Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
vuoi
o PayPal
tutte le volte che vuoi
Diritto di accesso, diritto di ricevere una copia dei dati personali oggetto di trattamento;
Diritto di rettifica, diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo
riguardano senza ingiustificato ritardo, oltre che il diritto di ottenere l'integrazione dei dati personali incompleti,
anche fornendo una dichiarazione integrativa;
Diritto di cancellazione, diritto alla cancellazione dei propri dati personali se:
- Non sono più necessari rispetto alle finalità;
- L'interessato revoca il consenso su cui si basa il trattamento;
- L'interessato si oppone al trattamento;
- I dati personali sono stati trattati illecitamente;
- I dati personali devono essere cancellati per adempiere un obbligo giuridico;
- I dati personali sono stati raccolti relativamente all’offerta di servizi della società dell'informazione a minori.
Se ha reso pubblici dati personali ed è obbligato a cancellarli, il titolare del trattamento, tenendo conto della
tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare altri
titolari che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o
riproduzione dei suoi dati personali;
Diritto di limitazione del trattamento, diritto dell’interessato ad ottenere che i suoi dati personali siano trattati,
salvo che per la conservazione;
Diritto alla portabilità dei dati, diritto di ricevere, qualora i dati personali siano trattati con mezzi automatizzati, in
un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile, i dati personali forniti
a un titolare del trattamento, e di trasmetterli a un altro titolare del trattamento;
Diritto di opposizione, diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare,
al trattamento dei dati personali che lo riguardano effettuato in esecuzione di un compito di interesse pubblico o
connesso all’esercizio di pubblici poteri o sulla base del legittimo interesse del titolare o di terzi, oppure per
finalità di marketing diretto.
Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali, salvo che egli dimostri l'esistenza di
motivi legittimi cogenti per procedere al trattamento o per l'accertamento, l’esercizio o la difesa di un diritto in
sede giudiziaria.
L’art.22 del GDPR, invece, si concentra sul diritto di non essere sottoposto a una decisione basata unicamente sul
trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo
analogo significativamente sulla sua persona, a meno che:
Sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;
Sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;
Si basi sul consenso esplicito dell'interessato.
Oltre a ciò, questo articolo parla della profilazione, ossia una di forma di trattamento automatizzato che tratta dei dati
personali che valuta aspetti personali concernenti una persona fisica. 32
Valentina Casta Dal 27/09/2023 Al 01/12/2023
Un reato, invece, che si può vedere legato alla tutela dei dati personali, è il data breach, ossia una violazione di sicurezza
che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica o la divulgazione dei dati personali
trasmessi, conservati o comunque trattati.
In particolare, secondo l’art.33 il titolare del trattamento notifica la violazione all'autorità di controllo competente (in
Italia, il Garante Privacy) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a
conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle
persone fisiche.
Invece, secondo l’art.34, quando il data breach è suscettibile di presentare un rischio elevato per i diritti e le libertà delle
persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.
Le sanzioni previste per questo reato possono essere:
Civili, risarcimento dei danni patrimoniali e non patrimoniali o responsabilità solidale;
Amministrative, effettive, proporzionate, dissuasive o fino a 10/20 milioni di euro, oppure fino al 2/4% del
fatturato mondiale totale annuo dell’esercizio precedente;
Correttive, avvertimenti, ammonimenti, ingiunzioni, ordini di limitazione e sospensione;
Penali, reati previsti dal Codice Privacy italiano.
In particolare, le sanzioni amministrative sono punite con sanzioni fino a 10 milioni di euro o, se superiore, fino al 2% del
fatturato mondiale annuo, per reati come:
Mancata tenuta del registro dei trattamenti;
Mancata valutazione d’impatto DPIA;
Omessa consultazione preventiva dell’Autorità;
Omessa notifica di data breach;
Omessa nomina del DPO;
Omessa adozione di misure di sicurezza adeguate.
Oltre a ciò, inoltre, sono presenti più gravi violazioni sono punite con sanzioni fino a 20 milioni di euro o, se superiore,
fino al 4% del fatturato mondiale annuo, come inosservanza dei principi di base del trattamento o inosservanza dei diritti
degli interessati.
Nei confronti del titolare o del responsabile del trattamento, l’autorità di controllo può:
Avvertire sul fatto che i trattamenti previsti possono violare le norme;
Ammonire ove i trattamenti abbiano violato le norme;
Ingiungere di soddisfare le richieste dell’interessato di esercitare i relativi diritti;
Ingiungere di conformare i trattamenti alle norme, specificando eventualmente le modalità e i termini per la
conformità;
Imporre una limitazione provvisoria o definitiva al trattamento, sospendere temporaneamente il trattamento, o
vietare del tutto;
Ordinare la rettifica, la cancellazione o l'aggiornamento dei dati personali;
Revocare le certificazioni o ingiungere all’organismo di certificazione di ritirare le certificazioni rilasciate se i
requisiti non sono soddisfatti;
Ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione
internazionale.
