Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on luglio 20, 2016

Diritto d'autore e copyright

(No comments)

KickasstorrentsIl fondatore del più grande portale di aggregazione di file torrent è stato arrestato con l’accusa di violazione di copyright e riciclaggio di denaro.

Il Governo degli Stati Uniti ha annunciato l’arresto di Artem Vaulin, un cittadino ucraino di 30 anni sospettato di essere il proprietario e il fondatore di KikAss Torrents (KAT) il sito più utilizzato al mondo per il reperimento dei file torrents. Vaulin è stato arrestato in Polonia e gli Stati Uniti ne hanno chiesto l’estradizione. L’accusa è stata depositata presso la Corte Distrettuale di Chicago.

A quanto si apprende, le autorità statunitensi hanno agito fingendosi una società interessata ad un inserimento pubblicitario sul portale. La trattativa ha portato all’identificazione di un conto bancario associato al sito che è stato sequestrato. Contemporaneamente sono arrivate all’identificazione di Vaulin con la collaborazione della Apple. Sembra infatti che gli investigatori abbiano rilevato che un indirizzo IP usato per iTunes era stato utilizzato nello stesso giorno anche per effettuare il login della pagina Faceobok di KAT.

Attualmente è in corso il sequestro dei vari domini attraverso i quali è possibile raggiungere il portale.

L’avvocato che ha formulato l’accusa ha dichiarato che ci sono evidenze che Vaulin abbia “distribuito illegalmente (tramite Kickass Torrents, ndr) oltre un miliardo di dollari in materiale protetto da copyright”.

posted by admin on luglio 18, 2016

Miscellanee

(No comments)

Il Garante per la protezione dei dati personali ha pubblicato un’infografica in cui sono sintetizzate le principali regole deontologiche per un corretto trattamento dei dati personali nelle pratiche commerciali.

Le regole formano il “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale” che entrerà in vigore il 1° ottobre 2016. Il Codice disciplina un settore particolarmente importante per il mercato e fissa le modalità per il corretto utilizzo di banche dati e strumenti di analisi, nel rispetto della dignità e della riservatezza delle persone.

Il documento, redatto dal Garante per la protezione dei dati personali insieme a varie associazioni di categoria, imprenditoriali e dei consumatori interessate, dovrà essere adottato dalle società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager, che dovranno conformare il trattamento dei dati personali alle disposizioni in esso contenute.

Il codice di deontologia è disponibile QUI.

Infografica deontologia privacy

Obblighi rigorosi per le imprese che operano sui dati, trasparenza e tutela dei diritti, questi i principi fondamentali su cui si fonda il nuovo accordo fra EU e USA per gli scambi transatlantici di dati personali a fini commerciali.

Il 12 luglio 2016 la Commissione Europea ha completato la procedura di adozione del “EU-US Privacy Shield.” Lo scudo UE-USA per la privacy dà riscontro ai requisiti stabiliti dalla sentenza del 6 ottobre 2015 con cui la Corte di giustizia dell’Unione europea ha l’invalidato il vecchio regime, il Safe Harbour, in quanto ritenuto privo di sufficienti garanzie sulla tutela della riservatezza dei dati degli utenti europei trasferiti oltreoceano.

La decisione la Corte accoglieva il ricorso di un cittadino austriaco, Max Schrems, intrapreso nel 2013 nei confronti Facebook. Muovendo dalle rivelazioni del caso Snowden, Schrems aveva denunciato le violazioni al diritto alla riservatezza dei cittadini da parte della NSA, ritenendo perciò il diritto e le prassi statunitensi non sufficienti alla protezione dei dati trasferiti dall’Europa.

Con l’accordo del Privacy Shield gli Stati Uniti hanno escluso attività indiscriminate di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti e hanno assicurato ufficialmente all’UE che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. Secondo le precisazioni fornite dall’Ufficio del Direttore dell’intelligence nazionale, la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile.

Nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodici per accertare che rispettino nella pratica le regole che hanno volontariamente accettato. In caso contrario, l’impresa si espone a sanzioni e al depennamento dall’elenco degli aderenti.

Inoltre, il Privacy Shield permetterà a chiunque ritenga che  sia stato compiuto un abuso sui dati che lo riguardano il diritto a presentare una querela attraverso vari meccanismi di composizione delle controversie di agevole accesso e dal costo contenuto. Idealmente sarà l’impresa stessa a risolvere il caso di reclamo oppure saranno offerte gratuitamente soluzioni basate su un organo alternativo di composizione delle controversie (ADR). Le persone si potranno anche rivolgere alle rispettive autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo sottoposti da cittadini dell’UE siano esaminati e risolti. Esperiti tutti gli altri mezzi a disposizione, come extrema ratio il caso irrisolto potrà essere sottoposto a arbitrato. Per i casi che implicano la sicurezza nazionale, i cittadini dell’UE dispongono di una possibilità di ricorso nella figura del mediatore, che è indipendente dai servizi d’intelligence degli Stati Uniti.

