Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on ottobre 15, 2017

Miscellanee

(No comments)

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Michele Colajanni, pubblicato su Nòva del Sole 24 Ore il 15 ottobre 2017.

Chi avrebbe mai pensato di trovare citate le tre leggi della robotica di Asimov in un testo normativo? Eppure si leggono nella “Risoluzione del Parlamento europeo del 16 febbraio 2017” che reca “raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica”.

Pur trattandosi di raccomandazioni e quindi di soft law, si affronta un tema che pochi anni fa sarebbe parso ai limiti della fantascienza: chi risponde dei danni causati da un robot o da un software a cui vengono delegate decisioni? Qualche anno fa si sarebbe risposto: è responsabile o sono responsabili alternativamente o cumulativamente chi ha scritto il programma, il produttore o il venditore. Ma oggi lo scenario è più complesso, la risposta giuridica più articolata e pertinente alla pervasività dell’informatica nella società e nell’industria.

La progressiva delega della competenza decisionale dall’uomo al software ci porterà dall’Industria 4.0 all’Impresa 5.0 in modo progressivo e solo apparentemente non dirompente. Già oggi esistono algoritmi in grado di apprendere in modo autonomo e di prendere decisioni senza che le relazioni causa-effetto siano necessariamente comprese dall’uomo. Colpisce l’affermazione del capo progetto del software Libratus che ha stracciato i migliori giocatori mondiali del poker professionistico: “Noi non abbiamo insegnato a Libratus come giocare a poker. Gli abbiamo dato le regole del poker e detto: adesso impara da solo”.

Certo, un gioco complesso a informazione imperfetta non è assimilabile alla vita reale dove non è detto che tutti rispettino le regole, ma d’altro canto la coabitazione che ci attende è molto più complessa del previsto scenario: robot che rispetta le regole, uomo imprevedibile. Dovremo considerare aspetti relativi alla co-esistenza di robot che operano con software contenente errori (essendo un prodotto umano, è fallace per definizione), robot che saranno informaticamente violati, ma anche robot che implementeranno regole basate su princìpi della propria cultura e della contingenza, in quanto nessuno ha mai potuto definire a livello universale le categorie assolute e dualistiche del giusto e dell’errato, da cui la necessità del Parlamento europeo di ricorrere alle meta-leggi della robotica di Asimov. Sotto il profilo giuridico ciò che rileva è proprio che la decisione o il comportamento assunti dai robot non sono sempre prevedibili.

Quali soluzioni sono prospettabili in alternativa o in aggiunta alle soluzioni tradizionali?

Continua su Nòva.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Digital4Executive il 10 ottobre 2017.

Le violazioni della sicurezza dei dati personali non riguardano solo la privacy. Gli adempimenti sono particolarmente rilevanti nel settore finance, chiamato a rispondere su più fronti: servizi fiduciari, tutela di network e sistemi informativi, sicurezza informatica. Con comunicazioni al Garante per la Privacy, all’organismo di vigilanza, al CSIRT e a Banca d’Italia o BCE. Oltre a eventuali notifiche ai soggetti direttamente interessati.

“Data breach” è termine ormai consueto nel linguaggio quotidiano di imprese e operatori: indica ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali. Questa è la definizione offerta dal GDPR, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che dal 25 maggio 2018 abrogherà la direttiva 95/46/CE e detterà la nuova disciplina in materia di privacy.

Il termine però non è nuovo e gli adempimenti successivi al data breach (come, ad esempio, la notifica) nemmeno: già il nostro Codice in materia di protezione dei dati personali (il d.lgs. 30 giugno 2003, n. 196) menziona e disciplina l’eventualità di “incidenti” della sicurezza unitamente agli adempimenti ad essi conseguenti.

L’attenzione rivolta a questi ultimi è recentemente aumentata proprio per il nuovo Regolamento europeo, che ha dettato una disciplina comune a tutti i titolari del trattamento (quella del Codice è riservata ai soli fornitori di servizi di comunicazione elettronica), specificando le modalità di notifica del data breach all’autorità di controllo, e di comunicazione all’interessato a cui i dati oggetto di violazione si riferiscono.

Occorre però specificare che si tratta di adempimenti non sempre obbligatori, a cui è necessario procedere solo se la violazione costituisce un rischio elevato per i diritti e le libertà delle persone fisiche. A prescindere dal grado di rischio, invece, il Regolamento prevede che, a determinate condizioni, la banca-titolare del trattamento possa essere esonerata dalla comunicazione all’interessato, come nel caso in cui siano state adottate misure tecniche e organizzative idonee a rendere i dati personali incomprensibili, quali ad esempio la cifratura.

