Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il 20 gennaio 2016 il Consiglio dei Ministri, su proposta del Ministro per la semplificazione e la pubblica amministrazione, ha approvato, in esame preliminare, il decreto legislativo recante norme di attuazione dell’articolo 1 della legge 7 agosto 2015, n. 124, recante modifica e integrazione del codice dell’amministrazione digitale (CAD) di cui al decreto legislativo 7 marzo 2005, n. 82.

Lo schema del decreto legislativo, la relazione illustrativa e l’analisi tecnico-normativa sono state pubblicate sul sito del governo e sono disponibili a QUESTO indirizzo.

Una nuova intesa sul trasferimento dei dati, basata su “pesi e contrappesi opportuni” è stata annunciata in questi giorni dal vice presidente della Commissione Europea, Andrus Ansip. Quello che è stato battezzato Privacy Shield, sarà sottoposto al vaglio dei garanti europei, che da tempo avevano richiesto la messa a punto di un quadro legislativo internazionale per la tutela dei dati dei cittadini del continente.

Il precedente accordo Safe Harbour, durato 15 anni, e che aveva regolato 4 mila aziende che operano sul Web, è stato invalidato dalla Corte di Giustizia Ue il 6 ottobre, in quanto ritenuto privo di sufficienti garanzie sulla tutela della riservatezza dei dati degli utenti europei trasferiti oltreoceano.

ll Privacy Shield dovrebbe perciò in prima istanza ottemperare alla questione sollevata dalla Corte.

Secondo quanto annunciato, con l’entrata in vigore del Privacy Shield, sarà possibile importare oltreoceano dati personali provenienti dall’Europa accettando condizioni stringenti su come possano essere elaborati in garanzia dei diritti dei cittadini. Si passerebbe così dalle autocertificazioni del Safe Harbor a impegni vincolanti, verificabili dalla Federal Trade Commission americana.

I cittadini europei avranno a disposizione diverse opzioni per fare opposizione al trattamento dei dati personali quando ritenuto opportuno. Le aziende americane dovranno rispondere alle contestazioni entro limiti di tempo stabiliti. In caso di inadempienza, i cittadini europei potranno rivolgersi alle autorità nazionali per la tutela dei dati personali, quindi al Department of Commerce e alla Federal Trade Commission USA. Nei casi che coinvolgeranno le autorità di intelligence, si ricorrerà al giudizio di una terza figura indipendente, stabilita dal Privacy Shield.

In merito all’accesso ai dati da parte delle autorità governative USA, il commissario europeo Jourova ha pubblicamente assicurato che il nuovo accordo politico prevede “che i dati degli europei non verranno sottoposti a sorveglianza indiscriminata”. Infatti, “per la prima volta in assoluto gli Stati Uniti hanno dato all’Unione Europea garanzie vincolanti che l’accesso da parte delle autorità giudiziarie e per la sicurezza nazionale sarà soggetto a limitazioni, tutele e meccanismi di controllo chiari”. Le eventuali eccezioni contemplate potranno essere “adottate solo in maniera necessaria e proporzionata”, impedendo il verificarsi di controlli di massa sui dati personali trasferiti negli USA. Un’analisi annuale congiunta della Commissione Europea e del Department of Commerce verificherà il rispetto degli accordi presi.

Il Privacy Shield è in questi giorni passato al vaglio dei garanti europei riuniti nell’Articolo 29 Working Party. Il Commissario europeo Jourova, che parteciperà alla discussione con i garanti, prevede l’entrata in vigore del nuovo accordo entro tre mesi.

Il Gruppo di lavoro sull’Articolo 29 ha rilasciato un comunicato in cui annuncia la richiesta alla Commissione di ulteriori documenti per valutare l’efficacia delle regole del nuovo accordo. Un’analisi approfondita risulterebbe necessaria per verificare che le clausole legali possano davvero fornire una soluzione sicura alle “preoccpuazioni” sul trasferimento dei dati internazionali sollevate dalla sentenza del caso Schrems.