La Commissione europea e il Dipartimento del Commercio degli Stati Uniti effettueranno un’analisi annuale che consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale.

Il nuovo regime scaturisce dall’accordo politico del 2 febbraio 2016 fra la Commissione europea e il governo degli Stati Uniti d’America. In seguito, la Commissione ha inserito varie precisazioni e ulteriori miglioramenti basandosi sui pareri espressi delle autorità europee di protezione dei dati (Gruppo dell’articolo 29) e dal garante europeo della protezione dei dati e sulla risoluzione del Parlamento europeo. In particolare, la Commissione europea e gli Stati Uniti hanno concordato ulteriori precisazioni sulla raccolta di dati in blocco, il rafforzamento del meccanismo di mediazione e una maggiore esplicitazione degli obblighi delle imprese quanto ai limiti applicabili alla conservazione e all’ulteriore trasferimento.

Presentiamo qui l’intervista a Giusella Finocchiaro pubblicata sulla Newsletter di LepidaSpa di giugno 2016.

Il Cloud Computing nell’ambito della PA continua a crescere. Si stanno predisponendo tutti gli strumenti per poter razionalizzare i comparti IT della PA e offrire servizi altamente performanti, ma in Europa il Cloud Computing sta vivendo una serie di criticità legate alla gestione e utilizzo di dati sensibili e alla mancanza di chiarezza riguardo la gestione dei dati.

Data la spinosa questione, abbiamo chiesto un parere a Giusella Finocchiaro Ordinario di Diritto privato e di Diritto di Internet presso l’Università di Bologna, Avvocato in Bologna. “Il cloud, tecnologia ormai largamente diffusa in diversi settori, è destinato a diventare la nuova struttura portante di Internet, ma accanto ai particolari benefici in termini di disponibilità ed elasticità di risorse sorgono alcune rilevanti problematiche connesse alla sicurezza dei dati che vengono così gestiti. In particolare, l’internazionalità che spesso caratterizza i servizi di cloud comporta la necessità di approntare misure adeguate ai dati personali oggetto di trasferimento verso Paesi terzi. Il rilievo costituzionale assunto dal diritto alla protezione dei dati personali in Europa impone infatti l’individuazione di prassi e garanzie che siano capaci di rispettare la scala di valori europea. Tra queste gli strumenti di tipo contrattuale, come le BCR e le clausole contrattuali standard, rappresentano gli espedienti più consoni in relazione alle peculiarità dei servizi cloud. Tuttavia, il legislatore europeo ha ampliato il novero delle misure che possono essere adottate dai Paesi terzi destinatari del flusso di dati europeo. Con il Regolamento (UE) 2016/679 codici di condotta e meccanismi di certificazione possono ora essere impiegati anche nel quadro dei trasferimenti di dati a garanzia dei diritti degli interessati. Gli stessi provider di servizi cloud appartenenti a Paesi terzi potranno dunque garantire un elevato livello di protezione dei dati personali attraverso queste garanzie di nuova introduzione.

L’articolo continua sulla newsletter di Lepida, disponibile QUI.

posted by Laura Greco on luglio 1, 2016

Professione forense

(No comments)

calendarUn’interessante questione tecnico giuridica è al vaglio della Corte di Giustizia europea: da quando decorrono gli effetti dell’annullamento di una decisione amministrativa?

La Corte di Giustizia europea è stata interpellata dai giudici polacchi in merito all’efficacia dei meccanismi di ricorso avverso le decisioni dell’Autorità nazionale di regolamentazione in materia di comunicazioni elettroniche.

La direttiva 2002/21/CE riconosce a chiunque il diritto di ricorrere contro una decisione delle suddette Autorità avvalendosi di un organismo indipendente dalle parti in causa, come un tribunale (art. 4, 1° comma). Alla luce di tale disposizione viene chiesto alla Corte di Giustizia se la sentenza di annullamento della decisione amministrativa esplichi i propri effetti ex tunc (quindi, dal momento in cui la decisione era stata adottata) ovvero ex nunc (ossia dalla data della sentenza di annullamento).

