Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

app_storeGoogle ha annunciato che, per venire incontro alle prescrizioni della Commissione Europea, cesserà di etichettare come “gratuite” le App che contengono opzioni di pagamento.

In seguito al considerevole numero di ricorsi di genitori in merito ai cosiddetti acquisti “in-app” dei videogiochi, che spesso vengono effettuati inconsapevolmente dai bambini, nel dicembre 2013 la Commissione Europea di concerto con le Autorità nazionali aveva formulato una serie di richieste indirizzate ad Apple, Google e all’Interactive Software Federation of Europe.

Le richieste vertevano sulle modalità di comunicazione delle possibilità di acquisto contenute nelle App. In particolare veniva richiesto ai distributori di presentare soluzioni concrete rispetto ad azioni da intraprendere quali:

- evitare di presentare i giochi come “gratuiti” se contengono opzioni di  pagamento;

- non inserire esortazioni dirette ai bambini né sull’acquisto diretto né sul ricorso ai genitori per acquistare parti del gioco;

- evitare l’addebito diretto attraverso impostazioni di default ma richiedere l’esplicito consenso al pagamento agli utenti, che devono essere correttamente informati  sui metodi di pagamento;

- inserire un indirizzo email di contatto per l’inoltro di eventuali reclami.

Recentemente, Google ha fatto sapere di avere in programma una serie di modifiche risolutive che saranno operative dal prossimo settembre. Tra queste, l’eliminazione della parola “gratis” dalla descrizione di App che hanno opzioni di pagamento, lo sviluppo di linee guida per gli sviluppatori e l’introduzione di alcune impostazioni prestabilite che prevedano un’esplicita autorizzazione ai pagamenti.  Per quanto riguarda la Apple, al momento l’azienda di Cupertino non ha annunciato cambiamenti in vista.

La conversione delle prescrizioni in provvedimenti e le eventuali sanzioni sono ora affidate alle singole Authority nazionali.

Share

Il Garante per la protezione dei dati ha stabilito che Google non potrà utilizzare i dati degli utenti a fini di profilazione senza il loro esplicito consenso. Sarà inoltre tenuto a dichiarare di svolgere questa attività a fini commerciali.

Al termine dell’istruttoria avviata un anno fa, il Garante privacy italiano ha emesso un provvedimento prescrittivo che indica le possibili misure che Google deve adottare per conformarsi alla normativa sui dati personali del nostro Paese. Si tratta del primo provvedimento emesso in Europa in seguito alll’indagine coordinata con le Autorità di protezione dei dati europee avviata nell’aprile 2013 in relazione alll’introduzione da parte di Google del pacchetto di policy unificate. Con il pacchetto, presentato all’inizio del 2013 la compagnia di Mountain View ha aggregato in un unico documento le regole di gestione dei dati delle diverse funzionalità offerte da Google. La nuova policy permette all’azienda americana di profilare più nel dettaglio gli utenti grazie al confronto dei dati provenienti dai diversi servizi: dalla posta elettronica (Gmail) al social network (GooglePlus), dalla gestione dei pagamenti on line (Google Wallet), alla diffusione di filmati (YouTube) e dalle mappe on line (Street View), all’analisi statistica (Google Analytics) .

A quanto si apprende dal Garante, nel  corso dell’istruttoria, caratterizzata anche da diverse audizioni con i suoi rappresentanti, Google ha adottato una serie di misure per rendere la propria privacy policy più conforme alle norme. Il Garante ha tuttavia rilevato il permanere di diversi profili critici e ha dettato una serie di regole, che si applicano all’insieme dei servizi offerti:

1) l’adozione di un sistema di informativa strutturato su due livelli, che possa fornire in un primo livello generale le informazioni più rilevanti per l’utenza (l’indicazione dei trattamenti e dei dati oggetto di trattamento, dell’indirizzo presso il quale rivolgersi in lingua italiana per esercitare i propri diritti etc.) e in un secondo livello, più di dettaglio, le specifiche informative relative ai singoli servizi.

2) l’inserimento di un’indicazione che avvisi gli utenti che i loro dati personali sono monitorati e utilizzati a fini di profilazione per pubblicità comportamentale personalizzata, anche attraverso tecnologie sofisticate che, come il cosiddetto “fingerprinting”, raccolgono informazioni sulle modalità di utilizzo del terminale da parte dell’utente e, a differenza dei cookie , le archiviano direttamente presso i server della società.

