il Decreto Legislativo n. 235 apporta importanti modifiche al Codice dell’Amministrazione Digitale.
In particolare nell' articolo 50-bis si evidenzia l'obbligo per le P.A. di predisporre degli adeguati piani di emergenza atti a garantire il ripristino dei sistemi informativi ed il ritorno alla normale operatività a seguito di incidenti informatici. Nello specifico sarà obbligatoria la pianificazione di “un piano di continuità operativa (comma 3, punto a), inclusivo del piano di disaster recovery (comma 3, punto b), da parte di tutte le pubbliche amministrazioni, entro 15 mesi dalla data di entrata in vigore del D.Lgs. 235/2010 (25.01.2011)” e “la stesura, preventiva al precedente adempimento, di un apposito studio di fattibilità, sul quale deve essere obbligatoriamente richiesto parere di DigitPA (comma 4).
L'importante articolo 51 del CAD invece stabilisce fondamentali specifiche tecniche per garantire allo stesso tempo la sicurezza e la disponibilità dei dati sensibili all'interno dei sistemi informativi, rendendo per la prima volta il contesto dipendente da linea guida ad-hoc ed non solo dalle indicazioni stabilite dal Codice della Privacy ed in particolare nell' allegato B.
In questo contesto DigitPA non manca di rafforzare il suo ruolo assumendosi l'onere di monitorare sull'applicazione delle direttive, segnalarndo al Ministero competente le amministrazioni inadempienti rispetto alle citate regole tecniche, e predisponendo valutazioni, relazioni, studi di fattibilità e procedure di valutazione in merito.

Con comunicazione sulla Gazzetta Ufficiale n. 295 del 20 dicembre 2011, DigitPA ha poi predisposto delle Linee guida sulla Continuità Operativa, offrendosi al contempo come organo consultivo e di supporto alle amministrazioni che volessero avviare progetti coordinati per la salvaguardia dei propri sistemi informativi nella logica della razionalizzazione degli investimenti nella P.A. Un progetto simile infatti era già stato avviato nel 2003 quando avvalendosi dell'iniziativa già intrapresa dall' INPS l'anno precedente, DigitPA ebbe un ruolo di coordinamento nella costruzione del Centro unico di Backup degli istituti previdenziali e assicurativi (CUB) al quale hanno aderito INPS, INAIL, INPDAP, entrato nella fase operativa il 27 giugno 2005 e collaudato il 22 settembre 2007.
A proposito il 1 dicembre 2011 viene emanata una Circolare indicante le modatità di richiesta del parere di DigitPA sui temi precedenti, riguardo all'adozione di nuovi piani ed infrastruttire informatiche.

In quest'ultimo periodo quindi, i cambiamenti sono stati pochi ma assolutamente significativi. Ad oggi, vista la prevista sostituzione di DigitPA con l'Agenzia per l'Italia Digitale ed il varo del decreto denominato “Digitalia” le carte saranno destinate ad essere rimescolate ancora una volta, tuttavia per ora scegliamo di concentrarci sull'attuale situazione a cui devono fare fronte le Pubbliche Amministrazioni.
Riassumendo gli strumenti principali ogni PA deve predisporre sono:

  • Il piano di continuità operativa, che “fissa gli obiettivi e i principi da perseguire, descrive le procedure per la gestione della continuità operativa, anche affidate a soggetti esterni. Il piano tiene conto delle potenziali criticità relative a risorse umane, strutturali, tecnologiche e contiene idonee misure preventive. Le amministrazioni pubbliche verificano la funzionalità del piano di continuità operativa con cadenza biennale.”;
  • Il piano di disaster recovery, che “stabilisce le misure tecniche e organizzative per garantire il funzionamento dei centri di elaborazione dati e delle procedure informatiche rilevanti in siti alternativi a quelli di produzione. DigitPA, sentito il Garante per la protezione dei dati personali, definisce le linee guida per le soluzioni tecniche idonee a garantire la salvaguardia dei dati e delle applicazioni informatiche, verifica annualmente il costante aggiornamento dei piani di disaster recovery delle amministrazioni interessate e ne informa annualmente il Ministro per la pubblica amministrazione e l’innovazione.”;

Ovviamente le soluzioni tecniche atte all'adempimento di tali obblighi sono variabili e commisurati al tipo ed alle dimensioni dell'Amministrazione che potrà scegliere in maniera autonoma le migliori opportunità e prodotti a lei adatti. Come già detto DigitPA si offre come organo di supporto per la valutazione delle proposte tecniche, ma nel corso del tempo ha già fornito una ampia documentazione ed una serie di strumenti utili ad autovalutazioni e a facilitare studi autonomi.
In particolare è stato predisposto un modello denominato Studio di Fattibilità Tecnica che permette di riassumere i progetti da loro avanzati secondo una linea comune a tutte le amministrazioni.
Nel sito di DigitPA inoltre sono a disposizione alcuni strumenti (fogli di calcolo avanzati e software) utili ad un immediata autovalutazione sulla sensibilità dei serivizi prestati e quindi sulla priorità delle soluzioni da adottare. I risultati di questi calcoli possono essere confrontati con delle scale di valori che se ben interpetate possono indicare la soluzione tecnica adatta ad ogni tipo di servizio.
L'autovalutazione si basa sull'identificazione di tre direttrici: La tipologia di servizio erogato, la complessità organizzativa e la complessità tecnologica. Dalle linee guida per la compilazione ricaviamo: “La direttrice del servizio consente di far rientrare nella valutazione aspetti legati alla tipologia, numerosità e criticità dei servizi erogati, in termini di danno per l’organizzazione e/o per i suoi utenti in caso di mancata erogazione del servizio stesso; La direttrice della complessità della organizzazione consente di far rientrare nella valutazione aspetti legati alla complessità amministrativa e strutturale dell’organizzazione, al fine di stimare il dimensionamento delle soluzioni tecniche da adottare; La direttrice della tecnologia consente di far entrare nella valutazione aspetti legati al fattore tecnologico in termini di dimensione e complessità, al fine di poter stimare la tipologia e la natura delle soluzioni tecniche da adottare.
Ogni direttrice ha degli indicatori ad-hoc, da cui si giunge ad un indicatore complessivo di criticita’, i cui livelli sono raggruppati in 4 classi di rischio ognina associata alla soluzioni tecnologiche più adatte, denominate TIERS.
Sempre dalle linee guida riportiamo:

  • TIER 1: Backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza;
  • TIER 2: Backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza.
  • TIER 3: Backup dati e conservazione presso un altro sito con spazi attrezzati per accogliere risorse elaborative in caso di disastro, con garanzia della disponibilità di risorsa di elaborazione in emergenza.
  • TIER 4: La soluzione prevede che le risorse elaborative, garantite coerenti con quelle del centro primario, siano sempre disponibili, permettendo la ripartenza delle funzionalità in tempi rapidi.
  • TIER 5: La soluzione è analoga a quella del Tier4, con la differenza che l’aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi aggiornamenti.
  • TIER 6: La soluzione è analoga a quella del Tier4, con la differenza che l’aggiornamento finale dei dati avviene solo quando entrambi i siti hanno eseguito e completato i rispettivi aggiornamenti.