Per approfondimenti:

QUI il testo della sentenza Causa C-362-14

QUI il comunicato dell’Articolo 29 Working Party

QUI il Comunicato Stampa della Commissione Europea sul Privacy Shield

Forum PASi riporta qui l’articolo di Giusella Finocchiaro apparso sul magazine di Forum PA il 1 febbraio 2016.

Il Consiglio dei Ministri del 20 gennaio 2016 ha approvato, in esame preliminare, il decreto legislativo di modifica e integrazione del Codice dell’Amministrazione digitale (di seguito, per brevità “CAD”). Sperando di fornire un contributo costruttivo, esprimo alcune perplessità sulla nuova sistematizzazione della disciplina del documento informatico e delle firme elettroniche quale emerge dalla lettura della bozza.

Gli articoli rilevanti sul valore giuridico del documento informatico e sulla sua efficacia probatoria sono tre:

-l’art. 20 sul documento informatico senza firma;
-l’art. 21 sul documento informatico con firma elettronica, firma elettronica avanzata, firma elettronica qualificata e firma digitale;
-l’art. 23 quater sulle riproduzioni informatiche.

Nel CAD vigente l’art. 20, comma 1-bis dispone che:

“1-bis. L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità, fermo restando quanto disposto dall’articolo 21”.

Nel nuovo CAD l’art. 20, comma 1-bis suonerebbe:

“1-bis. L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità”.

Dunque su questo punto non si verificherebbero particolari cambiamenti. L’art. 21, invece, sarebbe radicalmente rivisto.

Di seguito il nuovo articolo 21

“2. Fermo restando quanto previsto dai commi 2-bis e 2-ter, il documento informatico sottoscritto con firma elettronica, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”.

“2-bis Salvo il caso di sottoscrizione autenticata le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, redatte su documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13), del codice civile redatti su documento informatico o formati attraverso procedimenti informatici sono sottoscritti, a pena di nullità, con firma elettronica avanzata, qualificata o digitale.

(omissis)”

Non va poi dimenticato l’art. 23-quater sulle riproduzioni informatiche il quale dispone che “All’articolo 2712 del codice civile dopo le parole: ‘riproduzioni fotografiche’ è inserita la seguente: ‘informatiche’” che rimarrebbe invariato.

Sul commento dell’art. 23-quater non posso intrattenermi qui per ragioni di necessaria brevità, ma ricordo la contraddizione fra questa norma e l’art. 20 nell’ormai ampia interpretazione giurisprudenziale.

Dunque il sistema che emergerebbe sarebbe il seguente:

- il documento informatico senza firma sarebbe valutabile in giudizio dal giudice, sotto ogni profilo;
- il documento informatico con firma elettronica soddisferebbe il requisito della forma scritta (ad substantiam, cioè per la validità dell’atto?) e avrebbe l’efficacia prevista dall’articolo 2702 del codice civile cioè quella della scrittura privata;
- il documento informatico con firma elettronica qualificata o digitale si suppone avrebbe l’efficacia probatoria della scrittura privata ma ciò non è espressamente disposto;
- al documento informatico con firma elettronica qualificata o digitale sarebbe applicabile la nota presunzione di utilizzo del dispositivo da parte del titolare dello stesso;
- il documento informatico con firma elettronica qualificata o digitale soddisferebbe tout court il requisito della forma scritta ad substantiam;
- il documento informatico con firma elettronica avanzata soddisferebbe il requisito della forma scritta ad substantiam soltanto nei casi indicati dall’art. 1350, primo comma, n. 13 del codice civile cioè per gli atti non aventi ad oggetto beni immobili.

Dunque, in estrema sintesi, non cambierebbe la disciplina sul documento informatico con firma elettronica avanzata, qualificata e digitale (anche se il testo novellato presenta già segnalati problemi di drafting); cambierebbe invece quella concernente il documento con firma elettronica.

Qui, dalla valutazione caso per caso del giudice, si passerebbe all’affermazione del soddisfacimento del requisito della forma scritta e dell’efficacia della scrittura privata.