3) l’obbligo di acquisire l’esplicito consenso degli utenti per l’autorizzazione all’utilizzo dei loro dati per fini pubblicitari che consenta a chi utilizza i servizi di Mountain View di scegliere in modo attivo e consapevole se fornire o meno il proprio consenso alla profilazione, anche con riguardo ai singoli servizi utilizzati.

4) la definizione di tempi certi di conservazione dei dati sulla base delle norme del Codice privacy, sia per quanto riguarda quelli mantenuti sui sistemi cosiddetti “attivi”, sia successivamente archiviati su sistemi di “back up”.

Google avrà 18 mesi per adeguarsi alle prescrizioni del Garante. In quest’arco temporale, l’Autorità monitorerà l’implementazione delle misure prescritte. La società dovrà infatti sottoporre al Garante, entro il 30 settembre 2014, un protocollo di verifica, che una volta sottoscritto diverrà vincolante, sulla base del quale verranno disciplinati tempi e modalità per l’attività di controllo che l’Autorità svolgerà nei confronti di Mountain View.

Share

È stato recentemente pubblicato il manuale sul diritto europeo in materia di protezione dei dati, nato dalla redazione congiunta dell’Agenzia dell’Unione europea per i diritti fondamentali e del Consiglio d’Europa con la Cancelleria della Corte europea dei diritti dell’uomo.

Il manuale si rivolge in particolar modo ai professionisti del settore legale che non hanno familiarità con l’area del diritto dedicata alla protezione dei dati personali ed è stato realizzato per aiutare e supportare la difesa del diritto alla protezione dei dati personali.

Nel volume viene illustrato il contesto e il quadro del diritto europeo in materia di protezione dei dati personali, la terminologia usata, i principi fondamentali del diritto europeo sulla privacy, nonché gli orientamenti giurisprudenziali primari con un elenco delle principali sentenze sia della Corte Europea dei Diritti Umani che della Corte di Giustizia dell’Unione Europea.

Il testo è stato completato nell’aprile 2014. Eventuali futuri aggiornamenti saranno messi a disposizione sul sito Internet della FRA, sul sito del Consiglio d’Europa e sul sito della Corte europea dei diritti dell’uomo.

Per scaricare il manuale cliccare QUI.

Share

Con una sentenza la Corte di Cassazione ha stabilito che, in caso di violazione della privacy, ai fini della risarcibilità del danno non patrimoniale è necessario valutare la gravità della lesione e la serietà del danno.

Il ricorso alla Cassazione è stato presentato dall’Università degli Studi di Roma Tre, dopo la condanna del Tribunale di Roma arisarcire il danno non patrimoniale di tre specializzandi i cui dati personali erano stati pubblicati su Internet dall’Ateneo romano, in un database liberamente consultabile dal pubblico. Il database conteneva informazioni varie su 3.724 specializzandi: dai dati anagrafici alle informazioni sull’attuale attività professionale e sui redditi di lavoro.

Gli specializzandi si erano rivolti alla Corte romana chiedendo un risarcimento per un “patema d’animo” dovuto a un possibile furto d’identità e “un disagio conseguente alla propria indiscriminata esposizione personale anche di carattere economico”.

Secondo la Cassazione, il Tribunale di Roma avrebbe errato nel ritenere che il “patema d’animo” sofferto dagli studenti fosse valutabile come un danno non patrimoniale risarcibile, ai sensi dell’art. 15 del Codice in materia di protezione dei dati personali, dal momento che si trattava di un danno soggettivo non accertato dal giudice relativamente alla gravità della lesione e alla serietà del danno. Gravità della lesione e serietà del danno indicano due diversi aspetti dell’effetto della violazione: il primo si riferisce al momento in cui si verifica la lesione; il secondo si riferisce alle conseguenze dell’evento dannoso e quindi è maggiormente attinente “all’area dell’obbligazione risarcitoria”.

Rigettando l’ipotesi di un automatismo fra lesione della privacy e risarcimento, la Corte Suprema ha stabilito che è compito dei giudici valutare caso per caso se il danno non patrimoniale supera la “soglia minima di tollerabilità”, da definirsi sulla base della “coscienza sociale del determinato momento storico”. In altre parole, il risarcimento dovrebbe essere determinato bilanciando la solidarietà verso la vittima e il grado di tolleranza che la convivenza sociale richiede ai cittadini.