Tuttavia non si può considerare il data breach soltanto alla luce della regolamentazione in materia di privacy. L’occorsa violazione della sicurezza è infatti oggetto di diverse discipline di settore e, per la peculiarità e la sensibilità delle informazioni coinvolte, risulta particolarmente rilevante nell’ambito bancario. In caso di data breach, le banche sono quindi tenute ad agire su più fronti per garantire una piena osservanza delle normative a cui sono assoggettate. Di seguito l’elenco.

Continua su DIGITAL4EXECUTIVE

Giusella Finocchiaro

Laura Greco

FSEPubblicato in Gazzetta Ufficiale il comunicato dell’Agenzia per l’Italia digitale che riporta la pubblicazione della circolare n. 4 recante il «Documento di progetto dell’Infrastruttura nazionale per l’interoperabilita’ dei fascicoli sanitari elettronici (art. 12, comma 15-ter, decreto-legge n. 179/2012)».

Il documento definisce lo scenario di riferimento del FSE fornendo gli aspetti tecnici dell’evoluzione della Infrastruttura nazionale per l’interoperabilità  (INI) dei fascicoli sanitari elettronici regionali e descrivendo le funzionalità che l’Infrastruttura nazionale mette a disposizione alle regioni che decidono di avvalersene.

La circolare è disponibile a QUESTA pagina.

Digital-Signature-blueIl processo telematico torna ad essere oggetto di attenzione nelle aule giudiziarie. Sebbene la digitalizzazione del processo rappresenti ormai una realtà con cui gli operatori si interfacciano quotidianamente, paiono esservi ancora dubbi circa il concreto utilizzo dei nuovi sistemi telematici.

È arrivato sino in Cassazione il ricorso di un avvocato che sosteneva l’illeggibilità delle notifiche con estensione “.p7m”, ossia il formato con cui vengono identificati i documenti a cui è apposta la firma digitale di tipo CAdES. L’avvocato fondava il proprio ricorso principalmente sulla disparità di trattamento rispetto alle notifiche in formato analogico in ragione della pienezza di conoscenza e conoscibilità che queste, a differenza di quelle telematiche, avrebbero assicurato. Il ricorrente sosteneva altresì l’assenza di una normativa che imponeva al destinatario di munirsi di un programma di lettura e che un obbligo in tal senso avrebbe comportato oneri eccessivi in violazione degli artt. 3 e 24 della Costituzione.

Con ordinanza del 25 settembre 2017, n. 22320, la VI Sezione della Corte di Cassazione civile ha respinto il ricorso sancendo l’onere del destinatario di notifiche telematiche di dotarsi di adeguati strumenti di lettura e codifica di queste ultime.

Alla luce del d.m. 21 febbraio 2011, n. 44 relativo alle regole tecniche per l’adozione nel processo civile e penale delle tecnologie dell’informazione e della comunicazione, la Corte Suprema ha in primo luogo rilevato che, sebbene non venga ivi definito un vero e proprio obbligo, l’impiego di strumenti informatici per la formazione e notificazione degli atti non solo è possibile e legittimo, ma indispensabile al fine di consentire l’operatività concreta della normativa sul processo telematico. Trattasi dunque – secondo i giudici – di una “imposizione implicita”, riflesso dell’evoluzione della disciplina delle notificazioni tradizionali e dell’adeguamento al mutato contesto tecnologico e, pertanto, non contraria alle norme costituzionali.

I giudici hanno poi escluso che la dotazione di specifici programmi informatici costituisca un onere eccezionale od eccessivamente gravoso: al contrario, essi rappresentano ormai un indispensabile complemento dello strumentario quotidiano del professionista legale, necessario per il corretto esercizio della professione.

L’orientamento espresso con la presente ordinanza evidenzia l’acquisizione di una maggiore familiarità con i principi sottesi al processo telematico che, non tanto tempo fa, erano oggetto di interpretazioni discordanti. Si prenda ad esempio la sentenza del Tribunale di Lecce del 16 marzo 2016 che tanto fece discutere per l’ordine di rinnovare la notificazione della citazione secondo l’ordinario procedimento a mezzo ufficiale giudiziario: tra le altre motivazioni, il GOT sostenne l’assenza di un obbligo normativo di munirsi di programmi di lettura degli atti sottoscritti con firma digitale.

