Marinuzzi & Associates
Servizi Legali A cura dell’Avv. Luca de Grazia
15-3-11
Marinuzzi & Associates
Via Giovanni Antonelli, 9 00197 Roma WWW .MARINUZZI.IT
F
Tel. (+39) 06 45 22 18 27 1
F
LA NOSTRA MISSIONE Facilitare la conformità normativa delle nuove soluzioni ICT prevedendo o risolvendo eventuali problematiche legali nel massimo tempismo ed economicità.
Riteniamo, infatti, che le scelte soprattutto importanti nelle loro implicazioni legali ed organizzative debbano esser prese sempre dopo attente verifiche esterne ed indipendenti dalla fonte che abbiamo ascoltato e che ce le ha proposte.
I PUNTI DI FORZA Abbiamo la massima competenza. Per poter erogare un servizio di prim’ordine abbiamo coinvolto nel servizio direttamente l’Avvocato Luca de Grazia autorità indiscussa sul diritto “in rete” con decine di pubblicazioni stimate e presenti nei principali blog di internet. L’Avv Luca de Grazia venendo nella Marinuzzi & Associates ha portato tutta la sua esperienza e le sue referenze che potete trovare in questo documento. In questo modo possiamo coprire a 360 gradi le esigenze del cliente dal punto di vista legale, organizzativo e tecnologico. Il nostro approccio è “best in class” con una attenzione scrupolosa all’etica, alla professionalità ed indipendenza e al tempismo nell’erogazione dei servizi. Non abbiamo costi generali gravosi da dover ribaltare nelle commesse e questo rende i nostri servizi particolarmente convenienti.
ii
Marinuzzi & Associates
Via Giovanni Antonelli, 9 00197 Roma WWW .MARINUZZI.IT
F
Tel. (+39) 06 45 22 18 27 1
LE ATTIVITÀ SVOLTE Consulenza, formazione, contrattualistica, assistenza anche giudiziale - nel settore della c.d. I.C.T. Law (Information Communication Tecnology): –
Implicazioni legali ed organizzative legate alla sicurezza informatica: Valutazione qualitativa e quantitativa della compliance alle norme sotto riportate Applicazione D.Lgs. n.196/2003 (privacy) Applicazione
D.Lgs. n.231/2001 (responsabilità amministrativa
persone giuridiche) Prevenzione reati informatici –
Diritto dell’informatica Contrattualistica e-commerce Contratto di hosting Contratto di housing Contratto per la realizzazione di siti web Contratto di application service provisioning Contratto di inclusione nel portale internet Trasferimenti di tecnologie e di Know How Misure tecnologiche di protezione (Digital Rights Management) Linking, framing e deep linking Web Radio e Web TV Prestatore e fornitore di servizi: obblighi e responsabilità Stampa e testate telematiche (blog e siti web) Editoria on-line: webstreaming, webcasting e downloading License di utilizzazione delle opere attraverso internet Pubblicità commerciale on-line Arti figurative e digital art Diffamazione a mezzo internet e reti telematiche
iii
Marinuzzi & Associates
Via Giovanni Antonelli, 9 00197 Roma WWW .MARINUZZI.IT
F
Tel. (+39) 06 45 22 18 27 1
Diritto alla riservatezza, diritto all’identità personale e trattamento dei dati personali Diritto all’immagine e al nome nelle reti telematiche ed in internet Tutela del dominio internet Tutela del Software e banche dati Il danno informatico Licenze d’uso open source –
Contrattualistica legata ai servizi on line
–
Controllo e coordinamento normative per certificazioni ISO 9001 ed ISO 27001
–
Implicazioni legali ed organizzative legate a: Firma digitale ed elettronica avanzata P.E.C. Conservazione ottica sostitutiva Protocollo informatico
–
Diritto Industriale: Marchi, Brevetti e Modelli Consulenza: requisiti per la registrazione e l’uso del marchio (novità, originalità, non confondibilità) Registrazione del marchio e rinnovo Marchio non registrato e preuso Circolazione e trasferimento dei marchi: cessione, licenza, franchising, merchandising e pubblicità Marchi di servizio, Marchi collettivi, Marchi di garanzia Marchio denominativo Marchio figurativo o emblematico Marchio di forma Marchio di colore Marchio di suono Marchio olfattivo Tutela del marchio Concorrenza sleale Contraffazione ed esaurimento Consulenza: requisiti di brevettabilità (industrialità, novità, originalità e liceità)
iv
Marinuzzi & Associates
Via Giovanni Antonelli, 9 00197 Roma WWW .MARINUZZI.IT
F
Tel. (+39) 06 45 22 18 27 1
Domanda di brevetto e concessione Invenzione del lavoratore e su commissione Circolazione e trasferimento dei brevetti: cessione e licenza Licenze obbligatorie, licenze di diritto e licenza volontaria Tutela dei brevetti e delle invenzioni Disegni e modelli (di utilità e ornamentali) Ditta, insegna e altri segni distintivi tipici e atipici –
Consulenza strategica / manageriale / supporto logistico in materia di information security Architetture della sicurezza Tecnologie di sicurezza (perimetrale, retroguardia, malware, etc) prevenzione e risposta alle frodi formazione sui concetti della sicurezza, informatica in particolare supporto per liti giudiziarie e non
-
Attività di prevenzione delle intrusioni Attività di prevenzione delle frodi e della perdita di informazioni Attività di management dei Log e valutazione delle vulnerabilità Information Security Risk management Digital Investigations e Computer Forensics Certificazioni Iso 9001 Certificazioni Iso 27001 Attività di scouting in relazione a prodotti/servizi/ecc. –
Servizi di sicurezza fisica
–
Investigazioni per processo civile, penale, ecc.