La causa è stata pertanto rinviata al Tribunale di Roma che dovrà compiere un accertamento sul danno non patrimoniale sulla base delle linee individuate dalla decisione della Cassazione.

Il testo della sentenza (n.16133 del 2014) è disponibile QUI.

Share

Alessandra Poggiani è stata nominata direttore generale dell’Agenzia per l’Italia Digitale, l’ente che ha il compito di concretizzare tecnicamente le norme del settore digitale.

In un’intervista recentemente rilasciata al Corriere.it il nuovo direttore generale identifica il progetto sull’identità digitale come una delle principali priorità dell’Agid.

Come spesso ricordato su questo blog, l’identificazione on line oggi è un problema cruciale, soprattutto per lo sviluppo di alcuni servizi che richiedono un accertamento dell’identità come ad esempio i servizi erogati dalla pubblica amministrazione e servizi bancari. Per risolvere questo problema il Parlamento europeo ha approvato il 3 aprile la proposta di Regolamento europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno di cui si attende l’imminente pubblicazione in Gazzetta Ufficiale. La più importante novità della proposta è nello strumento giuridico prescelto: non più una direttiva, ma un Regolamento che sarà direttamente applicabile negli Stati membri, senza atti di recepimento. Per approfondire questo aspetto rimandiamo al recente articolo di Giusella Finocchiaro pubblicato su Nòva 24.

Nel corso dell’intervista la Poggiani ha ricordato anche alcune criticità circa la complessità strutturale e la frammentazione delle competenze che caratterizzano l’attuale scenario italiano e che possono portare a problemi nell’utilizzo del PIN unico per i cittadini. Su questo blog nell’agosto 2013, pochi giorni dopo la pubblicazione in Gazzetta del cosiddetto “decreto del fare”, abbiamo pubblicato un’analisi relativa all’istituzione del Sistema pubblico per la gestione dell’identità digitale (SPID) che può aiutare a comprendere il contesto di complessità menzionato.

Il nuovo direttore dell’Agid ha inoltre sottolineato l’importanza della realizzazione materiale dei progetti già scritti: “bisogna preoccuparsi dell’operatività e di fare cose che funzionino davvero” ha dichiarato, citando il tema della fatturazione elettronica, la cui prima normativa risale a dieci anni fa. Per contestualizzare l’esempio, più che opportuno, può essere utile la lettura dell’articolo di Giusella Finocchiaro pubblicato sul Il Corriere delle Comunicazioni il 7 luglio 2014 che illustra il quadro situazione normativa in materia di fatturazione elettronica

La puntualità nel rilevare le principali problematiche dell’attuale scenario dell’Italia digitale sembra essere di ottimo auspicio per la nuova direzione e per la futura concretizzazione dei progetti elencati da parte dell’Agid. Si attendono dunque con interesse i nuovi sviluppi.

Share

Con riferimento ad una recente vicenda di cronaca relativa all’adescamento di alcune minorenni romane da parte di un fotografo di moda, il Garante ha disposto in via d’urgenza il blocco della diffusione di un articolo pubblicato sul quotidiano “Il Tempo”, anche nella sua versione online, riservandosi eventuali ulteriori decisioni a conclusione dell”istruttoria avviata.

L’articolo, non più visualizzabile, conteneva la trascrizione di ampie parti di intercettazioni comprensive di dettagli che potevano rendere identificabili alcune delle minorenni coinvolte, in violazione della Carta di Treviso e del Codice deontologico dei giornalisti.

Con il provvedimento il Garante ha inoltre prescritto a tutte le testate giornalistiche di conformare l’utilizzo delle informazioni sulla vicenda alle norme del Codice della privacy.

L’Autorità ha inoltre invitato tutti i media a procedere ad una valutazione più attenta sull’oggettiva essenzialità di dettagli e informazioni attinenti ad aspetti intimi, omettendone la pubblicazione quando non rispondono ad un’esigenza di giustificata informazione su vicende di interesse pubblico.

Share

Vi proponiamo qui l’articolo di Giusella Finocchiaro pubblicato sul Il Corriere delle Comunicazioni il 7 luglio 2014.

fotina-131120130426_mediumL’Agenzia delle Entrate con la circolare 18/E del 24 giugno 2014 ha fornito chiarimenti sulla disciplina in materia di fatturazione elettronica.