In conclusione, la Normativa Italiana presenta un quadro legislativo non carente, e che sulla carta obbliga senza alcun dubbio ogni amministrazione ad essere in regola con standard e requisiti minimi necessari alla sicurezza, interperiobilità, accessibilità e disponibilità dei dati, nonché alla stessà continuità operativa dei servizi offerti. Le operazioni decisionali e pratiche tuttavia non posso che essere lasciate in mano agli stressi enti sul terriotrio, che non sempre sono sensibili ai temi trattati o non hanno le capacità finanziarie per operare verso un miglioramento delle loro strutture.
Ricordiamo però che nell'era del ritorno alla centralizzazione dei servizi e alla progressiva eliminazione della burocrazia in forma cartacea, i servizi degitali assumono un ruolo estremamente sensibile, in cui senza voler esagerare ogni piccola mancanza può portare a risultati estremante tragici ed imprevisti. Anche se le carenze sono ancora molte, l'attenzione verso questi temi nella Pubblica Amministrazione sta crescendo giorno dopo giorno e ci auguriamo che la semplice attuazzione delle normative in vigore possa un giorno diventare risultato alla portata di qualsiasi servizio pubblico.

 

RIFERIMENTI:
http://www.digitpa.gov.it/
http://www.interlex.it/pa/d_bruschi.htm
http://www.clusit.it/

Articoli Correlati

  • No Related Posts

Sicurezza Informatica e PA / pt 1

In un precedente articolo avevamo proposto un'analisi sull'evoluzione delle normative inerenti ai temi di privacy e sicurezza dei dati nell'ultimo periodo. Da una visione completa dell'insieme si nota con evidenza che dopo alcuni anni di 'costruzione' e 'definizione' delle problematiche, dei ruoli e degli obblighi in materia, le ultime indicazioni arrivate dal legislatore tendono pian piano a semplificare e razionalizzare il complesso giuridico.
Tuttavia per quanto riguarda l'ambito Pubblica Amministrazione si sta andando in controtendenza. Le ultime indicazioni di DigitPA infatti stanno definendo obblighi sempre più precisi, stabilendo con chiarezza ambiti di applicazioni ed indicando suggerimenti e best-practice per permettere soprattutto agli enti locali di riconoscere le proprie mancanze e giungere nel tempo ad un livello di stabilità relativo alla parte informatica che garantisca la piena sicurezza dei dati ed il rapido ripristino delle attività in caso di incidente informatico.
Ad oggi infatti la sensazione (soggettiva) che molte PA locali debbano ancora fare molti passi in avanti per garantire un grado di sicurezza ICT accettabile è ancora diffusa, nonostante il piano normativo anche se un poco farraginoso e complesso già da anni si sia sufficientemente espresso.
In questo primo articolo analizzeremo il contesto storico (moderno) Italiano esclusivamente riguardo le correlazioni tra ICT e sicurezza ( tralasciando perciò il vasto complesso generale della Digital Governance e delle sue varie evoluzioni nel tempo), per poi proporre più avanti un secondo articolo contenente le ultime evoluzioni approfondendo in particolare il ruolo di DigitPa.

La politica italiana incomincia ad interessarsi concretamente di sicurezza informatica e del rapporto di quest'ultima con gli obblighi di privacy nel gennaio 2002 quando la Presidenza del Consiglio dei Ministri emana una direttiva sulla sicurezza ICT con la quale invita le PA ad ad effettuare una propria autovalutazione in merito e ad allinearsi ad una base minima di sicurezza tecnicamente definita negli nallegati alla direttiva. Al contempo il Dipartimento per l'Innovazione per le Tecnologie della Presidenza del Consiglio dei Ministri ed il Ministero delle comunicazioni si sarebbero impegnati a “[…] Promuovere la creazione e la successiva attivazione di un modello organizzativo nazionale di sicurezza ICT […] Costituire un comitato nazionale della sicurezza ICT […] Definire uno schema nazionale di riferimento […] Formulare il piano nazionale della sicurezza ICT della PA […] Realizzare la certificazione di sicurezza ICT nella PA […]”.
Ad aprile dello stesso anno sempre la Presidenza del Consiglio emana la direttiva denominata “Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione” con il quali si pongono le basi giuridiche “… per la valutazione e la certificazione della sicurezza nel settore delle tecnologie dell'informazione per la tutela delle informazioni classificate disciplina le linee essenziali per la definizione dei criteri e delle procedure da osservare per il funzionamento degli organismi di certificazione e per la valutazione dei prodotti e dei sistemi che gestiscono informazioni classificate.” In particolare viene appositamente definita un nuovo tipo di soggetto denominato Centro di Valutazione che dovrà rispondere ad alcune caratteristiche tecniche e sarà regolamentato nei rapporti con il cliente o "valutato".
Pochi mesi dopo a luglio viene istituito con termine al 31/12/2004 il Comitato Tecnico Nazionale sulla Sicurezza ICT con il compito di coordinare i lavori per il raggiungimento degli obiettivi prefissati con la direttiva di gennaio 2002.

Si passa quindi ad ottobre 2003 quando sempre con un decreto della presidenza del consiglio viene adottato il nuovo Schema Nazionale per la certificazione di sicurezza di prodotti e sistemi ICT, che si basa sugli standard ISO ITSEC e Common Criteria.
La sensazione è comunque che ci sia ancora molta strada da percorrere, ed infatti a dicembre dello stesso anno però in un ulteriore decreto viene precisato:
"Gli impegni indicati nella direttiva del marzo 2002 (autovalutazione del livello di sicurezza,
adeguamento alla «base minima» di sicurezza), al momento, non sono ancora compiutamente
realizzati. Le amministrazioni dovranno, pertanto, al più presto, adeguare le propria struttura,
almeno, ai livelli di sicurezza minimi richiesti, rivolgendo l'attenzione sia all'ambito organizzativo
che alla realizzazione di attività operative.
"
A Marzo 2004 il Comitato sulla Sicurezza ICT predispone un fondamentale documento chiamato Proposte concernenti le strategie in materia di Sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione dove viene riassunta tutta l'attività del Comitato. Ampia imprtanza viene data agli interventi di formazioni presso gli enti locali, alla sensibilizzazione sui temi di continuità operativa e analisi dei rischi, al favorire il ricorso a standard di sicurezza, e sopratutto ad una nuova struttura denominata GOVCERT.IT (poi CERT-SPC) con lo scopo di diventare punto di riferimento per le P.A in tema di attacchi informatici, tecniche di intrusione, vulnerabilità, minacce e patch.

Finalmente a Marzo 2006 il CNIPA pubblica il Piano Nazionale della sicurezza delle tecnologie dell’informazione e comunicazione della pubblica amministrazione che stabilisce le azioni necessarie per l' attuazione della sicurezza informatica e contiene al suo interno anche il Modello Organizzativo Nazionale di sicurezza ICT per la PA che invece definisce i processi e le strutture con cui attuare le azioni del Piano Nazionale.
A partire dal 2005 però importanti indicazioni arrivano anche dal Sistema Pubblico di Connettività definito dal Codice dell'Amministrazione Digitale dove sebbene in via generale vengono definite regole, metodi e best-practice (come la nomina di un Computer Emergency Response Team, CERT) per l'ambito di sicurezza nella PA, prestando attenzione a tutti gli aspetti logici, infrastrutturali, dei servizi, e dell’organizzazione.
Infine si ricorda anche nell'aprile 2008 il decreto denominato "Individuazione delle infrastrutture critiche informatiche di interesse nazionale" che sottolinea la sensibilità delle informazioni trattate da alcuni organismi della PA istituendo tra l'altro il C.N.A.I.P.I.C. Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche sotto il controllo della Polizia Postale e delle Comunicazioni.