Sia detto a margine, occorrerebbe chiarire se la forma scritta di cui si parla in relazione al documento informatico con firma elettronica è quella ad substantiam. Ma soprattutto occorre sottolineare che fino ad oggi il documento informatico con firma elettronica era valutabile caso per caso dal giudice, dal momento che a priori non si conosce quale sia in concreto la firma elettronica, la quale può andare da una password banale ad un sistema basato sulla biometria, con un conseguente livello di sicurezza assai variabile.

Nella vigente normativa, dunque, non conoscendo a priori di che firma in concreto si parla, si demanda al giudice l’individuazione del valore del documento cui essa è associata.

Nel nuovo CAD, invece, si affermerebbe che il documento con firma elettronica soddisfa comunque il requisito della forma scritta ed è scrittura privata. Dunque ad un documento con una firma non definita a priori si associano il valore giuridico e l’efficacia probatoria della scrittura privata. Il che non è richiesto affatto dalla normativa europea (né da quella attualmente vigente, né dal regolamento EIDAS che entrerà in vigore il prossimo 1° luglio), la quale anzi prevede soltanto il principio della non discriminazione del documento informatico: cioè che ad un documento informatico non può essere negato valore giuridico soltanto per la sua forma elettronica.

Con la formulazione del nuovo art. 21 pare volersi andare oltre, disponendo che un documento informatico ha l’efficacia della scrittura privata e dunque soddisfa il requisito della forma scritta ad substantiam.

Il giudice dovrebbe peraltro valutare il documento informatico con firma elettronica alla luce di regole tecniche il cui contenuto appare assai difficile da immaginare, dal momento che esse potrebbero oscillare fra i due estremi della casistica analitica (con i rischi connessi ad un’elencazione inevitabilmente incompleta e necessariamente sottoposta ad un continuo aggiornamento) e i principi generali già statuiti in precedenza per il documento informatico e per lo stesso documento informatico con firma elettronica (sicurezza, qualità, immodificabilità, integrità).

Se lo scopo è quello di evitare la consulenza tecnica d’ufficio o di dare più certezza giuridica al documento informatico con firma elettronica, difficilmente esso sarà raggiunto, perché comunque le regole tecniche (ardue da immaginare) dovranno sempre presentare ampli spazi di adattamento alla tecnologia e quindi di interpretazione. E non è affatto improbabile che il giudice comunque ricorra alla CTU.

In compenso ci si sarà allontanati dalla normativa europea per creare nuova confusione.

Il punto è che si sta cercando di rendere quadrato ciò che è nato tondo: cioè di rendere “non neutra” la firma elettronica, che come tutti sanno è tecnologicamente neutra. E questa operazione sarebbe portata a termine attraverso le redigende regole tecniche le quali dovrebbero modificare la natura della firma elettronica. Il regolamento europeo non va in questa direzione e neppure i testi internazionali (come la Convenzione Uncitral sulle comunicazioni elettroniche e il Model Law in materia di firme elettroniche).

Se si vogliono evitare i rischi della neutralità tecnologica, si può utilizzare la firma digitale.

Se si vogliono i vantaggi della neutralità tecnologica, si può utilizzare la firma elettronica.

Se si confondono i due approcci sistematici, dopo almeno vent’anni di elaborazione giuridica su questi temi, quando finalmente il mercato si è assestato, non si crea certezza giuridica, ma al contrario, incertezza. E il mercato, che ormai ha assorbito queste tematiche, non ha certo bisogno di nuovi dubbi né di attendere ulteriori improbabili regole tecniche.

posted by admin on gennaio 28, 2016

PA telematica

(No comments)

Digital-Signature-blueIl 20 gennaio 2016 il Consiglio dei Ministri ha approvato, in esame preliminare, uno schema di decreto legislativo sulle norme di attuazione dell’articolo 1 della legge 7 agosto 2015, n. 124, recante modifiche e integrazioni al CAD.

La riforma del CAD comprenderà disposizioni sul domicilio digitale della persona fisica e la sede legale delle imprese, mantenendo lo SPID quale strumento privilegiato di accesso in rete ai servizi delle pubbliche amministrazioni. Sarà compito delle PA provvedere a garantire l’accesso digitale ai propri servizi tramite il “pin unico” entro dicembre 2017. Per una maggiore trasparenza le amministrazioni saranno obbligate a inserire nei propri siti Internet informazioni esaustive per ciò che concerne appalti, tempi medi di attesa nella sanità, tempestività dei pagamenti nei confronti delle imprese creditrici, risultati di valutazione e piani per la prevenzione della corruzione.