–
Videosorveglianza, telecontrollo, ecc.
–
Compliance della sicurezza sul lavoro
–
Attività di scouting in relazione a prodotti/servizi/ecc.
CREDITS Soggetti privati:
v
–
BTicino Spa (www.btcino.it )
–
Gruppo Electrolux (www.electrolux.it)
Marinuzzi & Associates
Via Giovanni Antonelli, 9 00197 Roma WWW .MARINUZZI.IT
F
Tel. (+39) 06 45 22 18 27 1
–
Gruppo Bancario Cassa di Risparmio di San Miniato (www.crsm.it)
–
Seeweb Srl (www.seeweb.it )
–
Webank S.p.A. (www.webank.it )
–
T.I.L.S. S.p.A.
–
Gruppo Inrtesa San Paolo S.p.A.
–
Gruppo Lavazza S.p.A.
–
Carlo Erba Reagenti S.r.l.
–
Mediaword S.p.A.
–
…altri…
–
Enti pubblici:
–
Università di Padova (www.unipd.it )
–
Presidenza Consiglio dei Ministri
–
Comune di San Donato Milanese
–
Provincia Reggio Emilia
–
Regione Emilia Romagna
–
…altri…
Garanzie Tutti i servizi erogati ed indicati nella presente sono svolti in regime di assoluta indipendenza di giudizio e senza alcun collegamento di tipo preferenziale nei confronti di alcun fornitore. Ogni scelta proposta sarà adeguatamente motivata al solo scopo di fornire al Cliente – al quale spetterà sempre la scelta della soluzione ritenuta più consona alle proprie esigenze - il corretto inquadramento logico – giuridico – organizzativo e tecnico della propria situazione, con garanzia di assoluta riservatezza su ogni aspetto dell’organizzazione interna del Cliente.
I RISCHI PENALI MINIMI SE NON SIAMO CONFORMI DPS: rischi penali Reato (colposo) di “Omessa adozione misure minime di sicurezza”, art. 169 D.Lgs. n.196/2003 Art. 169. Misure di sicurezza vi
Marinuzzi & Associates
Via Giovanni Antonelli, 9 00197 Roma WWW .MARINUZZI.IT
F
Tel. (+39) 06 45 22 18 27 1
•
Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni.
•
All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili. Art. 171 D.Lgs. n.196/2003 Art. 171. Altre fattispecie 1. La violazione delle disposizioni di cui agli articoli 113, comma 1, e 114 è punita con le sanzioni di cui all'articolo 38 della legge 20 maggio 1970, n. 300. LE SANZIONI AMMINISTRATIVE SE NON SIAMO CONFORMI DPS: sanzioni amministrative Sanzione amministrativa per commissione reato di “Omessa adozione misure minime di sicurezza”, art. 169 D.Lgs. n.196/2003 Art. 169. Misure di sicurezza (1) 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili. Art. 161. Omessa o inidonea informativa all'interessato (1)
vii
Marinuzzi & Associates
Via Giovanni Antonelli, 9 00197 Roma WWW .MARINUZZI.IT
F
Tel. (+39) 06 45 22 18 27 1
•
La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro. Art. 162. Altre fattispecie 1. La cessione dei dati in violazione di quanto previsto dall'articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro (1).
•
La violazione della disposizione di cui all'articolo 84, comma 1, è punita con la sanzione amministrativa del pagamento di una somma da mille euro a seimila euro ).