Secondo quanto dispone l’art. 21 del d.p.r. 633 del 1972, per “fattura elettronica” si intende “la fattura che è stata emessa e ricevuta in un qualunque formato elettronico”. Sotto questo profilo, la circolare chiarisce che, per potersi qualificare una fattura come “elettronica” ciò che rileva non è il formato originario, utilizzato per la sua creazione, che può essere anche cartaceo, ma la circostanza che la fattura sia in formato elettronico al momento della sua trasmissione al destinatario. Al contrario, non può qualificarsi come “elettronica” la fattura, creata in formato informatico, che venga inviata e ricevuta dal destinatario in formato cartaceo.

L’art. 21 del d.p.r. 633 del 1972, inoltre, stabilisce che il ricorso alla fattura elettronica è subordinato all’accettazione da parte del destinatario. In relazione a questo aspetto, la circolare chiarisce che il termine “accettazione”, coerentemente con le indicazioni delle note esplicative della Direttiva 2010/45/UE del 13 luglio 2010, non è da intendersi come richiedente un accordo, precedente o successivo alla fatturazione, tra le parti.

L’accettazione del destinatario non è condizione necessaria per il perfezionamento del processo in capo all’emittente. Infatti, come precisato dal paragrafo 1.5 della circolare, se il destinatario non accetta il documento elettronico, l’emittente può comunque procedere all’integrazione del processo di fatturazione con quello di conservazione elettronica, sempre che la fattura creata e trasmessa in modalità elettronica possieda i requisiti di legge dal momento della sua emissione fino al termine del periodo di conservazione.

Un ulteriore importante chiarimento riguarda la fase di conservazione. La circolare, infatti, chiarisce quali siano i vincoli da rispettare nel caso in cui il luogo di conservazione elettronica delle fatture sia in un altro Stato. Si presume, quindi, che questi requisiti saranno oggetto di disciplina nel contratto di outsourcing ad oggetto la fornitura del servizio di conservazione.

Ancora, con riguardo ai requisiti della fattura la circolare precisa che sia il fornitore/prestatore sia il cessionario/committente sono tenuti a garantire l’autenticità dell’origine della fattura e l’integrità del suo contenuto, anche adottando modalità indipendenti l’uno dall’altro. La circolare ribadisce che la firma elettronica avanzata non è di per sé sufficiente a garantire la leggibilità della fattura, dal momento della sua emissione al termine del periodo di archiviazione.

Altro rilevante chiarimento fornito dalla circolare è quello per cui è possibile emettere la fattura differita anche nel caso di prestazioni di servizi, e non più solo in relazione alla cessione di beni, a condizione che la fattura emessa indichi dettagliatamente le operazioni e le prestazioni di servizio. Infine, la circolare fornisce chiarimenti in relazione alla fattura semplificata, prevedendo altresì la possibilità di emetterla in funzione sostitutiva della fattura-ricevuta fiscale.

Il 27 giugno 2014 è entrato in vigore il decreto 17 giugno 2014 del Ministero dell’Economia e delle Finanze, “Modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione su diversi tipi di supporto – articolo 21, comma 5, del decreto legislativo n. 82/2005”.

Il decreto disciplina la formazione, l’emissione e la conservazione dei documenti rilevanti a fini tributari con modalità informatiche. L’art. 2 stabilisce che i documenti informatici rilevanti ai fini tributari devono presentare i requisiti di immodificabilità, integrità, autenticità e leggibilità. La conservazione deve avvenire con modalità tali da garantire la leggibilità del documento nel tempo e tali da consentire le funzioni di ricerca e di selezione delle informazioni. Il processo di conservazione termina con l’apposizione sul pacchetto di archiviazione di un riferimento temporale che sia opponibile ai terzi (quale, ad esempio, una marca temporale).

Dall’entrata in vigore del decreto le disposizioni di cui al precedente del 23 gennaio 2004 continuano ad applicarsi esclusivamente ai documenti già conservati alla data del 27 giugno 2014.

Share

Quali sono le password  più comuni? Come si costruisce una password veramente sicura?

A queste domande risponde un simpatico video TED che vi proponiamo. Lorrie Faith Cranion, docente di informatica ed ingegneria alla Carnagie Mellon University racconta i risultati della sua ricerca e spiega perché spesso i consigli più comuni per impostare una buona password  non sono sufficienti. Ma anche perché non è una buona idea inserire la parola monkey nella vostra password …

Il video è tratto dall’evento TEDxCMU 2014, e attualmente è disponibile solo in inglese.