Nei prossimi giorni come già spiegato proporremmo un ulteriore articolo con le evoluzioni avute negli ultimi 3 anni circa illustrando le specifiche indicazioni e richieste pervenute dal legislatore e da DigitPA nei confronti degli Enti Locali, fornendo anche alcune nostre considerazioni e proposte tecniche per lo sviluppo dei nuovi Sistemi Informatici nelle PA in previsione dell'adeguamento alle novità.

 

RIFERIMENTI:
http://www.interlex.it/pa/d_bruschi.htm
http://www.isticom.it/documenti/evidenza/intervento_guida.pdf
http://archivio.cnipa.gov.it/site/it-IT/Normativa/Raccolta_normativa_ICT/Sicurezza_informatica/
http://www.clusit.it/

Articoli Correlati

Le ultime evoluzioni sulla privacy

Nell'ultimo periodo la Commissione Europea ha discusso un' importante riforma del regolamento sulla privacy con lo scopo di unificare la legislazione in materia all'interno dei paesi EU e sostituire la direttiva 95/46/CE. A differenza delle Direttive che consentono agli Stati Membri di interpretare ed applicare con modalità diverse le norme, i Regolamenti Europei vengono trasformati direttamente in legge nazionale da ogni stato con minima possibilità di modifica. E perciò evidente che questo avrà un importante impatto sul nostro Codice della Privacy, e potrebbe portare ad ulteriori sconvolgimenti.
Il primo passo però sta già venendo discusso in questi giorni, infatti il Consiglio dei Ministri ha dato il via ai lavori di esame preliminare al decreto legislativo per l'attuazione della direttiva europea in tema di servizio universale e diritti degli utenti in materia di reti e servizi di comunicazione elettronica, della direttiva europea sul trattamento dei dati personali e tutela della privacy nel settore delle comunicazioni elettroniche, del regolamento comunitario sulla cooperazione tra le Autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori. Questa normativa dovrebbe servire a ribadire la responsabilità degli operatori in caso di incidenti informatici a tutela di utenti e consumatori.

Oltre a ciò è però utile ricordare che il testo Italiano sulla privacy negli ultimi dodici mesi ha già subito importante modifiche:

A maggio 2011 infatti oltre ad alcuni accorgimenti per i sistemi bancari venivano infatti decise varie semplificazioni normative riguardanti le persone giuridiche, mentre a dicembre dello stesso anno avveniva la rivoluzione limitando il concetto di dato personale soltanto all'ambito delle persone fisiche.

Il 9 febbraio 2012 con il DDL Semplificazioni è stato infine abrogata l' obbligarietà della redazione del Documento Programmatico sulla Sicurezza e Privacy (DPS).
E' nostra opinione però che sia buona norma per ogni azienda, sopratutto se tratta dati sensibili o giudiziari, tenere comunque aggiornato un proprio documento interno simile al vecchio modello di DPS per la guida alla gestione dei sistemi informativi e la continuità operativa allo scopo di avere il sotto controllo e garantire la tracciabilità dei dati, che rimangono comunque un fattore di criticità per ogni organizzazione.

Articoli Correlati

Sanità Elettronica su Novà del Sole 24 Ore

L'importante è che se ne parli. Dopo l'allarme lanciato dal presidente dell'Autorità Garante sulla Privacy di cui abbiamo parlato su un precedente post, oggi Novà del Sole24Ore dedica ampio spazio alla discussione sulla Sanità Digitale con questo articolo che riportiamo.
La speranza è che questi siano i primi passi verso l'inizio di una discussione mediatica che traini quella normativa.
 

La spesa complessiva in informatica e tecnologie (Ict) per la sanità è di 1,3 miliardi di euro, pari a circa l'1,1% del costo totale. Fanno 22 euro per abitante. Poco, sostiene l'Osservatorio Ict in Sanità nel 2012 della School of Management del Politecnico di Milano in un rapporto che verrà diffuso martedì. Poco, se si considerano altri paesi con sistemi sanitari confrontabili. Molto se si considera che dal 2005 al 2011 quella sanitaria è l'unica voce di spesa in Ict che cresce rispetto a tutta la pa. Eppure, anche questi investimenti potrebbero essere a rischio. «Effettuare tagli al sistema sanitario italiano non è facile», si legge nel rapporto. «Esiste una sola leva che potrà consentire di conciliare in futuro la qualità del servizio e il controllo della spesa: l'innovazione, che nelle nuove tecnologie, e in particolare nel virtual health, trova un suo driver fondamentale».

Dentro virtual health o e-health ci sono tecnologie e servizi, soluzioni per la medicina sul territorio, monitoraggio, prevenzione e cura a distanza per ridurre i costi della gestione dell'ospedalizzazione, in particolare della popolazione anziana e dei cronici. L'esigenza è spostare l'assistenza dall'ospedale verso il territorio, diminuendo in modo rilevante la degenza e i costi di assistenza. L'area del Long Term Care è infatti tra quelle che maggiormente preoccupa chi deve far quadrare i conti della sanità. «L'opportunità di introduzione di innovazione in queste aree è oggi enorme – commenta Mario Salerno di Fondazione Filarete -. Senza dimenticare le possibilità fornite dalla disponibilità di enormi quantità di dati il cui utilizzo può avere impatti significativi su analisi epidemiologiche e sulla gestione della salute pubblica»,. Il solo effetto della deospedalizzazione, ad esempio, può valere oltre tre miliardi di euro l'anno. Confindustria l'anno scorso ha calcolato che la telemedicina, da sola, farebbe risparmiare 7,3 miliardi, ricetta digitale e fascicolo sanitario congelerebbero a loro volta altri quattro miliardi.

«Potremmo assistere alla tempesta perfetta, a una singularity tecnologica che vede l'healthcare da un lato e digitale e internet delle cose dall'altro convergere e alimentarsi a vicenda», spiega Leandro Agrò, global director user experience di Publicis Healthware International, azienda che offre servizi di consulenza strategica e comunicazione digitale in ambito healthcare. Paradossalmente la sanità che ha conosciuto per ultima il web lo cavalcherà meglio di editori, banche e telco. Negli Stati Uniti otto medici su dieci posseggono un tablet e lo usano per il loro lavoro. Esistono tra i sei e sette braccialetti che monitorano pressione, battito cardiaco, temperatura, di poche decine di dollari. Diverse centinaia di applicazioni per smartphone che ci monitorano ogni singolo istante della nostra vita. Il processo a cui stiamo assistendo parte dall'accesso all'informazione medica, oggi democratizzato dalla vastità di opportunità disponibili in rete. Ma prosegue cavalcando devices di monitoraggio nati per il wellness che si stanno sempre più integrando con profili medici, e da lì risale verso un futuro di autodiagnosi e autocura. Leandro Agrò sintetizza questo fenomeno con 'consumerizzazione dell'healthcare'. E si spinge oltre. I prossimi tre step sono informazione (epatients), monitoraggio (self tracking), autodiagnosi (Ai), autocura. Oggi, si legge in un Whitepaper di prossima pubblicazione, saremmo solo alla prima fase, quella degli epatients.