Compito fondamentale delle modifiche sarà quello provvedere alla progressiva eliminazione dei supporti cartacei, per una maggiore efficienza e un significativo risparmio di risorse anche sotto il profilo ambientale. Con l’estinzione del cartaceo, cambierà il valore probatorio del documento informatico.

Ogni atto pubblico formato su documento informatico non sottoscritto da un pubblico ufficiale con firma qualificata o digitale sarà dichiarato nullo. Sembra che le definizioni di firma elettronica, firma elettronica avanzata e firma elettronica qualificata, siano state abrogate dal nuovo CAD rinviando a quelle del Regolamento eIDAS, la firma digitale non apparterrà al novero delle firme elettroniche avanzate, bensì a quello delle firme elettroniche qualificate.

Poiché i documenti informatici saranno conservati per legge dalla pubblica amministrazione, cesserà l’obbligo di conservazione a carico dei cittadini e delle imprese, che potranno richiedere di avervi accesso in qualunque momento. Il Foia (Freedom of Information Act), sarà lo strumento che permetterà al cittadino di fare richiesta di dati alle amministrazioni senza obbligo di motivazioni, ad eccezione dei casi di segreto di divieto di divulgazione.

Il nuovo CAD entrerà in vigore il primo luglio del 2016.

posted by admin on gennaio 26, 2016

Computer Crimes, data breach

(No comments)

Le nuove regole puntano a superare l’attuale frammentazione normativa e stabiliscono un alto livello di sicurezza per le reti e i sistemi informatici comune a tutti i paesi dell’Unione.

Le aziende che si occupano di servizi indispensabili come quelle del settore dell’energia, del trasporto, della salute e dei servizi bancari e le compagnie che operano nell’area dei servizi informativi e delle risorse digitali dovranno intraprendere una serie di azioni volte a contenere possibili cyber-attacchi che possano minarne la sicurezza e la conservazione dei dati. È quanto stabiliscono le nuove regole approvate dai Membri della Commissione Mercato Interno del Parlamento Europeo e dai negoziatori del Consiglio, che devono ora essere confermate dall’intero Parlamento e dal Consiglio Europeo.

La nuova Direttiva è stata ideata per uniformare le singole normative dei 28 stati membri nei settori industriali di importanza critica in cui le aziende dovranno garantire di essere sufficientemente protette e dovranno impegnarsi a comunicare tempestivamente alle autorità nazionali qualunque breccia nei sistemi di sicurezza.

Assicurare la prevenzione di questo tipo di incidenti e garantire una risposta efficiente in caso di attacchi è un tema da tempo dibattuto in sede europea. La prima proposta della Direttiva risale al 2013. La Direttiva creerà un “gruppo di coordinazione” tra gli Stati, istituendo un Segretariato all’interno della Commissione, allo scopo di sostenere e facilitare la cooperazione strategica e lo scambio di informazioni tra le nazioni, sviluppando fiducia reciproca e affidabilità.

Dopo l’approvazione formale del testo la Direttiva sarà pubblicata nella Gazzetta ufficiale Europea ed entrerà in vigore. Da quel momento gli Stati Membri avranno 21 mesi per integrare la Direttiva nella legislazione nazionale e 6 mesi in più per identificare gli operatori dei servizi essenziali dei settori coinvolti.

La nuova normativa richiede agli Stati comunitari di definire politiche, misure regolatorie e obiettivi strategici per la sicurezza delle reti e dei sistemi informativi (Network and Information systems – NIS). Ogni singolo stato dovrà designare un’ autorità competente nazionale  per l’implementazione e l’enforcement della Direttiva, così come dovrà organizzare le squadre speciali (Computer Security Incident Response Teams – CSIRTs) responsabili di gestire gli incidenti e i rischi.