•
2-bis. (2) In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 [misure di sicurezza] o delle disposizioni indicate nell'articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta.
•
2-ter. In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d), è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro. Provvedimento A.d.S.: sanzioni amministrative (mancato rispetto art.154 D.Lgs. n.196/2003) Art. 161. Omessa o inidonea informativa all'interessato La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro. Art. 162. Altre fattispecie 1. La cessione dei dati in violazione di quanto previsto dall'articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali è punita con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro (1). 2. La violazione della disposizione di cui all'articolo 84, comma 1, è punita con la sanzione amministrativa del pagamento di una somma da mille euro a seimila euro ). 2-bis. (2) In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 [misure di sicurezza] o delle disposizioni indicate nell'articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta.
viii
Marinuzzi & Associates
Via Giovanni Antonelli, 9 00197 Roma WWW .MARINUZZI.IT
F
Tel. (+39) 06 45 22 18 27 1
2-ter. In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d), è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.
LE RESPONSABILITA’ CIVILI SE NON SIAMO CONFORMI
Per ogni mancato rispetto del D.Lgs. n.196/2003 D.Lgs n.231/2001: reati informatici D.Lgs n.231/2001: reati informatici Art. 24-bis. – (Delitti informatici e trattamento illecito di dati). – –
«Art. 635-bis. – (Danneggiamento di informazioni, dati e programmi informatici)
–
«Art. 635-ter. – (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità)
–
Art. 635-quater. – (Danneggiamento di sistemi informatici o telematici). –
–
Art. 635-quinquies. – (Danneggiamento di sistemi informatici o telematici di pubblica utilità).
Art. 24-bis. – (Delitti informatici e trattamento illecito di dati). – –
Art. 640-quinquies. – (Frode informatica del soggetto che presta servizi di certificazione di firma elettronica).
–
Art. 491-bis - Documenti informatici. [I]. Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli
–
ix
D.Lgs n.231/2001: i reati previsti dal D.Lgs. n.196/2003
Marinuzzi & Associates
Via Giovanni Antonelli, 9 00197 Roma WWW .MARINUZZI.IT
F
Tel. (+39) 06 45 22 18 27 1
Art. 167 Trattamento illecito di dati Art. 168 Falsità nelle dichiarazioni e notificazioni al Garante Art. 169 – Omessa adozione di misure di sicurezza Art. 171 Altre fattispecie Art. 172 Pene accessorie –
1. La condanna per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza.
D.Lgs n.231/2001: i reati previsti dalla L.D.A. –
Art. 25-novies - Delitti in materia di violazione del diritto d'autore
–
1. In relazione alla commissione dei delitti previsti dagli articoli 171, primo comma, lettera a-bis), e terzo comma, 171-bis, 171-ter, 171-septies e 171-octies della legge 22 aprile 1941, n. 633, si applica all'ente la sanzione pecuniaria fino a cinquecento quote.
–
2. Nel caso di condanna per i delitti di cui al comma 1 si applicano all'ente le sanzioni interdittive previste dall'articolo 9, comma 2, per una durata non superiore ad un anno. Resta fermo quanto previsto dall'articolo 174quinquies della citata legge n. 633 del 1941.
D.Lgs n.231/2001: i reati previsti per l’utilizzazione di marchi e brevetti altrui –
Art. 25-bis.1 - Delitti contro l'industria e il commercio
–
1. In relazione alla commissione dei delitti contro l'industria e il commercio previsti dal codice penale, si applicano all'ente le seguenti sanzioni pecuniarie:
–
a) per i delitti di cui agli articoli 513, 515, 516, 517, 517-ter e 517-quater la sanzione pecuniaria fino a cinquecento quote;
–
b) per i delitti di cui agli articoli 513-bis e 514 la sanzione pecuniaria fino a ottocento quote.
–
2. Nel caso di condanna per i delitti di cui alla lettera b) del comma 1 si applicano all'ente le sanzioni interdittive previste dall'articolo 9, comma 2.
