NEWSLETTER

Accesso a sistema informatico: ragioni di servizio e consenso del titolare

by Serena Semprini -

 La Corte di Cassazione si è già espressa in diverse occasioni sul tema dell’accesso abusivo a sistema informatico.

 Il Giudice di Legittimità ha delineato due ipotesi da applicarsi con particolare riferimento all’accesso di sistemi telematici ad uso professionale.

 In estrema sintesi, il personale dipendente risponde per accesso abusivo a sistema informatico nei seguenti casi:

1)      Accesso a sistema informatico effettuato dall’utente in assenza di autorizzazioni per credenziali o privilegi;

2)      Accesso a sistema informatico effettuato con credenziali autorizzate, con permanenza ed attività nel sistema per ragioni ontologicamente estranee alle attività e ai servizi per i quali l’accesso è autorizzato e consentito e/o in violazione di condizioni e limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema;

 Con la recente del sentenza del 12 luglio 2021, n. 26530, la Suprema Corte prende posizione rispetto alla seconda ipotesi.

 Il caso tratta di un dipendente della Pubblica Amministrazione che, precedentemente assegnato ad un’altra unità dello stesso ente, aveva effettuato l’accesso al sistema informatico di servizio al fine di visualizzare una certificazione da lui già inserita nel corso dell’attività pregressa in altro ufficio. Sebbene l’accesso fosse autorizzato a mezzo di credenziali attive, la consultazione dell’area telematica in questione non rientrava più nelle competenze e nei limiti di operatività del dipendente.

 Posto che l’accesso del dipendente al sistema informatico interno resta autorizzato con le stesse credenziali, ci si chiede entro che limiti l’utente può mantenersi ed operare nel sistema in esame.

 L’attività svolta a mezzo dei servizi informatici deve effettuarsi con specifico riferimento alla mansione svolta e alle competenze correlate. Non è lecito, in generale, mantenersi nel sistema informatico, seppur con credenziali autorizzate, per effettuare qualsiasi operazione (es. visualizzazione di documenti) per ragioni ontologicamente estranee a quelle di servizio.

 Al fine di individuare in concreto tali ragioni estranee a finalità professionali, si fa riferimento al criterio di osservanza delle prescrizioni imposte dal titolare del sistema.

 La Corte di Cassazione chiarisce che il titolare del sistema è identificabile nella figura del superiore gerarchico preposto.

 E’ proprio il titolare a dover acconsentire all’accesso, da parte dei dipendenti, al sistema informatico predisposto e a garantirne i limiti di consultazione.

 Nel caso in cui il titolare non presenti espressamente diniego o, in ogni caso, una volontà contraria al libero utilizzo degli strumenti informatici da parte del dipendenti, a questi ultimi non può essere contestata alcuna violazione in materia di accesso abusivo.

 Si precisa, infine, che un eventuale dissenso del responsabile deve essere espresso in forma esplicita rispetto alla volontà di ammettere o meno l’accesso e/o il mantenimento del dipendente nel sistema informatico in gestione.

 Si trasmette di seguito il testo integrale della sentenza per ulteriore approfondimento.

Accreditamento e certificazione GDPR

by Serena Semprini -

Il Garante Privacy, in collaborazione con Accredia, ha fornito chiarimenti riguardo all’ottenimento della certificazione accreditata della protezione dei dati personali. 

GDPR e certificazione dei trattamenti di dati. Le Faq con i primi chiarimenti messe a punto da Garante privacy e Accredia

Si tratta di un’attestazione di conformità rispetto specifici servizi erogati in materia di protezione dei dati personali, che qualsiasi ente che operi in  qualità di titolare e responsabile, può richiedere ed ottenere.

In termini di privacy, la certificazione attesta nello specifico l’adeguatezza di:

  • Una singola operazione di trattamento (es. conservazione di dati personali)

  • Più operazioni di trattamento (es. raccolta, conservazione e trasmissione dei dati a soggetti terzi)

  • Il trattamento da parte di titolare e responsabile attraverso strumenti specifici (es. trattamento dati dei dipendenti da parte del datore di lavoro attraverso un software acquistato da una società esterna)

I requisiti oggetto della certificazione vengono valutati in conformità al GDPR o a specifiche norme tecniche (ISO/IEC) in materia di protezione dei dati personali e sicurezza delle informazioni. 

