Antivirus: non aggiornare è reato!

22/04/2009
di Valentina Frediani

security_7255840_xxlQualche anno fa il virus Kamasutra aveva mandato in tilt i PC del Comune di Milano: la questione si era conclusa con una pessima figura del Comune, una multa emanata dall´Autorità Garante in materia di protezione dati personali per omissione di misure di sicurezza (circa 70.000 euro di sanzioni amministrative) ed un termine imposto sempre dal Garante, per effettuare il cosiddetto “ravvedimento”: provvedere alla regolarizzazione degli antivirus entro i tempi imposti dall´Autorità.

Oggi la questione sembra riaprirsi, anzi si riaprono in questo caso le porte del Tribunale Penale di Milano, in quanto un PM piuttosto attento alla materia ha notificato un avviso di garanzia al Responsabile dei sistemi informatici dell´epoca, contestando ben due reati: quello di omissione di controllo delle misure di sicurezza dei sistemi informativi, l´altro consistente in false attestazioni rese al Garante in relazione all´adeguamento alle misure trascorso il termine prescritto dal medesimo Garante per la messa a norma.
Di quali reati stiamo parlando? Stiamo parlando di due reati procedibili di ufficio, presenti nel decreto legislativo 196/2003 (cosiddetto Codice in materia di protezione dati personali) i quali prevedono non poche conseguenze negative in caso di accertamento della responsabilità dei soggetti indagati.  Il reato inerente le misure di sicurezza è citato all´art. 169 del suddetto Codice, il quale prevede espressamente che:
1 – Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall´articolo 33 è punito con l´arresto sino a due anni o con l´ammenda da diecimila euro a cinquantamila euro;
2 – All´autore del reato, all´atto dell´accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l´oggettiva difficoltà dell´adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l´adempimento alla prescrizione, l´autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell´ammenda stabilita per la contravvenzione. L´adempimento e il pagamento estinguono il reato.
Ebbene, all´epoca del primo controllo fu impartito al Comune il termine di prescrizione per l´adeguamento, difatti il Responsabile dei sistemi informativi rilasciò poi successivamente al Garante la dichiarazione inerente l´adeguamento avvenuto, evento che evidentemente avrebbe generato la presunta violazione lamentata dal PM ovvero la resa di false attestazioni all´Autorità Garante. Il problema è sorto quando a fine anno passato, proprio l´Autorità ha promosso una verifica presso il Comune, considerata la precedente gravità dei fatti: dall´accertamento è emersa la presenza di antivirus su 7000 e passa client, rispetto ai 10.500 client presenti realmente presso gli uffici del Comune.
È ovvio che ad oggi sotto il profilo penale si sta esclusivamente parlando di una potenziale responsabilità, è pur vero che gli aspetti relativi alla responsabilità penale nell´ambito privacy, vengono fin troppo sottovalutati.
Spesso titolari e responsabili dei trattamenti sono scettici circa i controlli e la concretezza delle responsabilità derivanti in materia di privacy, ritenendo con troppa leggerezza che le misure di sicurezza non a norma oggi, verranno “sistemate” nel tempo. Il tempo è già arrivato, il Codice in materia di protezione dati personali è in vigore dal primo gennaio 2004, le misure di sicurezza, anche se non fossero imposte dal legislatore, dovrebbero essere applicate solo alla luce dell´importanza che i dati rivestono all´interno del settore pubblico o privato: antivirus, password, back-up non dovrebbero trovare imposizione nel Codice privacy, dovrebbero essere una premura dei titolari del trattamento, adottando semplicemente una diligenza media.
E soprattutto in caso di outsourcing nella gestione delle misure di sicurezza, sarebbe opportuno effettuare controlli ed avere riscontri circa la veridicità delle misure adottate. Resta inteso che realtà estese come possono essere quelle dei Comuni o altri enti che contano più di 10.000 client, avrebbero dovuto “spalmare” l´impegno economico ed organizzativo della messa a norma negli anni subito successivi all´entrata in vigore del Codice. Oggi questo ancora in molte strutture non avviene, ma non c´è più nessuna scusante… O è privacy o non è privacy!

Riproduzione riservata ©

ALTRE NEWS

Smau Milano 2013: DI & P Srl racconta la propria esperienza

Si chiude il sipario sulla 50esima edizione di SMAU Milano 2013, una tre giorni dedicata ad esplorare le ultime frontiere delle tecnologie digitali per il… Leggi Tutto

GDPR, i testi in Gazzetta Ufficiale. Due anni da oggi per adeguarsi in materia di data protection

Il 14 aprile scorso l’approvazione definitiva della nuova GDPR – General Data Protection Regulation, ieri, 4 maggio 2016, la pubblicazione dei testi ufficiali in G.U.U.E….. Leggi Tutto

LinkedIn e la reputation aziendale

George Orwell diceva che “Chi controlla il passato controlla il futuro. Chi controlla il presente controlla il passato”. Aggiungerei anche che chi regolamenta – con… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.