Doveri e responsabilità.
Tutti possono liberamente raccogliere, per uso strettamente personale, dati personali riguardanti altri individui, a patto di non diffonderli o comunicarli sistematicamente a terzi. (Un esempio: i dati raccolti per uso personale nelle proprie agende cartacee o elettroniche).

Quando però i dati sono raccolti e utilizzati per altre finalità (ad esempio, un'azienda che vuole vendere prodotti, un professionista che vuole pubblicizzare i suoi servizi, un'associazione che vuole trovare nuovi iscritti, un partito che fa propaganda politica, ecc.), il trattamento dei dati personali deve rispettare alcune regole:

Informativa.
Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve prima fornire all'interessato alcune informazioni (articolo 13 del Codice) per metterlo nelle condizioni di esercitare i propri diritti (articolo 7 del Codice).
In particolare, l'informativa deve spiegare:
a) in che modo e per quale scopo verranno trattati i propri dati personali;
b) se il conferimento dei propri dati personali è obbligatorio o facoltativo;
c) le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali;
d) a chi saranno comunicati o se saranno diffusi i propri dati personali;
e) i diritti previsti dall'articolo 7 del Codice;
f) chi è il titolare e (se è stato designato) il responsabile del trattamento.

Se i dati personali sono stati raccolti da altre fonti (ad esempio, archivi pubblici, familiari dell'interessato, ecc.), cioè non direttamente presso l'interessato, l'informativa deve essere resa: - quando i dati sono registrati
oppure
- non oltre la prima comunicazione a terzi

L'omessa o inidonea informativa è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro (articolo 161 del Codice).

Consenso.
Soggetti privati e enti pubblici economici.
Fatte salve alcune eccezioni, per i soggetti privati e gli enti pubblici economici il trattamento di dati personali è possibile con il consenso dell'interessato documentato per iscritto (articolo 23 del Codice), che è valido se:
-all'interessato è stata resa l'informativa (articolo 13 del Codice);
-è stato espresso dall'interessato liberamente e specificamente in riferimento ad un trattamento chiaramente individuato (oppure a singole operazioni di trattamento).

Soggetti pubblici.
Le pubbliche amministrazioni non devono richiedere il consenso dell'interessato, purché il trattamento sia effettuato nell'ambito dello svolgimento delle proprie funzioni istituzionali (articolo 18 del Codice).

Il trattamento di dati personali effettuato in violazione dell'articolo 23 del Codice è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis, del Codice).

Modalità del trattamento.
Il trattamento deve avvenire riducendo al minimo l'utilizzo di dati personali (principio di necessità - articolo 3 del Codice), oltre che nel rispetto dei seguenti principi (articolo 11 del Codice):
-liceità e correttezza del trattamento;
-finalità del trattamento;
-esattezza e aggiornamento dei dati;
-pertinenza, completezza e non eccedenza dei dati raccolti rispetto alle finalità del trattamento;
-conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento.

Misure di sicurezza
Il titolare del trattamento è obbligato ad adottare misure di sicurezza idonee a ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento dei dati personali non consentito o non conforme alle finalità della raccolta (articolo 31 del Codice).
In particolare, il titolare deve adottare le misure minime di sicurezza (articolo 33 del Codice e Allegato B al Codice) volte ad assicurare un livello minimo di protezione dei dati personali.

L'omessa applicazione delle misure minime di sicurezza è punita con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis del Codice) e con la sanzione penale dell'arresto fino a 2 anni (articolo 169 del Codice).

Notificazione.
Nei casi espressamente indicati, che presentano rischi particolari legati alla tutela dei diritti e delle libertà delle persone interessate, il titolare deve notificare al Garante per la protezione dei dati personali l'intenzione di effettuare un trattamento prima di iniziarlo (articolo 37 del Codice).

L'omessa, ritardata o incompleta notificazione del trattamento, quando prevista, è punita con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro (articolo 163 del Codice).