In Italia la certificazione viene rilasciata sulla base del seguente schema:

  • Il Garante Privacy, in qualità di Autorità di controllo e in ottemperanza a quanto richiesto dal Regolamento 679/2016 (GDPR) agli artt. 42 43 promuove il rilascio di certificazioni accreditate attestanti la conformità dei trattamenti effettuati da enti titolari e/o responsabili presenti sul mercato

  • Con D.Lgs 101/2018 (adeguamento del precedente Codice Privacy nazionale, D.Lgs 196/2003) è stata istituita la collaborazione tra il Garante Privacy ed Accredia in qualità di Ente nazionale per l’accreditamento

  • La certificazione viene rilasciata da OdC (organismi di certificazione) di cui Accredia accerta preventivamente l’imparzialità, la competenza e l’adeguatezza ai sensi del Regolamento (CE) n. 765/2008 e della norma tecnica ISO/IEC 17000:2020.

La richiesta di certificazione dell’ente titolare/responsabile va quindi presentata direttamente agli OdC di competenza (Ricerca OdC accreditati). 

È possibile infine avvalorare ulteriormente la certificazione a mezzo del sigillo europeo. Si tratta di uno schema di certificazione a livello comunitario, sviluppato per essere utilizzato in tutti gli Stati membri dell’Unione Europea.

La procedura è già stata definita dal Comitato Europeo per la protezione dei dati (EDPB) valutando l’adattabilità di singoli criteri nazionali alla circolazione dei dati in altri Paesi dell’UE.

Documento del Comitato Europeo per la protezione dei dati sul sigillo europeo

Accesso abusivo a sistema informatico

by Serena Semprini -

La Corte di Cassazione si è recentemente espressa in tema di accesso abusivo a sistema informatico e telematico da parte del personale della Pubblica Amministrazione.

La sentenza n. 8911/2021 fa luce sui diversi aspetti della condotta illecita prevista dall’art. 615-ter c.p., da ritenersi rilevanti nella gestione dei sistemi informatici dell’Università.

Di seguito i punti più rilevanti tra i principi richiamati sul tema dal Giudice di Legittimità:

  • È fatto divieto al personale dipendente o a chiunque fruisca dei servizi telematici dell’Ente di effettuare accessi a sistemi e aree riservate in assenza di credenziali autorizzate o privilegi specifici. Si riprende alla lettera quanto sanzionato dalla norma di riferimento, condannando la condotta abusiva di chi si introduce in sistemi informatici senza alcun permesso valido.

  • È considerata a pari livello illecita ed abusiva la condotta dell’utente che, pur se in possesso delle credenziali di accesso, si mantiene nelle aree del sistema informatico senza averne effettivamente il permesso in relazione al ruolo ricoperto all’interno dell’Organizzazione (es. cambio di collocazione del personale dipendente o variazione della qualifica interna originariamente attribuita). È sanzionata negli stessi termini la condotta dell’utente che in possesso di credenziali autorizzate accede al sistema interno per ragioni estranee o esorbitanti rispetto alla propria autorizzazione. Qualsiasi funzione deve essere strettamente correlata al ruolo dell’utente e al fine della sua attività, effettuando solo operazioni strettamente necessarie.

  • Particolare attenzione è dedicata ai dati e alle informazioni presenti all’interno del sistema informatico protetto, accessibili all’utente autorizzato. È espressamente vietata qualsiasi operazione che porti ad una diffusione estranea rispetto alle ragioni di istituto e agli scopi correlati alla protezione dell’archivio informatico. Più precisamente, la disposizione tratta non solo della divulgazione all’esterno di dati o informazioni riservati all’Ente, bensì anche di una visualizzazione o consultazione in generale che sia esorbitante rispetto alle finalità di servizio.

  • Si riporta infine che l’art. 615-ter c.p. prevede come aggravante la circostanza in cui l’accesso abusivo a sistema informatico sia effettuato da parte di un pubblico ufficiale o incaricato di pubblico servizio. Si precisa che la mera qualifica non è sufficiente a configurare l’aggravante descritta, ma è necessario che il fatto sia commesso dall’utente con abuso dei poteri o in violazione dei doveri inerenti alla sua funzione, con lo scopo di eludere più facilmente i limiti posti al sistema protetto.

Si trasmette di seguito il testo integrale della sentenza per ulteriore approfondimento.

 

Nuove linee guida su Cookie e strumenti di tracciamento

by Serena Semprini -

Sono state pubblicate in Gazzetta ufficiale le nuove linee guida del Garante privacy in materia di cookies e strumenti di tracciamento sui siti web (Gazzetta Ufficiale n. 163 del 9 luglio 2021):

Enti pubblici ed imprese dovranno adeguare i sistemi di tracciamento dei propri siti web ai nuovi criteri indicati entro il 9 gennaio 2022.