In Italia sull'onda del britannico Patience Opinion e dello statunitense Patientslikeme già da qualche anno è attivo Patienti.it, fondato da una giovane medico, Linnea Passaler. «I pazienti che mi arrivavano ‐ ricorda – spesso erano all'oscuro di informazioni fondamentali per la loro salute. Se avessero scelto con più cura dove affidarsi avrebbero avuto esiti diversi. Da qui è nata la voglia di dare un servizio che permettesse a chiunque, anche a chi non avesse conoscenze di medici, di informarsi e di scegliere consapevolmente». Pazienti.it oggi raccoglie migliaia di informazioni, recensioni, dati su tutte le strutture sanitarie italiane. Informazioni che continuano ad aumentare, eppure, il dialogo tra tecnologi, medici e istituzioni è tutt'altro che sereno, almeno in Italia. I pazienti, spiega la Passaler, diventano sempre più consumatori di salute, «pretendono più servizi, più qualità a costi più bassi. La medicina è invece ancora arroccata su posizioni molto paternalistiche, si mette poco in discussione; il sistema sanitario è basato su diritti acquisiti che riteniamo sacrosanti ma che diventano sempre più difficili da garantire con il prolungarsi dell'età». Queste due istanze apparentemente opposte producono attriti fortissimi.

L'altro terreno scivolosissimo è quello della privacy e del trattamento dei dati sensibili soprattutto se riferiti alla salute. Questi servizi innovativi in rete, lamentano i tecnologi, sono ostacolati da normative che rendono impossibile sbloccare le potenzialità di questo strumento. All'estero ci sono certamente meno limitazioni e forse anche per questo si sta sviluppando rapidamente la geomedicina, ovvero il posizionamento dei dati medicali sulla mappe per analizzarli alla luce del contesto. Così come le ricerca collaborativa attraverso gli open data delle università. Quest'anno scadranno importanti brevetti per Big Pharma. Le grandi del farmaco hanno iniziato a guardare in basso, al digitale, a vendere prodotto (farmaco) e servizio. Come? Tenendo d'occhio quel mondo di startup della salute che sta partendo. Nell'ultimo anno Rock Health, un acceleratore di seed capital ha finanziato ben 15 startup attive su mobile e web applicazioni. Anche qui da noi il biomedicale produce idee. Ogni mese Fondazione Filarete presenta e lancia startup attive nel settore biomedicale. All'ultima Filarete Healthy Startups di marzo, Roberto Lattuada di MyHealthbox ha raccontato la sua idea: progettare e distribuire bugiardini elettronici per medicinali e prodotti per la salute. Il 2 maggio Samuele Burastero, ricercatore al San Raffaele, proporrà Dya, un chip per scoprire in temi rapidi le allegrie. Non sarà solo. Con lui innovatori che racconteranno un'altra sanità possibile.

Fonte:http://www.ilsole24ore.com/art/tecnologie/2012-04-13/cura-digitale-sanita-165602.shtml

Articoli Correlati

Decreto semplificazioni: cosa cambia per la privacy

Nella tarda mattinata di ieri il governo ha posto la questione della fiducia alla Camera sul decreto legge in materia di semplificazione fiscale ed ha introdotto svariate semplificazioni e novità.

In questo articolo parleremo delle novità in tema Privacy (decreto legislativo 193/2003)

Con il decreto semplificazioni ufficialmente vengono abrogati una serie di articoli in cui si evince (ma si sapeva da tempo ormai) che non serve più il dps come documento da avere in azienda.

Infatti vengono abrogati alcuni punti  del disciplinare tecnico in materia di misure minime di sicurezza e precisamente tutto l'articolo 19 e l'articolo 26 che riportiamo:

 

Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

In sostanza: il famoso documento "DPS" sparisce. Ma si sapeva da tempo.

Il DPS è sempre stato un documento farraginoso e poco adottato dalle aziende in tutti i settori in quanto visto sempre come un qualcosa di inutile, un costo da sostenere per essere a norma. Molto spesso il documento era creato in forma automatica (decine di programmi che facevano in automatico o quasi il documento minimale e a norma di legge) oppure creato da consulenti senza scupolo per poche centinaia di euro con metodi di taglia e incolla. Dimenticando però lo spirito originario del sistema (e qui comincio a parlare di sistema per la sicurezza dei dati aziendali, non più DPS): Essere una guida per salvaguardare il patrimonio informativo della propria attività. Poche organizzazioni lo hanno inteso in questo modo.

Cosa succederà da oggi: probabilmente si dedicheranno ancora meno soldi al tema della sicurezza del proprio sistema informativo in quanto, erroneamente, si presuppone che non servendo più questo documento, il sistema potrà essere lasciato cosi' com'e'. Sbagliando. In quanto tutto il resto del sistema di sicurezza comunque deve essere garantito. Soprattutto in un' era in cui la digitalizzazione sta diventando sempre più pervasiva anche in settori che storicamente erano resti. Aprendo nuove prospettive di furto di dati digitalizzati anche sensibili.

Dal nostro punto di vista, condiviso da molti, il dps dovrà essere sostituito, all'interno dalle organizzazioni, da un manuale operativo per la gestione della sicurezza dei dati comuni, personali e sensibili.

Noi continueremo comunque nella nostra opera di sensibilizzazione sulla necessità della sicurezza del sistema informativo in quanto unico vero patrimonio delel organizzazioni.

Articoli Correlati

Pubblicati i dettagli di 100 milioni di account Facebook

Ron Bowes, sviluppatore del noto tool nmap, ha scritto un piccolo programma di scansione e lo ha lanciato sugli account pubblici di Facebook.

Il risultato? Un bel file di 2.8 GB contenente oltre 100 milioni di account dei quali è possibile sapere nome, cognome, ID, e molte altre informazioni lasciate pubblice.

Mi ricordo un’altra provocazione del genere di poco tempo fa: su un sito si mostrava chi non era a casa, raccogliendo i dati da questo sito social.

Comunque ecco una bella intervista dell’autore di questo “furto”:

Ron Bowes, a security consultant, used a piece of code to scan Facebook profiles, collecting data not hidden by the user’s privacy settings.

The list, which contains the URL of every searchable Facebook user’s profile, name and unique ID, has been shared as a downloadable file.

Mr Bowes told BBC News that he did it as part of his work on a security tool.

“I’m a developer for the Nmap Security Scanner and one of our recent tools is called Ncrack,” he said.

“It is designed to test password policies of organisations by using brute force attacks; in other words, guessing every username and password combination.”

By downloading the data from Facebook, and compiling a user’s first initial and surname, he was able to make a list of the most common probable usernames to use in the tool.

The three most common names, he found, were jsmith, ssmith and skhan.

In theory, researchers could then combine this list with a catalogue of the most commonly used passwords to test the security of sites. Similar techniques could be used by criminals for more nefarious means.

Mr Bowes said his original plan was to “collect a good list of human names that could be used for these tests”.