Le squadre CSIRT di ogni stato si coordineranno all’interno di una rete comunitaria, la CSIRTs Network, allo scopo di promuovere gli scambi e la cooperazione effettiva sulla cybersicurezza, condividendo le informazioni sui rischi. L’ENISA si occuperà del Segretariato del CSIRTs Network.

Ulteriori informazioni sulla Direttiva sono disponibili sul sito del Parlamento Europeo. La bozza di testo approvata è disponibile QUI.

In data 18 dicembre 2015 il COREPER ha approvato il testo del compromesso finale del Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, frutto dei negoziati in forma di trilogo tra il Consiglio, il Parlamento europeo e la Commissione.

Prende così vita la tanto attesa riforma in materia di protezione dei dati personali, i cui primi passi risalgono alla Proposta della Commissione europea di Gennaio 2012. Da allora sono trascorsi quattro anni di intenso lavoro delle istituzioni europee, determinate a conservare il ruolo di prim’ordine conquistato dall’Unione in tale ambito, attraverso l’elaborazione di una normativa al passo con gli sviluppi tecnologici finalizzata a rafforzare i diritti fondamentali dei cittadini nell’era digitale. Il nuovo Regolamento europeo andrà ad aggiornare e modernizzare i principi in materia di tutela dei dati personali sanciti dalla Direttiva 95/46/CE, secondo un quadro coerente e armonizzato valido per tutto il territorio europeo che consentirà, tra l’altro, di porre fine alla corrente frammentazione normativa in materia.

In attesa dell’approvazione definitiva, è interessante esaminare i capisaldi che il Regolamento pone a tutela della protezione dei dati personali contestualizzata nell’ambiente di Internet.

Particolare attenzione è dedicata ai diritti degli interessati in un’ottica di rafforzamento e conferimento di un maggior potere di controllo sui propri dati personali circolanti nella Rete: sono da segnalare il diritto di rettifica dei dati, il diritto all’oblio, il diritto a restringere il campo del trattamento al ricorrere di determinate evenienze, il diritto alla portabilità dei dati e il diritto ad opporsi a determinati trattamenti.

I controllers (titolari del trattamento) vengono maggiormente responsabilizzati, dovendo predisporre misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento e dovendo obbligatoriamente comunicare alle autorità e agli interessati i c.d. data breaches, ossia le violazioni dei dati avvenute durante tali operazioni.

Un secondo ordine di controlli viene affidato alle figure del Data Protection Officer (già previsto, a livello europeo, dal Reg. UE n. 44/2001) e di una supervisory authority indipendente a livello nazionale, poste a presidio del rispetto dei diritti dei cittadini e a garanzia della conformità delle operazioni di trattamento alle disposizioni del Regolamento. Al fine di coordinare l’azione delle Autorità di vigilanza nazionali sarà poi istituito il Comitato europeo per la protezione dei dati, che assicurerà a sua volta il funzionamento di meccanismi di mutua assistenza.

Infine, la legittimità dei trasferimenti di dati verso Paesi extra-UE sarà subordinata ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato. In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze.

Giusella Finocchiaro

Laura Greco

posted by admin on gennaio 22, 2016

identità digitale

(No comments)

persuasive-landing-pages-words-have-powerSplashData ha stilato per il quinto anno la classifica delle password più utilizzate. Nel 2015, come nei cinque anni precedenti, la password più utilizzata è stata “123456″.

SplashData è un’azienda californiana specializzata in applicazioni di password management che comunica i dati in questione con l’intento di dimostrare la pericolosità delle password semplici e prevedibili, seppure facili da ricordare. Le prime dieci posizioni della lista sono pressoché identiche a quelle dell’anno precedente, con “password” al secondo posto, “12345678″ al terzo e l’inossidabile “qwerty” al quarto. Nella top 25, si registra l’ingresso di alcune novità, tra le quali “Star Wars”, collocatasi al 25 posto.