Ad oggi può dunque rilevarsi un certo grado di consapevolezza e padronanza non solo degli strumenti informatici, ma anche dei principi sottesi al processo telematico di cui la giurisprudenza diventa promotrice contribuendo ad educare il professionista alla digitalizzazione del processo.

posted by admin on ottobre 1, 2017

Libertà di Internet

(No comments)

Facebook-loginMulte fino a 50 milioni per le piattaforme che non rimuovono entro 24 ore i commenti o le notizie di incitamento all’odio.

La “Network Enforcement Act“ (NetzDG), conosciuta anche come “Facebook Law“, è stata approvata dal Bundestag lo scorso giugno ed è entrata in vigore il primo ottobre 2017. Si tratta di una norma che potrebbe portare tutti i principali social network tedeschi a dover pagare cospicue multe per non aver eliminato entro 24 ore contenuti ritenuti illegali, inclusi quelli legati all’hate speech, alla diffamazione e all’incitamento alla violenza. In caso di inadempienza, la multa iniziale sarebbe di 5 milioni di euro che nei casi più gravi potrebbe arrivare sino a 50 milioni di euro. Per intervenire sui casi considerati meno urgenti le società avrebbero invece una settimana di tempo.

Il Governo tedesco ha reso noto che il provvedimento non è rivolto solamente a Facebook e Instagram, ma i controlli si estenderanno a tutti le principali piattaforme social tra cui anche YouTube, Twitter, Vimeo, Tumblr, Reddit, il social network russo VK e la piattaforma gab.ai

Le aziende che gestiscono le piattaforme dovranno nominare un responsabile che gestisca i rapporti con Governo Tedesco che,dal canto suo, ha affidato il compito di controllare e vigilare sulle reti social a 50 dipendenti.

Prevedibilmente, la nuova norma ha sollevato molte polemiche riguardo alla  censura alla libertà di espressione e la discrezionalità nello stabilire cosa rappresenti incitamento all’odio e cosa no.

Un portavoce di Facebook ha dichiarato che la gestione di questa incombenza amministrativa sarà “complessa”, e ha annunciato recentemente la volontà di assumere altre 3.000 persone nel corso del prossimo anno per moderare i contenuti segnalati.

La Fondazione Forense Bolognese (Consiglio dell’Ordine degli Avvocati) con il patrocinio dell’Università di Bologna organizza un convegno dedicato al Regolamento Europeo sulla privacy e sulla protezione dei dati personali n. 679/2016.

L’evento si terrà il 9 ottobre 2017 dalle ore 15,00 alle 18,30 presso l’Aula Traslazione del Complesso S. Domenico– Piazza S. Domenico, 13 Bologna.

Nel corso del convegno sarà presentato il volume “Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali” a cura della Prof.ssa Giusella Finocchiaro, Ordinario di Diritto di internet e di Diritto privato nell’Università di Bologna, con la partecipazione della Curatrice e degli Autori.

La partecipazione è libera, vale 3 crediti formativi, ma è necessaria l’iscrizione sul sito www.fondazioneforensebolognese.it.

Il programma del convegno è disponibile QUI

posted by admin on settembre 21, 2017

Miscellanee

(No comments)

L’Ordine dei Dottori Commercialisti e degli Esperti Contabili di Bologna organizza l’evento “GOING DIGITAL documento informatico, firma elettronica, nuovo regolamento europeo sulla protezione dei dati”.

L’evento vede la partecipazione di Giusella Finocchiaro come relatore unico sul tema del Documento informatico e delle firme elettroniche, in particolare ne illustrerà:

• il quadro normativo

• il nuovo Regolamento e-IDAS e il coordinamento con il Codice dell’Amministrazione digitale

• il documento informatico e le firme elettroniche: descrizione e definizioni

• le funzioni delle firme elettroniche

• excursus giurisprudenziale in materia di documento e firme elettroniche

• il sigillo elettronico

La Professoressa terrà inoltre un’introduzione al nuovo Regolamento europeo 2016/679 in materia di protezione dei dati personali, ed in particolare tratterrà un preliminare confronto con la direttiva 95/46/CE e le principali novità del Regolamento le nuove condizioni per il consenso e i nuovi diritti e tutele per l’interessato

L’evento si terrà presso la Sala Conferenze Marco Biagi – Piazza De’ Calderini 2/2, Bologna, dalle 15.00 alle 18.00. Il convegno dà la possibilità di maturare tre crediti formativi.

Per informazioni è possibile contattare la segreteria organizzativa: Fondazione dei Dottori Commercialisti e degli Esperti Contabili, di Bologna P.zza De’ Calderini, 2/2 – 40124 Bologna Tel. 051/220392 – Fax. 051/238204 info@fondazionedottcomm-bo.it – www.fondazionedottcomm-bo.it

Il convegno è gratuito; E’ obbligatoria l’iscrizione da effettuarsi esclusivamente on line sul sito della Fondazione

posted by admin on settembre 19, 2017

Ecommerce e contrattualistica

(No comments)

La brochure digitale del modello di legge UNCITRAL sugli Electronic Transferable Records, corredata di note esplicative, è stata pubblicata.