“Once I had the data, though, I realised that it could be of interest to the community if I released it, so I did,” he added.

Mr Bowes confirmed that all the data he harvested was already publicly available but acknowledged that if anyone now changed their privacy settings, their information would still be accessible.

“If 100,000 Facebook users decide that they no longer want to be in Facebook’s directory, I would still have their name and URL but it would no longer, technically, be public,” he said.

Mr Bowes said that collecting the data was in no way irresponsible and likened it to a telephone directory.

“All I’ve done is compile public information into a nice format for statistical analysis,” he said

Simon Davies from the watchdog Privacy International told BBC News it was an “ethical attack” and that more personal information had not been included in the trawl.

“This is a reputational and business issue for Facebook, for now,” he said

“They can continue to ride the risk and hope nothing cataclysmic occurs, but I would argue that Facebook has a special responsibility to go beyond doing the bare minimum,” he added.

Snowball effect

Mr Bowes’ file has spread rapidly across the net.

On the Pirate Bay, the world’s biggest file-sharing website, the list was being distributed and downloaded by thousands of users.

One user said that the list showed “why people need to read the privacy agreements and everything they click through”.

In a statement to BBC News, Facebook confirmed that the information in the list was already freely available online.

“No private data is available or has been compromised,” the statement added.

That view is shared by Mr Bowes, who added that harvesting this data highlighted the possible risks users put themselves in.

“I am of the belief that, if I can do something then there are about 1,000 bad guys that can do it too.

“For that reason, I believe in open disclosure of issues like this, especially when there’s minimal potential for anybody to get hurt.

“Since this is already public information, I see very little harm in disclosing it.”

Digital trends

However, he said, it also highlighted a new trend that was emerging in the digital age.

“With traditional paper media, it wasn’t possible to compile 170 million records in a searchable format and distribute it, but now we can,” he said.

“Having the name of one person means nothing, and having the name of a hundred people means nothing; it isn’t statistically significant.

“But when you start scaling to 170 million, statistical data emerges that we have never seen in the past.”

A spokesperson for Facebook said the list was “similar to the white pages of the phone book.

“This is the information available to enable people to find each other, which is the reason people join Facebook.”

“If someone does not want to be found, we also offer a number of controls to enable people not to appear in search on Facebook, in search engines, or share any information with applications.”

Earlier this year there was a storm of protest from users of the site over the complexity of Facebook’s privacy settings. As a result, the site rolled out simplified privacy controls.

Facebook has a default setting for privacy that makes some user information publicly available. People have to make a conscious choice to opt-out of the defaults.

Articoli Correlati

Evento ISH

Un evento interessante che merita la giusta pubblicità.

Da forumhealthcare.it.

Nel comparto sanitario le piattaforme tecnologiche, le reti e le infrastrutture, i processi e i servizi sono in continua evoluzione grazie all’innovazione in grado di permeare sempre più rapidamente i modelli organizzativi. La diffusione delle tecnologie informatiche costituisce una naturale leva di trasformazione e miglioramento per la realizzazione di un modello di sanità omogeneo, di forte qualità e sostenibile sotto il profilo economico e organizzativo. All’impiego diffuso delle nuove tecnologie corrisponde però un incremento di rischi e minacce connessi alla stessa gestione telematica dei flussi di dati in un ambito complesso quale quello sanitario: l’immaterialità delle informazioni, la facilità con cui possono essere consultate, duplicate, modificate o addirittura distrutte crea situazioni in cui, nonostante le misure di protezione, si apre una serie di nuovi interrogativi etici e giuridici.

In questo contesto nasce il convegno ISH che, grazie alla costituzione di un Comitato Consultivo che vede riuniti i principali opinion leader del settore di riferimento, si propone di favorire l’incontro fra le diverse realtà che ne compongono il tessuto, instaurando quel collegamento indispensabile tra i più importanti player del mercato e gli operatori sanitari. Il focus specifico verso le tecnologie, l’informatica e l’innovazione nel mondo sanitario italiano, fa del convegno ISH un appuntamento imperdibile per chi, operando in un settore che attraversa un periodo di fortissima evoluzione e trasformazione, deve essere continuamente informato e documentato sulle nuove opportunità offerte dal mercato.

I destinatari del progetto sono: Operatori sanitari dei Sistemi Informativi, Direzione del Personale, Organizzazione, Ufficio Legale, Security Manager, Direzione Sanitaria, Aziende produttrici di hardware e software, Consulenti.

La mostra convegno si terrà in data 30 novembre 2010 all’AtaHotel di Villa Pamphili

Il comitato scientifico sarà composto da:

Piero Giovanni Caporale – Sicurezza Organizzativa e Gestionale Settore ICT – CNIPA, Isabella Corradini – Centro Themis Crime, Mauro Cosmi – Value Team S.p.A, Fabio Di Resta – Consulente legale privacy e ISO 27001 ICT Security Auditor, ricopre l’incarico di consulente legale presso multinazionali del settore ICT e bancario, Elena Ferrari – Docente del Dipartimento di Informatica e Comunicazione dell’Università dell’Insubria, Luisa Franchina – Direttore Generale del Nucleo Operativo NBCR, Dipartimento Protezione Civile, Presidenza del Consiglio dei Ministri, Pierfrancesco Ghedini – Direttore Dipartimento Tecnologie dell’Informazione e Biomediche – Azienda USL di Modena – in qualità di  AISIS (Associazione Italiana Sistemi Informativi in Sanità),Andrea Lisi – Professore a contratto di Informatica Giuridica – Scuola Professioni Legali, Facoltà Giurisprudenza – Università del Salento, Presidente di ANORC (Associazione NazionaleOperatori e Responsabili della Conservazione Sostitutiva), Coordinatore del Digital&Law Department Studio Legale Lisi, Studio Associato D&L – Business&Legal Consultancy, ICT &International Trade, Executive Management SCiNT – Study&Research Centre, Giovanni Manca – Responsabile Sicurezza DigitPA (ex CNIPA), Baldo Meo – Responsabile Comunicazione  Garante per la protezione dei dati personali, Elio Molteni – Presidente AIPSI, ISSA Italian Chapter, Alessandro Musumeci – Direttore Centrale Sistemi Informativi (DCSI), Ferrovie dello Stato, Massimo F. Penco – Presidente Associazione Cittadini di Internet, Membro del Antiphishing Working Group, Vice presidente Gruppo Comodo, Andrea Rigoni – Senior Advisor presso Booz & Company, Giuseppe Russo – Chief Technology Officer, Sun Microsystems Italia, Roberto Setola – Docente e Direttore del Laboratorio Sistemi Complessi e Sicurezza – Università CAMPUS Bio-Medico di Roma, Domenico Vulpiani – Dirigente Generale Polizia di Stato – Consigliere Ministeriale.

Articoli Correlati

Privacy: trasferimento di dati personali al di fuori dell'unione europea

Il Garante ha autorizzato l’utilizzo delle clausole-tipo (elaborate dalla Commissione europea) per regolare il trasferimento di dati ad un responsabile del trattamento insediato in un Paese al di fuori dall’Unione Europea.