Sicurezza dei dati e protezione tecnologica
Con l’evoluzione tecnologica sono cambiate anche le condizioni e le necessità in cui opera l’informatica, parlando di
Computer, Information e Cyber security.
Tra gli obiettivi della sicurezza informatica spiccano: 33
Valentina Casta Dal 27/09/2023 Al 01/12/2023
Salvaguardare i sistemi da potenziali rischi e violazione dei dati, mettendo in atto una serie di misure tecniche e
organizzative per prevenire incidenti informatici e per reagire agli stessi in modo da ripristinare tempestivamente
il sistema, quantificare i danni e rilevare eventuali responsabilità;
Legata al processo con cui il sistema viene gestito (pianificazione, analisi dei rischi, gestione dei sistemi,
formazione del personale, ecc.) e limitatamente ai prodotti e alle tecnologie che vengono utilizzate.
Facendo un focus, però, sui tre tipi di sicurezza informatica, questi sono:
Computer security, protezione del sistema informatico, dei suoi apparati, dei programmi informatici, delle
infrastrutture e delle informazioni che sono elaborate, memorizzate e trasmesse.
Gli obiettivi, noti come “CIA triad” (RIAD nella traduzione italiana), sono di garantire la riservatezza, l’integrità, la
disponibilità del sistema o del componente;
Information security, concezione della sicurezza maggiormente orientata alla protezione delle informazioni e dei
dati.
La triade precedente si completa con ulteriori obiettivi di sicurezza: la non ripudiabilità e l’autenticità e, da ultimo,
i principi di accountability (responsabilità) e di auditability (verificabilità).
L’equilibrio tra gli obiettivi dipende dal perimetro e dai componenti del sistema;
Cyber security, indica la governance dei rischi nel ciberspazio contro la minaccia cibernetica.
La sicurezza nel ciberspazio è rilevante non solo come valore in sé, ma nell’ottica del bene comune della sicurezza
nazionale, della protezione delle infrastrutture critiche, dello sviluppo del mercato digitale e della tutela del
sistema di diritti e libertà fondamentali.
Approccio globale e di cooperazione.
Le caratteristiche più importanti della information security sono:
Riservatezza, garanzia che i dati e le risorse siano preservati dal possibile utilizzo o accesso da parte di soggetti non
autorizzati;
Integrità, garanzia che le informazioni non possano essere modificate o cancellate per azioni non autorizzate,
volontarie o involontarie, ma anche per danni o malfunzionamenti dei sistemi;
Disponibilità, l’accesso all’informazione risulta disponibile nei modi e nei tempi previsti alle persone che possono
e devono fruirne.
Asset è qualsiasi oggetto che abbia valore per il sistema o l’organizzazione.
La minaccia rappresenta un’azione, accidentale o deliberata, che può portare alla violazione di uno o più obiettivi di
sicurezza definiti (*violazione dei dati personali).
Caratteristiche degli attacchi informatici:
Asimmetria tecnologica;
Difficoltà di attribuzione dell’azione offensiva;
Uso e la gestione dell’informazione.
La vulnerabilità è “un difetto o una debolezza nella progettazione, nell’implementazione o nel funzionamento e nella
gestione che potrebbe essere sfruttato per violare la politica di sicurezza del sistema” (RFC Internet security Glossary).
ISO 27000 Vulnerabilità: la "debolezza di un asset o di un controllo che può essere sfruttata da una o più minacce”.
Un asset è qualsiasi oggetto che abbia valore per il sistema o per l’organizzazione.
Il rischio a cui è esposto un asset viene determinato dalla combinazione della probabilità che si verifichi una minaccia e la
gravità delle conseguenze che si avrebbero se l’evento si verificasse.
R= G * P
G (gravità o impatto): è l’entità dei danni possibili conseguenze all’evento
P (probabilità): è la probabilità che si verifichi la minaccia 34
Valentina Casta Dal 27/09/2023 Al 01/12/2023
La sicurezza informatica è il controllo del rischio su un dato sistema attraverso la predisposizione di misure organizzative e
tecniche per prevenire determinati eventi sfavorevoli e reagire agli stessi in modo da ripristinare tempestivamente il
sistema, quantificare i danni e rilevare eventuali responsabilità.
Sicurezza implica individuare i valori da proteggere e la loro graduazione, identi
Accedi a tutti gli appunti
Tutor AI: studia meglio e in meno tempo
