Sicurezza e diritto alla protezione dei dati personali
(obiettivi)
L’insegnamento “Sicurezza e Protezione dei dati personali – Clinica legale privacy” (7 CFU), nell’ambito del settore scientifico-disciplinare IUS/09 “Istituzioni di diritto pubblico”, mira a coinvolgere gli studenti nello svolgimento di attività pratiche, sulla base delle nozioni teoriche che saranno loro fornite nella prima parte del corso, secondo il metodo dell’"imparare facendo” (learning by doing) anche attraverso una serie di simulazioni svolte in aula.
L’importanza di tale insegnamento è la consapevolezza che la protezione dei dati, il loro trattamento sicuro e la sicurezza delle Reti e degli strumenti con i quali i dati vengono trattati rappresentano ormai una priorità.
Gli attacchi cibernetici e gli aspetti di sicurezza dei dati e delle informazioni da tempo rappresentano uno dei principali strumenti per condurre attività ostili a danno di ogni operatore pubblico e privato di rilevanza nazionale, internazionale e strategica.
Negli ultimi anni in Italia come all’estero si è guardato con crescente preoccupazione alla difesa dei dati e delle informazioni e si è cercato di regolamentare la materia della protezione dello spazio cibernetico e delle banche dati d’interesse nazionale e strategico nonché alle infrastrutture critiche e al complessivo perimetro nazionale di sicurezza.
In questo contesto, la sicurezza dei dati personali, delle informazioni il diritto alla protezione dei dati personali, codificato a livello legislativo nel Regolamento Europeo n. 679/2016 in diversi Considerando e all’art. 32 nonché in altri punti del GDPR nonché nel Codice in materia di protezione dei dati personali (d.lgs. n. 196/2003), rappresenta un punto importante sia per il principio di riservatezza e protezione dei dati dell’individuo sia per la tutela delle banche dati dagli attacchi (non solo informatici) di cui spesso sono oggetto. Al tempo stesso anche tutta la legislazione in tema di cybersecurity rappresenta un obiettivo fondamentale e ambizioso che può essere raggiunto solo attraverso la creazione di un quadro strategico nazionale per la sicurezza dello spazio cibernetico.
Una strategia di tutela complessiva che bilanci in modo corretto e trasparente la tutela dei diritti dei cittadini e la sicurezza delle banche dati.
Pertanto, il diritto alla privacy, inteso sia come tutela della riservatezza che come protezione dei dati personali, ha ormai raggiunto un solido radicamento giuridico.
Il corso si propone di approfondire lo studio dei singoli argomenti della sicurezza informatica sia tecnici sia giuridici. Le lezioni non sono solo teoriche ma sono svolte soprattutto in chiave pratica e applicativa con dimostrazioni in aula (anche partecipate dagli studenti con lavori di gruppo con workshop mirati) aventi ad oggetto strumenti di gestione della sicurezza informatica e simulazioni in aula. Si faranno appronfondimenti sulle realtà aziendali e della Pubblica Amministrazione con analisi dei profili critici. Si discuterà di cosa sta accadendo nel mondo della sicurezza informatica, di quali sono le vecchie e nuove minacce. Particolare spazio verrà dato alle strategie che devono avere i diversi ruoli professionali che nel futuro saranno indispensabili per competere
con le sfide giuridiche e tecniche che ci attendono e che attendono i nostri giovani.
Verranno trattati argomenti quali:
-concetti generali di sicurezza dei dati e sicurezza informatica e il loro riflesso nelle disposizioni normative del nostro ordinamento anche con riferimento alle condotte tipiche degli attacchi informatici e all’importanza dello Human Factor, le attività illecite contro il domicilio informatico, i dati personali e le informazioni;
- gli aspetti legislativi e tecnici della sicurezza del cloud computing, dell’Internet of things, AI (machine learning e deep learning), e delle macchine predittive;
- la normativa GDPR (Regolamento europeo n. 679/2016) sulle misure di sicurezza (tecniche e organizzative) e il concetto di adeguatezza (verranno svolte simulazioni pratiche in aula); verrà affrontato il tema dell’analisi dei rischi preliminare al fine di fornire i parametri per una maggiore sicurezza dei dati; verranno studiati i principali sistemi per redigere una Privacy Impact assessment/ valutazione d’impatto, per fare registri dei trattamenti e risk management; gap analisys; policy aziendali come misure di sicurezza organizzative; si affronteranno alcuni provvedimenti dell’Autorità Garante relativi alla sicurezza dei dati personali (es. quello sui tabulati telefonici, sugli amministratori di sistema, e altri);
verranno trattati anche cenni sulle certificazioni di sicurezza; dopo aver affrontato il concetto di data breach compileremo in aula un modello di notifica al Garante simulando una violazione dei dati personali e le metodologie di approccio all’incidente informatico.
- si affronteranno i punti più importanti delle misure di sicurezza AGID per la PA, e quelli relativi alla materia legislativa inerente il quadro normativo del perimetro di sicurezza cibernetica (DPCM del 24.1.2013, Dpcm 17.2.2017, Direttiva NIS 2016/1148, la legge 18 novembre 2019, n 133, il dlgs 2018 sulla sicurezza delle reti e
dei sistemi informativi e sulla notifica degli incidenti informatici; il ruolo dei Cert Nazionali e del CSIRT Italiano (Computer Security Incident Response Team) e il ruolo del Nucleo per la sicurezza cibernetica, nonché le novità del Dpcm n. 131/2020;
Ciò fornirà allo studente gli strumenti necessari ad acquisire specifiche competenze in ambito di protezione dei dati personali, funzionali ad una eventuale futura attività lavorativa, sia nel settore pubblico, sia in quello privato.
|