Il modello di legge, basato sui principi Uncitral della neutralità tecnologica e dell’equivalenza funzionale, rappresenta un importante tassello nello sviluppo del commercio elettronico e rimuove gli ostacoli giuridici alla circolazione internazionale dei titoli di credito dematerializzati.

Il testo della Model Law è frutto dell’attività del gruppo di lavoro IV della commissione delle Nazioni Unite sul diritto commerciale internazionale (UNCITRAL) dedicato al commercio elettronico. Negli ultimi 5 anni l’attività del Working Group si è concentrata sulla definizione, sulle regole e sull’utilizzo di questi particolari dati elettronici finanziari. Dal 2012 il Gruppo di lavoro è stato presieduto da Giusella Finocchiaro che ne è stata Presidente fino alla chiusura dei lavori.

Il Working Group si è occupato del processo di definizione e regolamentazione degli electronic transferable records dal 2011 al 2016 quando, durante la sua 45esima sessione di lavoro, ha chiesto al Segretariato Uncitral di valutare il modello di legge e la documentazione allegata e di trasmettere questi testi alla Commissione,. Il 13 luglio 2017 la Commissione ha approvato e adottato il modello di legge.

La brochure digitale è disponibile QUI.

emailRiceviamo un quesito da un lettore relativo ad un caso di possibile violazione della privacy a cui rispondiamo pubblicamente a beneficio di quanti si trovano in simili situazioni di incertezza.

Buonasera, ho scritto ad un avvocato tramite PEC, lo stesso ha risposto dicendo che non tutela più gli interessi delle persone menzionate nella email. Poi una di quelle persone mi scrive alla PEC, ma il mio indirizzo PEC lo conosceva solo l’avvocato che non li tutela più. Era autorizzato a comunicarglielo?

Di regola l’avvocato che inoltra al proprio ex-cliente una comunicazione destinata a quest’ultimo, ricevuta dopo l’estinzione del mandato, adempie al generale dovere di correttezza e buona fede, nel rispetto dei principi deontologici che sovrintendono la professione forense. Non si reputa quindi necessaria alcuna autorizzazione, essendo la comunicazione destinata ab origine all’ex-cliente.

Per le imprese che si stanno preparando all’entrata in vigore delle nuove norme per la protezione dei dati personali, prevista a maggio del 2018, una delle novità più significative è la valutazione d’impatto sulla protezione dei dati, una misura preventiva inerente il risk assessment che ciascun titolare del trattamento è tenuto ad effettuare.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Digital 4 Executive il 12 settembre 2017.

È ormai più di un anno che si parla del nuovo GDPR, il Regolamento europeo in materia di protezione dei dati personali, il Reg. (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che dal 25 maggio 2018 andrà a sostituire la direttiva 95/46/CE.

Dottrina ed esperti in materia di privacy, ma anche istituzioni e organismi europei hanno tentato di fornire indicazioni operative agli Stati e agli operatori per facilitare il loro adeguamento alla nuova disciplina. Il Gruppo di lavoro Art. 29, ad esempio, ha adottato una serie di linee guida volte a chiarire alcuni adempimenti del Regolamento che, per via del carattere innovativo ovvero per via della loro onerosità e complessità, hanno attirato sin da subito l’attenzione – e i timori – delle imprese.

Tra questi una delle novità maggiormente discusse è la valutazione d’impatto sulla protezione dei dati. Dal momento che tale adempimento è stato oggetto di innumerevoli commenti, può brevemente ricordarsi che si tratta di una misura preventiva inerente il risk assessment che ciascun titolare del trattamento è tenuto ad effettuare sulla base della natura, dell’oggetto, del contesto e delle finalità del trattamento. Attraverso un’analisi dei flussi informativi la valutazione d’impatto è volta all’individuazione dei rischi derivanti dal trattamento e, quindi, dei mezzi e degli strumenti da adottare per contrastarli.

Con il presente contribuito si intende offrire una guida pratica agli operatori che intendano o debbano procedere alla valutazione d’impatto, alla luce dell’art. 35 del Regolamento e delle Guidelines on Data Protection Impact Assessment (DPIA) adottate il 4 aprile 2017 dal Gruppo Art. 29.

L’articolo continua su Digital 4 Executive.