Approfondimenti
A seguito della nuova decisione della Commissione europea (1), il Garante ha autorizzato dal 15 maggio scorso le nuove clausole tipo (che sostituiscono le precedenti del 2002) da utilizzare per permettere il trasferimento da un titolare situato in Italia verso responsabili del trattamento stabiliti in Paesi terzi extra UE che non garantiscano un livello di protezione dei dati adeguato.

La Decisione della Commissione
La Commissione CE, già in passato, con propria deliberazione del 2001, aveva individuato le clausole contrattuali tipo da rispettare per poter effettuare il trasferimento (2). Ora la Commissione è intervenuta nuovamente sul tema con una nuova decisione (che abroga la precedente), fissando le clausole-tipo da adottare per regolare il trasferimento di dati. La nuova decisione regola anche l’ipotesi del trasferimento dei dati dal destinatario del Paese terzo (l’“importatore”) ad un ulteriore responsabile del trattamento stabilito in un Paese terzo (“subincaricato”).

Il trasferimento dei dati extra UE secondo il Codice della privacy
Il Codice in materia di protezione dei dati personali (3) individua i diversi casi nei quali è ammesso il trasferimento dei dati personali fuori dall’Unione Europea. Fra le varie ipotesi, viene anche prevista l’autorizzazione del Garante per il trasferimento regolato da accordi contrattuali tra l'”esportatore” di dati residente nell’Unione e l'”importatore” di dati situato in un Paese extra UE che non garantisca un livello di protezione dei dati adeguato.
Con propria deliberazione (4) il Garante ha quindi autorizzato i trasferimenti di dati personali dal territorio dello Stato verso Paesi non appartenenti all’Unione Europea effettuati sulla base ed in conformità alle clausole contrattuali tipo previste dalla Commissione europea. In questo modo, i trasferimenti di dati personali da parte di un’azienda con sede nel territorio italiano verso filiali (o controllanti, controllate o collegate) con sede in Paesi extra UE privi di normative che consentano un adeguato livello di protezione dei dati stessi, vengono dal Garante autorizzati in via generale se effettuati sulla base ed in conformità delle clausole contrattuali tipo sopra citate.
Ricordiamo, peraltro, che il Codice in materia di protezione dei dati personali (3) elenca altre ipotesi ai sensi delle quali il trasferimento dei dati verso Paesi extra UE viene ammesso anche senza l’adozione di specifiche clausole contrattuali.

La norma transitoria

Sebbene la nuova delibera del Garante abroghi la precedente del 2002, tuttavia, in via generale, rimangono validi i contratti già stipulati sulla base delle precedenti clausole tipo.

Note
(1) Decisione 2010/87/UE del 5 febbraio 2010.
(2) Decisione 2002/16/CE del 27 dicembre 2001.
(3) Più in particolare gli articoli 43 e 44 del D.lgs. n.196/2003.
(4) Deliberazione del 27 maggio 2010 (pubblicata in G.U. n.141 del 19 giugno 2010).

Clausole per trasferimento dati all’estero.2010

Articoli Correlati

Privacy: nuovo provvedimento del Garante in materia di videosorveglianza

Da Confindustria Venezia

L’Autorità Garante per la protezione dei dati personali ritorna ad occuparsi di trattamento dei dati compiuto mediante sistemi di videosorveglianza emanando un nuovo provvedimento generale che riscrive gli adempimenti a cui sono tenuti i titolari, pubblici o privati, che fanno uso di tali sistemi, peraltro con l’introduzione di alcune prescrizioni innovative rispetto a quelle del precedente provvedimento in materia del 2004

Approfondimenti
Il nuovo Provvedimento generale (1) sostituisce quello emanato in materia dallo stesso Garante nel 2004 (2), sebbene molti degli adempimenti previsti allora vengono confermati anche dal nuovo. Molti adempimenti in esso contenuti sono rivolti indistintamente sia a soggetti pubblici che privati; di seguito tratteremo però solo gli adempimenti più rilevanti a cui le imprese dovranno conformarsi nell’attivazione di un sistema lecito di videosorveglianza.

Adempimenti: gli obblighi di informativa.
Gli interessati devono essere sempre informati che stanno per accedere in una zona sottoposta a videosorveglianza. Il Garante, riprendendo l’oramai ben noto esempio di cartello proposto nel Provvedimento del 2004, ritiene che gli adempimenti in materia di informativa agli interessati possano venir assolti utilizzando il fac-simile di modello semplificato posto in allegato al Provvedimento stesso, identico a quello già proposto nel precedente provvedimento (3).

Il Garante precisa che, in presenza di più telecamere, circostanza che ritroviamo ad esempio nel caso di vastità dell’area oggetto di rilevamento, potranno venir installati anche più cartelli. Inoltre, il cartello deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti, e deve avere un formato ed un posizionamento tale da essere chiaramente visibile. Una novità introdotta dal provvedimento è quella di aver imposto la visibilità del cartello in ogni condizione di illuminazione (anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno). Viene confermato che il cartello dovrà inoltre specificare se attraverso la videosorveglianza si procede anche alla registrazione delle immagini ovvero alla semplice rilevazione.

L’informativa resa in forma così semplificata necessita poi di un rinvio ad un testo completo che contenga tutti gli elementi previsti dalla specifica norma del Codice della privacy (4) da porre a disposizione degli interessati con modalità facilmente accessibili, anche mediante strumenti informatici e telematici. Al riguardo, il Garante suggerisce le reti Intranet o siti Internet, le affissioni in bacheche o locali, gli avvisi e cartelli agli sportelli per gli utenti, i messaggi preregistrati disponibili digitando un numero telefonico gratuito. L’informativa potrebbe quindi venir resa, per il tramite di un incaricato, anche solo oralmente. In ambito aziendale si suggerisce, tuttavia, ‘adozione di una “policy” che descriva il sistema di videosorveglianza.

Una ulteriore novità relativa all’apposizione dei cartelli è stata introdotta per i sistemi di videosorveglianza direttamente collegati con le forze di polizia, per i quali deve essere resa un’informativa che renda noto agli interessati tale collegamento. A tal fine, il Garante suggerisce l’utilizzo dell’ulteriore modello semplificato di informativa “minima”, anch’esso allegato al nuovo provvedimento generale (5).

Ricordiamo che la violazione delle disposizioni riguardanti l’informativa, che potrà consistere nella sua omissione o inidoneità, viene punita con sanzione pecuniaria amministrativa (6).

Le misure di sicurezza
Nel rispetto della previsione del Codice della privacy (7), i dati raccolti mediante sistemi di videosorveglianza devono essere protetti con idonee e preventive misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta.

Le misure di sicurezza possono peraltro variare significativamente in considerazione delle molteplici finalità perseguite con l’adozione di un sistema di videosorveglianza nonché della varietà dei sistemi tecnologici utilizzabili. Il Garante ritiene però che, in ogni caso, vi debba essere il rispetto di alcuni precisi principi (8) che lo stesso va ad enunciare e che tengono conto, ad esempio, delle diverse competenze e responsabilità degli operatori addetti alla visione delle immagini, delle operazioni che possano venir compiute sulle immagini stesse, specie se conservate, della necessità di compiere interventi di manutenzione sul sistema e delle conseguenti cautele da adottare.