Share

Il 10 luglio a Milano Optime organizza una giornata di studi dedicata al tema delle tecniche biometriche.

Nel corso della giornata di studio saranno analizzati gli scenari e le opportunità connessi all’applicazione delle principali tecniche biometriche (firme grafometriche, controllo degli accessi, sistemi di riconoscimento, ecc.) e saranno presentati i principali progetti avviati in ambito privato e in ambito pubblico.

Nell’ambito del convegno Giusella Finocchiaro illustrerà gli aspetti legali e l’efficacia probatoria della firma grafometrica illustrando le recenti disposizioni del Garante per la privacy sul riconoscimento biometrico.

Particolare attenzione sarà dedicata ai profili connessi alla firma grafometrica e alle applicazioni pratiche della biometria nella gestione dei rapporti di lavoro e nei rapporti con la clientela.

L’evento formativo è rivolto ai Responsabili della Compliance e del Servizio Legale, ai Responsabili dei Sistemi Informativi, ai Responsabili della Privacy di imprese, banche e assicurazioni, pubbliche amministrazioni, avvocati e consulenti.

Obiettivo dell’incontro è presentare un quadro dettagliato e completo delle opportunità connesse allo sviluppo delle tecniche biometriche in ambito privato e in ambito pubblico, mettendo a disposizione dei partecipanti strumenti operativi e indicazioni pratiche per aggiornare le proprie competenze professionali.

Ulteriori informazioni sul sito optime.it.

La brochure dell’evento è disponibile QUI.

Share

posted by Giulia Giapponesi on luglio 2, 2014

Miscellanee

2 comments

facebookFacebook è nuovamente al centro dell’interesse dei Garanti privacy europei dopo che, la scorsa settimana, si è diffusa la notizia di un “esperimento psicologico” condotto dal social network attraverso la manipolazione dei contenuti delle bacheche elettroniche degli utenti.

Nel corso dell’esperimento, durato una settimana e condotto nel gennaio 2012, Facebook ha alterato il numero di post dal tono positivo o negativo che alcuni utenti potevano visualizzare sulla loro bacheca per poter analizzare come le emozioni si propagano attraverso i social media. I post manipolati dall’esperimento sono stati visualizzati da circa 700.000 utenti di Facebook, ovvero da un utente ogni 2500, al tempo dell’esperimento.

L’esperimento è stato portato avanti senza l’autorizzazione degli utenti coinvolti e secondo alcuni commentatori sarebbe stato condotto in violazione dei terms of service sottoscritti dagli utenti. Facebook ha replicato a queste accuse ricordando che tutti gli utenti sono obbligati a rilasciare un permesso generico per ricerche da parte della società come una condizione necessaria per poter usufruire del servizio.

In seguito all’ondata di critiche che si sono diffuse in seguito alla pubblicazione della notizia, in Europa diverse Autorità per la protezione dei dati personali  si sono attivate per raccogliere ulteriori informazioni in merito. Tra queste spicca il Data Protection Commissioner dell’Irlanda, una nazione particolarmente coinvolta dalle attività di Facebook in quanto, come è noto, a Dublino hanno sede gli headquarters internazionali della compagnia. L’Authority irlandese ha reso noto di avere indirizzato alla corporation una serie di domande  volte a stabilire se ci siano criticità del punto di vista della privacy degli utenti.

Anche l’Information Commissioner’s Office del Regno Unito ha dichiarato il proprio interesse ad approfondire la questione. Un portavoce ha fatto sapere che è in corso una verifica su eventuali violazioni della privacy degli utenti anglosassoni ma che attualmente è impossibile stabilire se Facebook abbia violato o meno la legge. Infatti, ad oggi nessuno sa dove fossero localizzati gli utenti coinvolti nell’esperimento. Attualmente l’80% degli utenti del social network sono residenti al di fuori del Nord America.

Per quanto riguarda gli Stati Uniti, la Federal Trade Commission, l’autorità regolatoria che vigila sulla condotta di Facebook, non ha espresso alcuna osservazione sul caso.

Attualmente, comunque, l’interesse espresso dai Garanti europei non si è ancora tradotto in indagini formalizzate.

———————————

AGGIORNAMENTO DEL 4 LUGLIO 2014:

Per quanto riguarda gli Stati Uniti, il gruppo di pressione sulla privacy the Electronic Privacy Information Centre (Epic) ha depositato un ricorso alla Federal Trade Commission per richiedere un’investigazione sul caso.

Share