L’Avvocato generale, nelle proprie conclusioni, ha proposto alla Corte di esprimersi in senso favorevole alla retroattività degli effetti della sentenza di annullamento, pur riconoscendo una deroga eccezionale a tale regola: l’annullamento delle decisioni amministrative potrà avere effetti ex nunc solo se l’organo di ricorso (nel caso di specie, l’autorità giudiziaria) lo ritenga giustificato per la necessaria salvaguardia della certezza del diritto e del legittimo affidamento.

La Corte per il momento non si è ancora pronunciata nel merito, ma la questione risulta particolarmente interessante in quanto pare che non sia mai stata sottoposta precedentemente all’attenzione dell’organo giurisdizionale europeo.

Il testo delle conclusioni dell’Avvocato generale è disponibile QUI.

Forum PAPresentiamo qui un estratto dell’articolo di Giusella Finocchiaro pubblicato sul magazine online Forum PA il 30 giugno 2016.

Il Regolamento eIDAS si inserisce nella strategia europea volta a rafforzare la fiducia nelle transazioni elettroniche e, quindi, a potenziare la realizzazione di un mercato unico digitale.

Le radicali innovazioni apportate dal Regolamento concernono la disciplina dell’identificazione on line e quella dei servizi fiduciari, mentre poco significative sono le modifiche rispetto al quadro normativo già delineato dalla Direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, in materia di firme elettroniche.

Il Regolamento conferma sostanzialmente i principi dettati dalla direttiva. In primo luogo, il principio del non disconoscimento della firma elettronica, enunciato all’art. 25, comma 1°, secondo il quale: «ad una firma elettronica non possono essere negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica o perché non soddisfa i requisiti per firme elettroniche qualificate».

Il principio di non discriminazione non vale invece per la firma elettronica qualificata che viene direttamente equiparata dal Regolamento alla sottoscrizione autografa e che, per espressa disposizione, gode del riconoscimento reciproco tra Stati membri se accompagnata da certificato qualificato.

L’approccio tecnologicamente neutro viene confermato in relazione alla firma elettronica avanzata, la cui definizione non opera rinvii ad alcuna specifica tecnologia, bensì precisa i requisiti che debbono essere soddisfatti. La firma elettronica è dunque firma elettronica avanzata se «soddisfa i seguenti requisiti: a) è connessa unicamente al firmatario; b) è idonea a identificare il firmatario; c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; e d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati».
Rilevanti sono invece i mutamenti normativi riguardanti: la definizione di firma elettronica, in cui viene introdotta l’espressione “per firmare”, prima assente, la quale prospetta una nuova funzione della firma elettronica, come meglio appresso si dirà; l’introduzione del “sigillo elettronico” che, con riguardo a talune delle funzioni svolte, può essere assimilato alla firma.

L’approccio tecnologicamente neutro viene confermato in relazione alla firma elettronica avanzata, la cui definizione non opera rinvii ad alcuna specifica tecnologia, bensì precisa i requisiti che debbono essere soddisfatti. La firma elettronica è dunque firma elettronica avanzata se «soddisfa i seguenti requisiti: a) è connessa unicamente al firmatario; b) è idonea a identificare il firmatario; c) è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; e d) è collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati».

Rilevanti sono invece i mutamenti normativi riguardanti: la definizione di firma elettronica, in cui viene introdotta l’espressione “per firmare”, prima assente, la quale prospetta una nuova funzione della firma elettronica, come meglio appresso si dirà; l’introduzione del “sigillo elettronico” che, con riguardo a talune delle funzioni svolte, può essere assimilato alla firma.

Per l’articolo completo si rimanda al sito di Forum PA.

Il 28 giugno 2016 è stata presentata la Relazione Annuale 2015 dell’Autorità Garante per la protezione dei dati personali, relativa al diciannovesimo anno di attività e allo stato di attuazione della normativa sulla privacy. La Relazione traccia il bilancio del lavoro svolto nel 2015, attraverso una rendicontazione dei principali provvedimenti, e indica gli orientamenti dell’attività futura.

Nel 2015 sono stati adottati 692 provvedimenti collegiali. L’Autorità ha fornito riscontro a circa 5000 tra quesiti, reclami e segnalazioni con specifico riferimento ai seguenti settori: marketing telefonico (in forte aumento); credito al consumo; videosorveglianza; credito; assicurazioni; Internet; giornalismo; sanità e servizi di assistenza sociale. Sono stati decisi 307 ricorsi, riguardanti soprattutto banche e società finanziarie, datori di lavoro pubblici e privati, attività di marketing, editori (anche televisivi), banche e società finanziarie, Pa e concessionari di pubblici servizi, società di informazioni commerciali, informazioni creditizie, marketing. I pareri resi dal Collegio al Governo e Parlamento sono stati 44 ed hanno riguardato, in particolare, l’attività di polizia e sicurezza nazionale, l’informatizzazione delle banche dati della Pa, il fisco, i dai sanitari, il processo telematico.

