Compliance ICT

ICT-COMPLIANCE

Nelle aziende di tutte le dimensioni si assiste ad un avanzamento tecnologico e l’utilizzo delle tecnologie sempre più pervasivo, ciò è accompagnato da un’evoluzione normativa e giurisprudenziale che negli ultimi anni ha avuto notevoli sviluppi. E’ sempre più difficile gestire la compliance.

Diventa fondamentale avere sotto controllo le normative che impattano direttamente o indirettamente sulla direzione ICT al fine di comprendere quali siano i rischi che l’azienda corre in caso di mancato rispetto degli obblighi di legge.

Aspetti da considerare nella Compliance ICT

Sicurezza informatica e trattamento dati personali secondo la legge “Privacy”

La privacy è un diritto delle persone, tutelato dalla legge mediante il cosiddetto “Codice Privacy”: Il decreto legislativo n. 196 del 30/6/2003.

ll Codice privacy e’ un Testo Unico che raggruppa tutte le norme volte a garantire che ogni trattamento dei dati personali avvenga nel rispetto dei diritti, delle libertà fondamentali, della  dignità dell’interessato.

  • Codice in materia di protezione dei dati personali: D.Lgs. 196 del 2003. Recepisce la  direttiva 95/46/CE
  • Allegato B: Disciplinare tecnico in materia di misure minime di sicurezza
  • Il Garante per la protezione dei dati personali, ha inoltre emesso numerose delibere e provvedimenti, tra cui:
    • Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati – 15 maggio 2014
    • Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013
    • Linee guida in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali – 26 luglio 2012
    • Linee guida in materia di trattamento di dati personali di lavoratori – 23 novembre 2006
    • Linee guida interne riguardo all’uso, da parte di lavoratori, di strumenti informatici e telematici – 1 marzo 2007
    • Istruzioni pratiche per lo smaltimento di pc e la cancellazione sicura dei dati – 13 ottobre 2008
    • Amministratori di Sistema – 27 novembre 2008 e 25 giugno 2009
    • Videosorveglianza – 8 aprile 2010

Responsabilità amministrativa delle persone giuridiche

Il Decreto Legislativo 231/01 ha introdotto nel sistema legislativo la responsabilità amministrativa delle persone giuridiche derivante da fatto illecito altrui.
E’ da sottolineare che l’ente non risponde degli illeciti se ha adottato in congruo anticipo e quindi in senso cautelativo, un modello organizzativo atto a prevenire la commissione degli illeciti.I modelli organizzativi  prevedono le seguenti attività:

  • individuare le attività nel cui ambito possono essere commessi reati;
  • prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;
  • individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;
  • prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli;
  • introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

Decreto 201 del 2003 del Ministero della Giustizia. Reca il regolamento previsto dall’articolo 85 del D.Lgs. 231 del 2001. Specifica le modalità di formazione e tenuta dei fascicoli degli uffici giudiziari; i compiti ed il funzionamento dell’Anagrafe nazionale e soprattutto le modalità di presentazione, di esame, di valutazione dell’efficacia dei codici di comportamento previsti per mitigare le sanzioni a carico degli enti

Crimini informatici

Crimine informatico è un crimine commesso utilizzando un computer, una rete o un dispositivo hardware. Il computer o  il dispositivo può essere l’agente, il mezzo o l’obiettivo del crimine.

Nel trattato del Consiglio d’Europa del 23/11/2001 entrata in vigore il 01/07/2004  sulla criminalità informatica, viene utilizzato il termine “cybercrime” per definire reati che vanno dai crimini contro i dati riservati, alla violazione di contenuti e del diritto d’autore, altri  suggeriscono una definizione più ampia che comprende attività criminose come la frode, l’accesso non autorizzato e la pedopornografia.
Il manuale delle Nazioni Unite sulla prevenzione e il controllo del crimine informatico (The United Nations Manual on the Prevention and Control of Computer Related Crime) nella definizione di crimine informatico include frode, contraffazione e accesso non autorizzato.