Tra queste misure tecniche-organizzative necessarie indicate dal Garante si possono evidenziare:
– la necessità di gestire, mediante differenti livelli di credenziali di autenticazione, le mansioni degli incaricati che debbono svolgere funzioni diverse rispetto al trattamento delle immagini, soprattutto per le funzioni di verifica delle immagini registrate e per le funzioni di cancellazione o duplicazione;
– la definizione delle procedure (preferibilmente mediante sistemi automatici) per garantire la cancellazione delle immagini allo scadere del periodo massimo di conservazione;
– la necessità di gestire mediante tecniche crittografiche la trasmissione su rete pubblica di comunicazione delle immagini (ipotesi che viene in rilevo nel caso di gestione di sistemi di videosorveglianza in remoto).

Resta pacifica la necessità che il titolare provveda a designare per iscritto (9) tutte le persone fisiche, incaricate del trattamento, autorizzate ad accedere ai locali dove sono situate le postazioni di controllo, ad utilizzare gli impianti ed a visionare le immagini. Deve comunque trattarsi di un numero delimitato di soggetti per i quali il titolare abbia anche individuato eventuali diversi livelli di attività in corrispondenza delle specifiche mansioni attribuite a ciascuno (10).

Anche in questo caso, il Garante ricorda le sanzioni a cui i titolari potrebbero andare incontro nel caso non rispettassero i principi sopra ricordati od omettessero la misure minime di sicurezza (11).

Durata dell’eventuale conservazione delle immagini
Se il sistema di videosorveglianza prevede la conservazione delle immagini, il Garante prescrive che questa venga limitata a poche ore o, al massimo, alle ventiquattro ore successive alla loro ripresa. Potrà essere previsto un termine più ampio di conservazione delle immagini solo in presenza di specifiche esigenze, quali ad esempio le festività o la chiusura di uffici od esercizi, oppure nel caso in cui si debba aderire ad una richiesta investigativa dell’autorità giudiziaria o di polizia giudiziaria.

In ulteriori casi (12), quali la particolare rischiosità dell’attività svolta, potrà anche essere ammesso un tempo più ampio di conservazione che comunque non dovrà superare la settimana. Un ulteriore allungamento dei termini, superiore quindi alla settimana, potrà avvenire solo se preliminarmente richiesto al Garante con atto di interpello (13) ed in considerazione di ben motivate esigenze.

Il Garante ribadisce alcune prescrizioni sulla cancellazione automatica delle immagini anche mediante sovraregistrazione (14). Il mancato rispetto dei tempi di conservazione delle immagini raccolte e del correlato obbligo di cancellazione di dette immagini oltre il termine previsto potrà comportare l’applicazione di sanzione pecuniaria amministrativa (15).

Settori specifici
Il Garante affronta il tema della videosorveglianza con riferimento anche ad alcuni specifici settori. In questo senso, non è nuovo il richiamo all’utilizzo della videosorveglianza nell’ambito del rapporto di lavoro, per il quale il Garante ricorda l’onere di rispettare il divieto di controllo a distanza dell’attività lavorativa, risultando infatti assolutamente vietata l’installazione di apparecchiature specificatamente preordinate a tale finalità (16). Nel caso in cui la videosorveglianza fosse resa necessaria da esigenze organizzative o produttive o per la sicurezza del lavoro, il Garante ricorda che ugualmente dovranno venir rispettate le procedure di accordo sindacale preventivo o di autorizzazione previste in materia dallo Statuto dei lavoratori (17).

Il Garante affronta poi, nel medesimo ambito, l’utilizzo di eventuali riprese televisive sui luoghi di lavoro, che vedano coinvolto il personale dipendente, per scopi divulgativi o di comunicazione istituzionale o aziendale. Il Garante conferma quanto già disposto nel precedente provvedimento generale del 2004 sull’assimilazione di questi trattamenti di dati a quelli temporanei finalizzati alla pubblicazione occasionale di articoli e saggi, trovando per essi applicazione le disposizioni sull’attività giornalistica contenute nel Codice della privacy (18) e la conseguente osservanza del codice deontologico per l’attività giornalistica. Resta peraltro fermo il diritto del lavoratore di tutelare la propria immagine opponendosi, per motivi legittimi, alla diffusione delle immagini che lo ritraggono (19).

Sistemi integrati di videosorveglianza
Di particolare interesse appaiono inoltre le nuove prescrizioni nel caso di utilizzo di sistemi integrati di videosorveglianza tra diversi soggetti, pubblici e privati, nonché di servizi centralizzati di videosorveglianza remota da parte di fornitori (società di vigilanza, Internet service providers, fornitori di servizi video specialistici, ecc.). Il Garante, elencando alcune delle tipologie di sistemi integrati di videosorveglianza più diffusi (20), detta una serie di prescrizioni tecniche – organizzative che i titolari dei dati dovranno necessariamente rispettare. Tra queste spicca il nuovo obbligo di sottoporre a registrazione almeno semestrale gli access log eseguiti dagli incaricati al trattamento delle immagini registrate, ed anche le operazioni compiute dagli stessi con i relativi riferimenti temporali.

Adempimenti ulteriori. La verifica preliminare del Garante mediante atto di interpello.
I trattamenti di dati personali nell’ambito di una normale attività di videosorveglianza devono essere effettuati rispettando le misure e gli accorgimenti prescritti dal Garante nel suo nuovo Provvedimento generale. Vi possono però essere dei casi in cui l’attività di videosorveglianza, specie in ragione degli strumenti tecnologici utilizzati, pone una serie di rischi per i diritti e le libertà fondamentali nonché per la dignità degli interessati, tali da necessitare una verifica preliminare del Garante (21). Tra i casi espressamente richiamati ci sono, ad esempio:
– quelli dei sistemi di raccolta delle immagini associate a dati biometrici;
– dei sistemi di videosorveglianza dotati di software che permetta il riconoscimento della persona tramite collegamento o incrocio o confronto delle immagini rilevate (es. morfologia del volto) con altri specifici dati personali;
– dei sistemi c.d. intelligenti, che non si limitano a riprendere e registrare le immagini, ma sono in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli;
– infine, i sistemi con registrazione delle immagini superiori ad una settimana.
In questi casi, il trattamento dei dati può avvenire solo previa autorizzazione del Garante, che viene normalmente attivata mediante apposito atto di interpello, oppure in quanto lo stesso Garante si fosse già espresso con un proprio provvedimento e siano rispettate dal titolare le misure e gli accorgimenti così prescritti in tale provvedimento.

Esonero dal consenso: videosorveglianza per la protezione delle persone, della proprietà, del patrimonio aziendale.
In merito all’obbligo del consenso al trattamento dei dati, il Garante ricorda l’istituto del “bilanciamento di interessi” (22) in attuazione del quale vengono individuati i casi in cui la rilevazione delle immagini può avvenire senza consenso dell’interessato, ma pur sempre nel rispetto delle prescrizioni contenute nel Provvedimento generale. In particolare, il Garante fa riferimento a concrete situazioni che giustificano l’installazione dei sistemi di videosorveglianza a protezione delle persone, della proprietà o del patrimonio aziendale. Nell’uso delle apparecchiature volte a riprendere, con o senza registrazione delle immagini, aree esterne ad edifici e immobili (perimetrali, adibite a parcheggi o a carico/scarico merci, accessi, uscite di emergenza), il trattamento deve però venir compiuto con modalità tali da limitare l’angolo visuale all’area effettivamente da proteggere, evitando, per quanto possibile, la ripresa di luoghi circostanti e di particolari che non risultino rilevanti.