Di seguito le principali novità introdotte dalle linee guida cookie aggiornate al 2021:

  • Le linee guida si applicano a tutti i sistemi di tracciamento, sia di tipo attivo (es. cookies classici, altri sistemi di tracciamento informazioni,...) che di tipo passivo (es. sistema di analisi di comportamento degli utenti)

  • I dati degli utenti potranno essere raccolti tramite i sistemi di tracciamento solo tramite consenso dell'interessato

  • Si conferma la distinzione tra cookie tecnici, cookie analitici di terze parti e cookie di profilazione, con rafforzamento della richiesta di consenso da parte dell'interessato al trattamento dati

  • Il consenso dell'utente può essere richiesto tramite banner contente l'informativa in un linguaggio semplice ed accessibile, con possibilità di chiudere il banner con comando X senza prestare automaticamente il consenso all'utilizzo di cookie e mantenendo le impostazioni di default

  • Il sistema Scrolling non è adatto alla raccolta del consenso al trattamento, si richiede di inserire un processo più articolato nel quale l'utente possa manifestare la propria volontà al trattamento dati in maniera informata in un evento qualificato e registrato
  • il Cookie Wall si ritiene illecito nel caso in cui non consenta all'utente la libera visualizzazione di un contenuto senza prestare il consenso all'utilizzo dei cookies.

  • I consensi precedentemente raccolti rispetto alle nuove linee guida mantengono la loro validità se correttamente registrati e conformi al GDPR

Decreto Reclutamento e nuovo Decreto Semplificazioni - DOSSIER

by Giorgio Valandro -

Decreto Riaperture e altre proroghe

by Giorgio Valandro -

Si segnala che è stato convertito in legge il c.d. Decreto Riaperture:

In sede di conversione il decreto-legge in commento ha assorbito anche il decreto-legge n. 56/2021 (ora abrogato), confermando la proroga al 31 dicembre del lavoro agile semplificato.
 
Considerata l'evoluzione della pandemia (tutta Italia in zona bianca), bisogna tener conto che lo stesso d.l. 52/2021 (dedicato soprattutto a zone rossa, arancione e gialla) rinvia alle misure anti-contagio di cui al DPCM 2 marzo 2021. Vai al DOSSIER
 
Proroghe
Il decreto- legge n. 99/2021 (art. 2, commi 1 e 2) (in  vigore dal 30 giugno 2021) ha prorogato al 31 agosto 2021:
  • la sospensione delle verifiche di inadempienza che le PA devono effettuare, ai sensi dell’art. 48-bis del DPR n. 602/1973, prima di disporre pagamenti - a qualunque titolo - di importo superiore a 5.000,00 euro (modifica art. 68 d.l. 18/2020 c.d. Cura Italia, al quale rinvia art. 153, comma 1, d.l. 34/2020).
  •  la sospensione dei pignoramenti dell'Agente della Riscossione su stipendi e pensioni (modifica art. 152, comma 1, d.l. 34/2020 c.d. Decreto Rilancio).

Altri decreti:

Decreto concorsi e nuovo Decreto semplificazioni

by Giorgio Valandro -

Si segnala che è stato convertito in legge, con modificazioni, il d.l. 44/2021 in materia di concorsi pubblici, vaccinazioni Sars-cov-2 e di giustizia:

In particolare, si segnala che in sede di conversione è stato precisato che nei concorsi pubblici la valutazione preliminare dei titoli legalmente riconosciuti è limitata ai “profili qualificati dalle amministrazioni, in sede di bando, ad elevata specializzazione tecnica” e che "i titoli e l'eventuale esperienza professionale, inclusi i titoli di servizio, possono concorrere alla formazione del punteggio finale in misura non superiore a un terzo".
L'art. 10  introduce nuove modalità semplificate a regime delle procedure concorsuali delle PA e prevede una disciplina transitoria per i concorsi già banditi o da bandire fino alla cessazione dello stato di emergenza.
La nuova disciplina non si applica alle procedure di reclutamento dei professori e dei ricercatori universitari.

Nuovo Decreto Semplificazioni (d.l. 77/2021)
Si segnala che è stato pubblicato nella Gazzetta ufficiale del 31 maggio anche il decreto-legge n. 77/2021 (c.d. Decreto Semplificazioni), recante misure per la "Governance del Piano nazionale di rilancio e resilienza e prime misure di rafforzamento delle strutture amministrative e di accelerazione e snellimento delle procedure":
Oltre a dettare norme per l'attuazione del PNRR, il decreto-legge (che è già in vigore dal 1° giugno e dovrà essere convertito in legge entro il 31 luglio) introduce misure di "semplificazione" in tema di appalti e transizione digitale, apportando modifiche anche al Codice appalti (d.lgs. 50/2016), al precedente Decreto Semplificazioni (d.l. 76/2020) e al Codice dell'amministrazione digitale (d.lgs. 82/2005).
 
Seguirà dossier di approfondimento.
Older topics...