  • Computer crime – legge 547 del 1993
  • Ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica, firmata a Budapest il 23 novembre 2001. La Convenzione costituisce il primo accordo internazionale riguardante i crimini commessi attraverso internet o altre reti informatiche. La Convenzione estende la portata del reato informatico includendo tutti i reati in qualunque modo commessi mediante un sistema informatico, anche nel caso in cui la prova del reato sia sotto forma elettronica. – Legge 48 del 2008
  • Tutela dei servizi ad accesso controllato – D.Lgs. 373 del 2000
  • Intercettazioni telefoniche illegali – Legge 281/2006 di conversione del Decreto Legge 259/2006
  • Reato di pedo-pornografia virtuale: i requisiti tecnici che dovranno essere adottati dagli ISP – Legge 38 del 2006
  • Abuso di mezzi elettronici di pagamento – D.lgs. 231/07
  • Sentenza 4 del 21 aprile 2000 che assolve l’imputato per accesso non autorizzato al sistema informatico del GR1 della RAI perché il sistema non è stato valutato “sufficientemente protetto”.
  • Sentenza 175 del 2006 del Tribunale di Chieti, che fa chiarezza sulla controversa questione dell’acquisizione delle “prove informatiche”: si devono rispettare le norme del codice di procedura penale che disciplinano la formazione della prova

Diritto d’autore

  • Legge 633 del 1941, governa il Diritto d’autore in Italia ed è stata modificata parecchie volte nel corso degli anni. Qui di seguito sono proposte le disposizioni  più significative dal punto di vista dell’informatica:
    • D.Lgs. 518/1992 di attuazione della direttiva 91/250/CEE relativa alla tutela giuridica dei programmi per elaboratore.
    • D.Lgs. 169/1999 di attuazione della direttiva 96/9/CE relativa alla tutela giuridica delle banche di dati.
    • D.Lgs. 68/2003 di attuazione della direttiva 2001/29/CE.
    • DL “Urbani” 72/2004 convertito in legge dalla L. 128/2004.
    • Legge 43/2005, che converte il Decreto Legge 7 del 2005.
    • Decreto Legislativo 118/2006 di attuazione della direttiva 2001/84/CE.
    • Decreto Legislativo Dlgs 140/2006 attuazione della direttiva 2004/48/CE.
    • Legge 2 del 2008 con la possibilità di pubblicare senza oneri su Internet materiale a uso didattico o scientifico.
  • D.Lgs. 373 del 2000, sulla tutela dei servizi ad accesso controllato.
  • D.Lgs. 30 del 2005, Codice della proprietà industriale.
  • Regolamento di attuazione del Codice della proprietà industriale, emesso con il Decreto 33 del 13 gennaio 2010 del Ministero dello Sviluppo Economico.
  • DPCM 338 del 2001, (modificato dal DPCM 296 del 2002), tratta del “bollino” SIAE da apporre

Codice di Amministrazione digitale e Firma digitale

  • D.Lgs. 82 del 2005 o “Codice dell’Amministrazione Digitale”, norma di riferimento per quanto riguarda la firma digitale. Attua quanto previsto dall’ articolo 15, comma 2 della legge del 15 marzo 1997, n. 59 e rappresenta l’adeguamento italiano alla direttiva europea 1999/93/CE. Questo Decreto Legislativo, inoltre, istituisce il Sistema Pubblico di Connettività (SPC).Dpr 445/2000, il precedente riferimento per la firma digitale, ora ridotto alle sole parti concernenti la gestione di atti e documenti nell’ambito della Pubblica Amministrazione.
  • Dpr 445/2000, il precedente riferimento per la firma digitale, ora ridotto alle sole parti concernenti la gestione di atti e documenti nell’ambito della Pubblica Amministrazione.

ICT e Compliance il servzio

Il servizio di e-cons permette all’azienda di rispettare tutte le leggi del settore, la compliance ICT come livello minimo necessario perchè imposto dalle leggi, ma allo stesso tempo  si cercherà di migliorare ed ottimizzare la sicurezza informatica a 360° all’interno dell’azienda e nei rapporti con la società.