Sanzioni
Oltre ai puntuali rinvii che lo stesso provvedimento compie alle specifiche sanzioni pecuniarie amministrative previste dal codice per l’inosservanza di determinati singoli obblighi quali quelli sull’informativa e sulle misure di sicurezza, si ricorda che la violazione delle prescrizioni operative dettate dal provvedimento generale determina, in ogni caso, l’applicazione di sanzioni pecuniarie amministrative. Inoltre si ricorda che il trattamento di dati personali in violazione dei principi generali sanciti dal codice (e richiamati dal provvedimento) determina l’inutilizzabilità dei dati stessi.

Applicazione del nuovo Provvedimento: i termini di adeguamento alle nuove prescrizioni
L’adozione di un sistema di videosorveglianza implica necessariamente il rispetto delle prescrizioni contenute nel nuovo Provvedimento. Diversamente il trattamento dei dati personali effettuato tramite sistemi di videosorveglianza deve considerarsi illecito, con tutte le conseguenze, anche sanzionatorie, che ne derivano (23).
In considerazione dell’introduzione di nuove prescrizioni rispetto al procedente provvedimento, il Garante indica però anche dei diversi termini di applicazione del Provvedimento stesso, in ragione dell’adozione di specifiche misure ed accorgimenti in esso previsti alle quali i titolari del trattamento dei dati devono conformarsi:
a) entro dodici mesi dalla pubblicazione del Provvedimento in Gazzetta ufficiale (entro il 29 aprile 2011), rendere l’informativa visibile anche quando il sistema di videosorveglianza sia eventualmente attivo in orario notturno;
b) entro sei mesi (entro il 29 ottobre 2010), sottoporre a verifica preliminare i trattamenti che presentano rischi specifici per i diritti e le libertà fondamentali degli interessati;
c) entro dodici mesi (entro il 29 aprile 2011), adottare le misure di sicurezza a protezione dei dati registrati tramite impianti di videosorveglianza;
d) entro sei mesi (entro il 29 ottobre 2010), adottare le misure necessarie a garantire il rispetto di quanto indicato nel Provvedimento in merito ai sistemi integrati di videosorveglianza.

Note
(1) Provvedimento in materia di videosorveglianza dell’8 aprile 2010 (pubblicato nella Gazzetta Ufficiale n. 99 del 29 aprile 2010).
(2) Provvedimento generale del 29 aprile 2004.
(3) Vedi Allegato n. 1 al Provvedimento generale dell’8 aprile 2010.
(4) Ai sensi quindi dell’art. 13, comma 1°, del Codice della privacy (D.lgs. 30 giugno 2003 n. 196).
(5) Vedi Allegato n. 2 al Provvedimento generale dell’8 aprile 2010.
(6) Art. 161 del Codice della privacy che prevede la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.
(7) Articoli 31 e ss. del Codice della privacy.
(8) Vedi 3.3.1. del Provvedimento generale dell’8 aprile 2010.
(9) Secondo l’art. 30 del Codice della privacy. Vanno osservate le regole ordinarie anche per ciò che attiene all’eventuale designazione di responsabili del trattamento previste all’art. 29 del Codice della privacy.
(10) Distinguendo così coloro che sono unicamente abilitati a visionare le immagini dai soggetti che possono anche effettuare, a determinate condizioni, ulteriori operazioni, quali, per esempio, registrare, copiare o cancellare le immagini, spostare l’angolo visuale, modificare lo zoom, ecc.
(11) Il mancato rispetto dei principi indicati dal garante può venir colpito ai sensi dell’art.162, comma 2-ter, del Codice della privacy (inosservanza dei provvedimenti di prescrizione di misure necessarie) con la sanzione amministrativa del pagamento di una somma da trentamila euro a centottantamila euro. L’omessa adozione delle misure minime di sicurezza comporta l’applicazione della sanzione amministrativa stabilita dall’art. 162, comma 2-bis del Codice della privacy (pagamento di una somma da diecimila euro a centoventimila euro) ed integra la fattispecie di reato prevista dall’art. 169 del Codice stesso (l’arresto sino a due anni e possibilità, però, di godere del regime del ravvedimento operoso previsto dal comma 2° dello stesso articolo).
(12) Ad esempio, “per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare rischiosità dell’attività svolta dal titolare del trattamento (ad esempio, per alcuni luoghi come le banche può risultare giustificata l’esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina).”.
(13) Ai sensi dell’art. 17 del Codice della privacy.
(14) Vedi 3.4. del Provvedimento generale dell’8 aprile 2010: ”Il sistema di conservazione delle immagini impiegato deve essere programmato in modo da operare al momento prefissato l’integrale cancellazione automatica delle informazioni allo scadere del termine previsto da ogni supporto, anche mediante sovra-registrazione, con modalità tali da rendere non riutilizzabili i dati cancellati. In presenza di impianti basati su tecnologia non digitale o comunque non dotati di capacità di elaborazione tali da consentire la realizzazione di meccanismi automatici di expiring dei dati registrati, la cancellazione delle immagini dovrà comunque essere effettuata nel più breve tempo possibile per l’esecuzione materiale delle operazioni dalla fine del periodo di conservazione fissato dal titolare.”.
(15) Art. 162, comma 2-ter, del Codice della privacy (sanzione amministrativa del pagamento di una somma da trentamila euro a centottantamila euro).
(16) Art. 4, comma 1°, della Legge n. 300 del 1970 (Statuto dei lavoratori). Il Garante ricorda che “non devono quindi essere effettuate riprese al fine di verificare l’osservanza dei doveri di diligenza stabiliti per il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della prestazione lavorativa (ad es. orientando la telecamera sul badge).”.
(17) Vedi art. 4, comma 2°, della Legge n. 300 del 1970 secondo cui: “Gli impianti e le apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive ovvero dalla sicurezza del lavoro, ma dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti.”.
(18) Articoli 136 e ss. del Codice della privacy.
(19) Secondo l’art.7, comma 4, lett. a), del Codice della privacy.
(20) Vedi 4.6 del Provvedimento generale dell’8 aprile 2010.
(21) Attivata d’ufficio o a seguito di un interpello del titolare ex art. 17 del Codice della privacy.
(22) Art. 24, comma 1, lett. g), del Codice della privacy.
(23) Inutilizzabilità dei dati personali trattati in violazione della relativa disciplina (art. 11, comma 2, del Codice della privacy); adozione di provvedimenti di blocco o di divieto del trattamento disposti dal Garante (art. 143, comma 1, lett. c), del Codice della privacy), e di analoghe decisioni adottate dall’autorità giudiziaria civile e penale; applicazione delle pertinenti sanzioni amministrative o penali (artt. 161 e ss. del Codice della privacy).

Provvedimento Videosorveglianza aprile 2010

Articoli Correlati

Password: un po' di precauzioni

Girovagando per Internet si trovano sempre delle cose interessanti.

Un bell’articolo sulla gestione delle password, un po’ datatto ma attuale come non mai per gli amministratori di sistema si puo’ trovare qui.

Buona lettura

Articoli Correlati