La storia della classifica sembrerebbe evidenziare un certo grado di affezione da parte degli utenti per le soluzioni più vulnerabili. Alle infelici scelte di password contenenti soli numeri, e tutte le combinazioni di lettere realizzate digitando tasti in sequenza, alle parole prese dal gergo sportivo, o in riferimento a hobby, atleti famosi, titoli di film, alle date di nascita e nomi di persona, specie se riconducibili a membri della propria famiglia, dovremmo infatti aggiungere la pericolosa tendenza al riutilizzo delle stesse password per più account e perduranti nel tempo. Un’abitudine che di solito subisce significativi stravolgimenti solo in seguito al furto dell’identità digitale.

Sarebbe importante imparare a compilare parole chiave più di almeno 8 caratteri alternati tra numeri, lettere e segni tipografici, evitando allo stesso tempo combinazioni difficili da memorizzare. È consigliabile ideare vere e proprie frasi separate da spazi o caratteri speciali, meglio se in sequenze di parole appartenenti allo stesso campo semantico: “cane_4zampe_coda”, per esempio. Inoltre, è bene differenziare le password per i siti o i programmi di intrattenimento da quelle usate per veicolare dati più importanti, come caselle email o account bancari.

Ecco l’elenco delle 25 peggiori password del 2015 (tra parentesi la posizione rispetto l’anno passato):

  • 123456 (stabile)
  • password (stabile)
  • 12345678 (più 1)
  • qwerty (più 1)
  • 12345 (meno 2)
  • 123456789 (stabile)
  • football (più 3)
  • 1234 (meno 1)
  • 1234567 (più 2)
  • baseball (meno 2)
  • welcome (nuova)
  • 1234567890 (nuova)
  • abc123 (più 1)
  • 111111 (più 1)
  • 1qaz2wsx (nuova)
  • dragon (meno 7)
  • master (più 2)
  • monkey (meno 6)
  • letmein (meno 6)
  • login (nuova)
  • princess (nuova)
  • qwertyuiop (nuova)
  • solo (nuova)
  • passw0rd (nuova)
  • starwars (nuova)

I cittadini che denunceranno illeciti compiuti da colleghi di lavoro saranno tutelati da eventuali misure di discriminazione riconducibili alla propria segnalazione.

Il testo approvato alla camera mira a permettere una segnalazione tempestiva degli illeciti, prevedendo un rapido riscontro delle autorità e  impedendo al contempo eventuali ritorsioni per la figura del whistleblower, giuridicamente protetta e ritenuta di utilità pubblica. Il termine whistleblower (soffiatore nel fischietto) si riferisce al lavoratore che si trovi a segnalare possibili frodi, pericoli o rischi di danneggiamento di persone e attività, rilevati all’interno dell’ambiente di lavoro.

Il testo prevede che la denuncia dell’illecito sia rivolta all’Autorità Nazionale Anticorruzione (Anac) o alla magistratura ordinaria e contabile. La segnalazione dell’illecito sarà ritenuta valida se fatta in “buona fede” e senza dolo o colpa grave, cioé motivata dalla “ragionevole convinzione fondata su elementi di fatto, che la condotta illecita segnalata si sia verificata”. L’identità del whistleblower non potrà essere rivelata, e non saranno ammesse segnalazioni anonime.

Nel provvedimento è prevista una “Clausola anti-calunnie”: nel caso si accerti la mancanza di buona fede o l’infondatezza della segnalazione sarà avviato un procedimento disciplinare e l’eventuale licenziamento in tronco. Le misure di discriminazione verificate nei confronti del whistleblower saranno sanzionate dall’Anac con multe da 5 a 30mila euro. Per l’autore della segnalazione non è invece previsto alcun genere di premio.

La proposta di legge approvata alla Camera comprenderà gli uffici pubblici, enti pubblici economici, gli enti di diritto privato sotto controllo pubblico e il settore privato.

La Direttrice dell’Antitrust dell’Unione Europea, ha recentemente affermato che la raccolta di ingenti quantità di dati personali d a parte di un ridotto numero di colossi di internet potrebbe essere in violazione delle norme comunitarie.

In un intervento durante la DLD conference, un incontro di politici e dirigenti di industrie digitali Margrethe Vestager, Commissario Europeo per la Concorrenza, esprimendo le sue preoccupazioni per l’attuale scenario internazionale in materia di big data ha dichiarato “Se i dati necessari per tagliare i costi sono detenuti da poche aziende, queste aziende hanno il potere di tagliare fuori dal mercato tutte le altre”.