La tutela della privacy on line rimane uno dei principali obiettivi dell’attività dell’Authority, a partire dai grandi motori di ricerca e dai social network. Il Garante italiano, primo tra i Garanti europei ad aver dato prescrizioni a Google, ha consolidato nel 2015 la procedura di confronto e controllo del protocollo sottoscritto da Mountain View. Sono stati definiti i criteri per l’accoglimento delle richieste di tutela del diritto all’oblio su Internet e la deindicizzazione degli Url. E’ stato inoltre ulteriormente rafforzato il diritto delle persone a vedere aggiornati gli archivi giornalistici on line. A Facebook l’Autorità ha imposto di bloccare i falsi profili (i cosiddetti fake) e di assicurare più trasparenza e controllo agli utenti. Con Linee guida sono state definite le garanzie da assicurare agli utenti da parte di chi svolge attività di profilazione on line, a partire dai principali siti web.

Per quanto riguarda l’Internet delle cose il Garante ha avviato una consultazione per definire le regole per il corretto uso dei dati degli utenti e partecipa ad un’indagine internazionale, concentrando la sua analisi soprattutto sulla domotica.

Sono stati diffusi importanti dati in materia di cybersecurity: sono quasi raddoppiate le comunicazioni sui data breach, le violazioni di banche dati. Anticipando il nuovo Regolamento europeo, il Garante ha adottato un provvedimento che impone alle Pa di comunicare le violazioni o gli incidenti informatici subiti. Il Garante ha prescritto misure per l’innalzamento dei livelli di protezione dei dati nei nodi di interscambio dei dati Internet (Ixp).

Sempre in tema di PA digitale, una particolare azione è stata intrapresa per aumentare il livello di sicurezza per l’entrata in funzione dello Spid. Particolare impegno è stato rivolto anche nel 2015 alla messa in sicurezza delle grandi banche dati pubbliche, prima fra tutte quella dell’Anagrafe tributaria. E per garantire un corretto rapporto tra trasparenza e riservatezza e dignità dei cittadini sono stati emessi pareri per richiamare l’attenzione sul giusto equilibrio da realizzare tra obblighi di pubblicità degli atti e dignità delle persone, comprese le sentenze. Il Garante ha fornito, inoltre, pareri sulla dichiarazione di volontà relativa alla donazione degli organi, sul permesso di soggiorno elettronico, sulla carta dello studente.

Nel settore della sanità elettronica, per garantire maggiori tutele per i dati dei pazienti l’Authority ha adottato le Linee guida sul dossier sanitario e ha dato indicazioni sui registri di patologia, sullo screening neonatale, sulle misure di sicurezza per il nuovo sistema informativo centralizzato.

E’ proseguito l’impegno per evitare l’invasività del cosiddetto telemarketing selvaggio, un fenomeno che non tende purtroppo a diminuire e per il quale il Garante invoca da tempo nuove regole: solo nei primi mesi del 2016 sono state 3.000 le segnalazioni giunte all’Autorità sul tema, mentre a fine anno i ha raggiunto quota 25.600 il totale dei quesiti,  che hanno riguardato, in particolare, le problematiche legate alle telefonate promozionali indesiderate, a Internet, alla videosorveglianza, alla pubblicazione di documenti da parte della Pa, al rapporto di lavoro.

Nel 2015 è quasi triplicato il numero delle violazioni amministrative contestate dal Garante, circa 1700: una parte consistente ha riguardato il trattamento illecito dei dati, legato principalmente all’uso dei dati personali senza consenso. L’omessa comunicazione, agli interessati e al Garante, di violazioni subite dalle banche dati di gestori di telefonia e comunicazione elettronica (data breach). L’omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali. La conservazione eccessiva dei dati di traffico telefonico e telematico. La mancata adozione di misure di sicurezza. L’omessa esibizione di documenti al Garante. L’inosservanza dei provvedimenti dell’Autorità.

Le sanzioni amministrative riscosse ammontano a circa 3 milioni e 500 mila euro. Le violazioni segnalate all’autorità giudiziaria sono state 33, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati.

Il Garante privacy respinge il ricorso di un ex terrorista che chiedeva la deindicizzazione di pagine web in cui erano riportati gravi reati di cui si era macchiato tra la fine degli anni 70 e i primi anni 80.