OSSERVAZIONI
x
Marinuzzi & Associates
Via Giovanni Antonelli, 9 00197 Roma WWW .MARINUZZI.IT
F
Tel. (+39) 06 45 22 18 27 1
In un possibile giudizio penale… Esiste il concorso di persone nel reato ed esiste il concorso di reati. Esiste infine la c.d. “responsabilità colposa omissiva” per reato commissivo doloso. Occorre tenere presente le disposizioni seguenti: Modifiche del decreto legislativo 24 febbraio 1998, n. 58 da parte della Legge n.262/2005 Art. 154-bis. - (Dirigente preposto alla redazione dei documenti contabili societari). – 3. Il dirigente preposto alla redazione dei documenti contabili societari predispone adeguate procedure amministrative e contabili per la predisposizione del bilancio di esercizio e, ove previsto, del bilancio consolidato nonché di ogni altra comunicazione di carattere finanziario. 5. Gli organi amministrativi delegati e il dirigente preposto alla redazione dei documenti contabili societari attestano con apposita relazione, allegata al bilancio di esercizio e, ove previsto, al bilancio consolidato, l’adeguatezza e l’effettiva applicazione delle procedure di cui al comma 3 nel corso dell’esercizio cui si riferisce il bilancio, nonché la corrispondenza del bilancio alle risultanze dei libri e delle scritture contabili. L’attestazione è resa secondo il modello stabilito con regolamento dalla CONSOB. Infine non esiste solamente il giudizio penale ma anche le c.d. “investigazioni difensive” in ambito penale con una differenza delle modalità di acquisizione della prova in ambito penalistico e civilistico. E’ importante sapere Chi può fare cosa? E occorre sfatare alcune leggende metropolitane: Non si può effettuare un controllo interno preventivo, perché viola lo statuto dei lavoratori – Vero: se si intercettano infotelematiche del personale
indiscriminatamente
le
conversazioni
– Falso se si opera un sistema di prevenzione basato sulla sinergia policy/procedure/tecnologie in grado di attivare il controllo approfondito solo quando ve ne sussista il bisogno Non si può effettuare un controllo interno preventivo, perché viola la 196/2003. – Vero: se si intercettano infotelematiche del personale
indiscriminatamente
le
conversazioni
– Falso, se visto a priori. La 196/2003 richiede di fatto un sistema di prevenzione e repressione incidenti informatici di sicurezza. xi
Marinuzzi & Associates
Via Giovanni Antonelli, 9 00197 Roma WWW .MARINUZZI.IT
F
Tel. (+39) 06 45 22 18 27 1
“L’intervento sindacale renderà impossibile l’adozione di un controllo interno invasivo”. –
Vero: se è invasivo a priori
– Falso se si utilizza un modello proporzionale basato su procedure condivise D.Lgs. n.196/2003 e 231/2001: princìpi comuni di responsabilità –
Il “TITOLARE” paga sempre per i fatti compiuti dagli incaricati e dai responsabili (196/2003)
–
L’azienda paga sempre per il mancato controllo (231/2001)
–
In entrambi i casi l’onere della prova è a carico dell’azienda
Un approccio costruttivo –
Applicazione del principio di gradualità previsto dal Garante Privacy:
–
Implementazione di processi studiati da più internal players
–
Implementazione di una architettura tecnologica di supporto
–
Validazione esterna di un Team specializzato
–
Razionalizzare i dettami normativi non possono essere applicati se non effettua un controllo sul corretto uso delle risorse aziendali, al fine di prevenire le violazioni e gli abusi di sicurezza
–
L’utente non è in grado di “scagionarsi” se un “collega” utilizza illecitamente lo strumento informatico, a meno che non vi sia uno strumento come quello utilizzato nel progetto in argomento.
–
L’impianto di controllo è necessario sia all’azienda sia al lavoratore
xii
Applicazioni Tecnologiche –
Prevenzione degli attacchi e delle frodi, a prescindere dalla loro origine
–
Detection del traffico anomalo in caso di incidenti particolari.
–
Raggiungimento della compliance con il principio di gradualità, in quanto realmente modulari e granulari.
–
Usabilità anche in altri casi residuali di compliance (e-Discovery)
Marinuzzi & Associates
Via Giovanni Antonelli, 9 00197 Roma WWW .MARINUZZI.IT
F
Tel. (+39) 06 45 22 18 27 1
DATI DI CONTATTO
Managing Director: Ing. Francesco Marinuzzi, Ph.D. Tel. 06 45 22 18 27 1 Fax. 06 89 28 22 09
Riferimento specifico Avv. Luca-M. de Grazia Sede di Rappresentanza Via Sistina, 121 00187 Roma
Sede Operativa Via Giovanni Antonelli, 9 00197 Roma
Web: http://www.marinuzzi.it
Email: direzione @ marinuzzi.it P.I. 0970 8030 587
xiii
Marinuzzi & Associates
Via Giovanni Antonelli, 9 00197 Roma WWW .MARINUZZI.IT
F
Tel. (+39) 06 45 22 18 27 1