La Commissaria ha aggiunto inoltre che i consumatori devono essere trattati in maniera più equa perché attualmente gli utenti di internet non riescono a capire quale sia la quantità di dati che vengono dati alle aziende quando, ad esempio, si utilizza un servizio di online messaging. “E’ una transazione di affari e non una donazione” ha sottolineato la Vestager.

Le dichiarazioni giungono in un periodo in cui sul tema della privacy e della raccolta e trattamento dei dati sono sorte delle conflittualità fra Stati Uniti ed Unione Europa. Lo scorso ottobre la Corte di giustizia dell’UE ha stabilito che gli accordi per la gestione e il trasferimento dei dati personali tra aziende americane ed europee potranno essere sospesi dai singoli stati membri quando non sussistano le garanzie di un livello adeguato di protezione delle informazioni. L’abolizione del Safe Harbor ha quindi evidenziato che ad oggi gli Stati Uniti non sono considerati un Paese che, ai sensi della dir. 95/46, la direttiva-madre in materia di protezione dei dati personali, garantisce un livello di tutela adeguato.

Su questo tema, le negoziazioni tra la Commissione Europea e il Dipartimento per il Commercio degli Stati Uniti stanno proseguendo, nonostante esperti legali, ufficiali governativi e osservatori del settore siano convinti che un nuovo accordo non sarà raggiunto in tempi brevi.

posted by admin on gennaio 15, 2016

Diritto d'autore e copyright

(No comments)

Rojadirecta-calcio-streamingIl giudice, dando ragione a Mediaset,  impone al fornitore di connessione internet di disabilitare qualsiasi tipo di collegamento al sito pirata che viola il copyright delle gare di Serie A e Champions League.

Il 13 gennaio 2016 è stata confermata la decisione della Sezione Specializzata Impresa del Tribunale di Milano che il 18 novembre 2015 aveva ordinato, in via cautelare, il blocco ad ogni accesso al popolare sito pirata Rojadirecta che mette a disposizione degli utenti liste di indirizzi di siti che trasmettono eventi sportivi in streaming.

Il provvedimento cautelare giungeva a seguito di un esposto inoltrato nel 2013 da Mediaset e Lega Calcio, che si era concluso con un ordine di sequestro del portale Rojadirecta. L’ordine obbligava gli Internet Service Provider italiani a rendere il sito irraggiungibile dai loro utenti, tramite inibizione dei DNS, un’ingiunzione a cui avevano dato seguito tutti i fornitori di connettività del nostro paese tranne Fastweb.

Nel novembre del 2015, il tribunale di Milano aveva disposto che Fastweb provvedesse a oscurare qualunque dominio riconducibile a Rojadirecta, indipendentemente dal fatto che fosse o meno in violazione delle leggi. Una penale di 30.000 euro sarebbe stata versata per ogni giorno di ritardo nell’esecuzione del blocco. Dal 18 novembre Fastweb aveva provveduto al blocco all’accesso del sito.

La sentenza del 13 gennaio impone  a tutti i provider la disabilitazione all’accesso “sia ai DNS, sia agli indirizzi IP associati”. La novità in fatto di tutela del copyright online sta nell’imposizione rivolta al fornitore di connessione internet di inibire totalmente ai propri clienti l’accesso a tutti gli indirizzi IP collegati al sito in questione.

In un recente comunicato, Mediaset spiega che «mai prima d’ora, infatti, la magistratura civile aveva imposto a un fornitore di connessione internet di inibire ai propri clienti l’accesso a tutti gli indirizzi Ip collegati a un sito, Rojadirecta nel caso in oggetto. In questo modo, il provvedimento del Tribunale di Milano fornisce una tutela effettiva ai diritti esclusivi degli editori, individuando nei fornitori di connettività gli operatori più idonei a contrastare la pirateria digitale». Mediaset ha annunciato che «farà valere questa decisione anche presso le Autorità regolamentari dove il tema del blocco degli Ip è fondamentale per evitare che i provvedimenti del Garante possano essere facilmente aggirati».