Dopo aver finito di scontare la sua pena nel 2009, l’uomo si era rivolto a Google chiedendo la rimozione di alcuni url e dei suggerimenti di ricerca che vengono visualizzati dalla funzione di “completamento automatico”, grazie alla quale inserendo nome e cognome dell’interessato compariva la parola “terrorista”.

Non avendo Google dato corso alla richiesta, l’ex terrorista si è rivolto al Garante per la Protezione dei Dati Personali lamentando che la permanenza in rete di contenuti risalenti così indietro nel tempo e fuorvianti rispetto all’attuale percorso di vita, era causa di gravi danni dal punto di vista personale e professionale. Il ricorrente, sostenendo di non essere un personaggio pubblico ma un libero cittadino, reclamava quindi il diritto all’oblio.

L’Autorità ha respinto il ricorso sulla base del fatto che le informazioni di cui si chiede la deindicizzazione fanno riferimento a reati particolarmente gravi, che rientrano tra quelli indicati nelle Linee guida sull’esercizio del diritto all’oblio adottate dal Gruppo di lavoro dei Garanti privacy europei nel 2014, reati per i quali le richieste di rimozione devono essere valutate più severamente.

Il Garante ha inoltre sottolineato come nella fattispecie le informazioni abbiano assunto una valenza storica e segnato la memoria collettiva. Si tratta di una delle pagine più buie della storia italiana, della quale il ricorrente non è stato un comprimario, ma un vero e proprio protagonista. Inoltre, nonostante il lungo lasso di tempo trascorso dagli eventi l’attenzione del pubblico è tuttora molto alta su quel periodo e sui fatti trascorsi, come dimostra l’attualità dei riferimenti raggiungibili mediante gli stessi url.

Il Garante ritenendo quindi prevalente l’interesse del pubblico ad accedere alle notizie in questione, ha dichiarato infondata la richiesta di rimozione degli url indicati dal ricorrente ed indicizzati da Google.

Il provvedimento è pubblicato QUI.

L’Article 29 Working Party ha pubblicato l’opinione 2/2016 sul trattamento dei dati personali nell’ambito del settore pubblico per finalità di trasparenza, approfondendo in particolare le misure anti-corruzione e la gestione e prevenzione dei conflitti di interesse.

Il documento illustra come applicare i principi di protezione dei dati in relazione alle informazioni che tipicamente sono richieste alla pubblica amministrazione che riguardano le sue attività e i suoi lavoratori e che solitamente sono pubblicate sui siti web degli enti. Si tratta infatti di informazioni che spesso includono anche dati personali e che vengono diffusi al pubblico soprattutto attraverso la rete.

L’Opinione è indirizzata alle autorità legislative degli Stati Membri, così come ai governi nazionali, agli uffici pubblici, alle agenzie a a tutte le istituzioni del settore pubblico che devono sottostare a speciali disposizioni anti-corruzione, a misure per la prevenzione dei conflitti di interesse e altri obblighi di trasparenza.

Il testo, disponibile in inglese, è pubblicato QUI.

posted by admin on giugno 15, 2016

Eventi

(No comments)

Schermata 2016-06-16 alle 14.39.17La digitalizzazione sta realizzando una profonda innovazione dei processi produttivi e dell’organizzazione del lavoro. Attraverso l’economia della condivisione, il crowdsourcing, il crowdemployment, le piattaforme digitali, emergono nuove forme di occupazione, professionalità e competenze.

A questi nuovi fenomeni è dedicato il Forum del Lavoro Digitale, un incontro che propone una riflessione sul tema in compagnia di studiosi delle scienze giuridiche, economico-sociali, aziendali e umanistiche, professionisti del web, rappresentanze di imprese e lavoratori, start up, operatori della on-demand e sharing economy.

Si tratta del primo evento nazionale dedicato alle professioni digitali, un luogo di analisi e approfondimento delle trasformazioni attivate dalla digitalizzazione e delle nuove identità del lavoro.

L’evento si terrà il 23 giugno 2016, alle ore 9.30 presso la Sala Armi della Scuola di Giurisprudenza. La prima parte del convegno dedicata ai profili identitari e definitori del lavoro digitale sarà guidata da Giusella Finocchiaro.

La Prof.ssa Giusella Finocchiaro è inoltre parte della segreteria scientifica dell’evento insieme alla Prof.ssa Patrizia Tullini, direttrice dei lavori del Forum.

Per maggiori informazioni ed iscrizioni si rimanda alla pagina dedicata all’evento: www.forumlavorodigitale.it