Verifica preliminare.
Nel caso in cui il trattamento dei dati personali, pur non coinvolgendo dati sensibili o dati giudiziari, presenti rischi specifici per i diritti e le libertà fondamentali ovvero per la dignità delle persone in relazione:
-alla natura particolare dei dati trattati (ad esempio: dati biometrici);
-oppure, alle modalità del trattamento (ad esempio: sistemi di raccolta delle immagini associate a dati biometrici);
-oppure, agli effetti che il trattamento può determinare.

Il Garante per la protezione dei dati personali - su richiesta del titolare o d'ufficio - effettua una verifica preliminare all'inizio del trattamento, a seguito della quale può prescrivere misure ed accorgimenti particolari a tutela dell'interessato (articolo 17 del Codice).

Il trattamento di dati personali effettuato in violazione dell'articolo 17 del Codice è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis del Codice).

TRATTAMENTO DI DATI SENSIBILI E GIUDIZIARI.
Soggetti privati e enti pubblici economici.
I soggeti privati e gli enti pubblici economici possono effettuare un trattamento di:
-dati sensibili con il consenso scritto dell'interessato e previa autorizzazione del Garante per la protezione dei dati personali (articolo 26 del Codice), salvo alcune eccezioni specificamente previste;
-dati giudiziari se autorizzati da una espressa disposizione di legge o da un provvedimento del Garante per la protezione dei dati personali (articolo 27 del Codice).

Soggetti pubblici
Le pubbliche amministrazioni possono effettuare un trattamento di dati sensibili e dati giudiziari sulla base delle disposizioni specifiche previste dagli articoli 20, 21 e 22 del Codice in materia di protezione dei dati personali.

TRASFERIMENTO DEI DATI ALL'ESTERO.
(vedi anche la sezione del sito dedicata al tema)
Verso Paesi appartenenti all'Unione europea.
Le legislazioni dei Paesi aderenti all'Unione europea (adottate in attuazione della direttiva comunitaria 95/46/CE) sono considerate equivalenti in relazione all'adeguata tutela in materia di protezione dei dati personali. Il trasferimento attraverso o verso questi Paesi non è quindi soggetto a particolari restrizioni (articolo 42 del Codice).
Verso Paesi non appartenenti all'Unione europea.
Il trasferimento di dati personali verso Paesi non appartenenti all'Unione europea è possibile quando:
-ricorre una delle condizioni previste dall'articolo 43 del Codice in materia di protezione dei dati personali.
-oppure, è autorizzato dal Garante per la protezione dei dati personali sulla base di adeguate garanzie per i diritti dell'interessato (articolo 44 del Codice).

Fuori da questi casi, il trasferimento è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati personali non assicura un livello adeguato di tutela delle persone (articolo 45 del Codice).

Il trasferimento di dati personali effettuato in violazione dell'articolo 45 del Codice è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis del Codice).

CESSAZIONE DEL TRATTAMENTO.
In caso di cessazione del trattamento, i dati personali devono essere (articolo 16 del Codice):
a) distrutti;
b) ceduti ad altro titolare, purchè destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;
c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;
d) conservati o ceduti ad altro titolare per scopi storici, statistici o scientifici.


link di riferimento: http://www.garanteprivacy.it
Per ulteriori informazioni è anche possibile contattare l'Ufficio relazioni con il pubblico (URP) del Garante.

Sicurezza informatica.
Con il termine sicurezza informatica si intende quel ramo dell'informatica che si occupa delle analisi delle vulnerabilità, del rischio, delle minacce o attacchi e quindi della protezione dell'integrità fisica (hardware) e logico-funzionale (software) di un sistema informatico e dei dati in esso contenuti o scambiati in una comunicazione con uno o più utenti.

Tale protezione è ottenuta attraverso misure di carattere tecnico-organizzativo e funzionali tese ad assicurare:
la correttezza dei dati (integrità);
la confidenzialità dei dati (cifratura);
l'accesso fisico e/o logico solo ad utenti autorizzati (autenticazione);
la fruizione di tutti e soli i servizi previsti per quell'utente nei tempi e nelle modalità previste dal sistema (disponibilità);
la protezione del sistema da attacchi di software malevoli per garantire i precedenti requisiti.

GENERALITA'.

Parametri di protezione.
I principali aspetti di protezione del dato sono:
-la disponibilità;
-l'integrità dei dati;
-la riservatezza:

Principali cause di perdita di dati.
Le cause di probabile perdita di dati nei sistemi informatici possono essere molteplici, ma in genere vengono raggruppate in due classi di eventi:
-eventi indesiderati;
-eventi accidentali.
Eventi indesiderati.
Tra i due eventi sopra citati, quelli indesiderati sono quelli per lo più inaspettati, anche se è prudente aspettarsi di tutto, e sono i cosiddetti attacchi da parte di utenti non autorizzati al trattamento di dati o all'utilizzo di servizi. Alcuni degli eventi indesiderati che si possono subire possono essere:
-attacchi malevoli;
-uso delle proprie autorizzazioni per l'accesso a sistemi da parte di utenti non autorizzati.

Attacchi malevoli.
Gli attacchi malevoli vengono fatti, tramite la rete internet o altra connessione, da parte di utenti remoti che, usando software particolari, a volte creati da loro stessi, si intrufolano abusivamente all'interno del sistema, riuscendo ad ottenere piena disponibilità della macchina, per gestire risorse e dati senza avere i giusti requisiti richiesti.

Accesso a sistemi da parte di utenti non autorizzati.
Questo tipo di attacco sostanzialmente è simile al precedente, ma ha una forma diversa. Questo attacco consiste nell'uso non autorizzato di sistemi e di dati altrui, ma a differenza di un attacco malevolo, stavolta viene usata la macchina e non la rete.

Effetti.
La pericolosità degli attacchi in quanto tale, consiste non solo nella presa di possesso di requisiti, dati e servizi altrui, ma anche causa all'utente cosiddetto “derubato” una sorta di insicurezza a far fede sui sistemi informatici che spesso fanno parte della nostra vita quotidiana.

Eventi accidentali.
Gli eventi accidentali non riguardano attacchi malevoli, ma fanno riferimento a eventi causati accidentalmente dall'utente stesso, tipo: uso difforme dal consigliato di un qualche sistema, incompatibilità di parti hardware, guasti imprevisti, ecc… Tutti eventi che comunque compromettono la sicurezza del sistema soprattutto in termini di disponibilità.

Per far fronte a tali evenienze, specie se derivanti da possibili guasti o danni fisici, molte volte si opera in un contesto di ridondanza degli apparati (es. server cluster) ovvero con sistemi distribuiti all'interno di piani di disaster recovery che, assicurando la tolleranza ai guasti (fault tolerance), garantiscano affidabilità e disponibilità cioè il business continuity del sistema informatico e dell'azienda. A volte si preferisce agire anche in maniera preventiva tramite piani di disaster prevention.
Sicurezza dei programmi.
Il problema della sicurezza dei programmi e soprattutto dell'invio e ricezione di dati confidenziali protetti, si è posto all'attenzione degli sviluppatori di software come conseguenza della sensibile crescita dell'uso degli strumenti informatici e di internet. Per quanto riguarda la produzione di software "protetti" possiamo partire col definire il concetto di sicurezza come l'assenza di condizioni conflittuali capaci di produrre danni mortali o irreparabili ad un sistema. Nella progettazione di software è quindi fondamentale raggiungere il compromesso più funzionale tra l'efficienza d'uso del programma in questione e la sua capacità di "sopravvivenza" ad attacchi esterni e ad errori più o meno critici. Il livello base della sicurezza dei programmi è fornito dalla sicurezza del sistema operativo su cui poggiano i programmi applicativi.

link di riferimento: https://it.m.wikipedia.org

Protezione del database.
La protezione del database è l'attuazione della sicurezza informatica nel campo delle basi di dati. Il termine “sicurezza” viene spesso sostituito dal termine autorizzazione; si parla quindi di modelli di autorizzazione, gestione delle autorizzazioni, regole di autorizzazione. Si trattano solo misure di sicurezza logica per i dati, ossia le procedure che assicurano che l'accesso di dati avvenga solo da parte di soggetti autorizzati secondo le modalità (lettura, scrittura, ecc) autorizzate.


link di riferimento: https://it.m.wikipedia.org