Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on giugno 21, 2018

Regolamento 2016/679 - GDPR

(No comments)

La Commissione speciale per gli atti speciali di Governo ha approvato il parere del relatore sullo schema di decreto.

Si è concluso l’esame della Commissione relativo allo schema di decreto legislativo di adeguamento delle disposizioni nazionali al GDPR, il Regolamento UE 2016/679, al vaglio della Commissione speciale dal 15 maggio 2018.

Rispetto alla prima versione sono state inserite le correzioni richieste dal governo (sostituzione della formula “rilevante numero di persone” con “oggetto di trattamento su larga scala” e l’autorizzazione all’utilizzo dei dati biometrici relativamente alla protezione dei supporti informatici e alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati) ed alcuni correttivi secondari richiesti dai partiti.

Il resoconto della seduta della Commissione è disponibile QUI.

posted by Laura Greco on giugno 21, 2018

Tutela dei consumatori

(No comments)

L’Autorità per le garanzie nelle comunicazioni e l’Istituto dell’Autodisciplina Pubblicitaria hanno siglato un accordo di collaborazione volto a promuovere la corretta comunicazione commerciale e ad approfondire le tematiche di carattere tecnico, economico e regolamentare in materia.

Con la propria attività lo IAP ha dettato, nel tempo, regole di autodisciplina volte a contrastare la pubblicità ingannevole e ad assicurare una comunicazione commerciale veritiera, contribuendo a migliorare la trasparenza e la consapevolezza del consumatore, nonché agevolando il ricorso a meccanismi di tutela per la risoluzione di problemi e contestazioni.

Alla luce di tale esperienza pluridecennale e della possibilità, prevista dal diritto europeo, di attuare strumenti di “co-regolamentazione” nei settori incidenti sulla tutela del consumatore, l’AGCOM ha inteso così raccordare le competenze maturate dallo IAP nel campo della comunicazione commerciale con i propri obiettivi di vigilanza.

Dunque, una nuova sinergia a tutela del consumatore, oggi più che mai, esposto a condotte pubblicitarie sempre più intrusive.

posted by admin on giugno 20, 2018

Regolamento 2016/679 - GDPR

(No comments)

È stato depositato il parere del relatore alla Commissione speciale per gli atti speciali di Governo, relativo allo schema di decreto legislativo di adeguamento delle disposizioni nazionali al GDPR, il Regolamento UE 2016/679.

Prosegue l’esame della Commissione speciale per l’esame degli atti del Governo sullo “Schema di  decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679”, trasmesso alle Camere lo scorso 10 maggio e affidato il 15 maggio alla Commissione speciale. Al termine della seduta del 19 giugno, è stata pubblicata una proposta di parere favorevole allo schema di decreto, con alcune proposte di modifica e integrazione, che riguardano principalmente le disposizioni in materia di sanzioni amministrative e penali.

È attesa già nelle prossime ore la definitiva approvazione della proposta di parere, nel rispetto quindi del termine del 24 giugno, previsto per la conclusione dell’esame della Commissione.

Il documento si può consultare sul sito della Camera dei Deputati, cliccando QUI.

Facebook-loginAi sensi della direttiva 95/46/CE l’amministratore di una pagina Facebook è da considerarsi responsabile* del trattamento dei dati personali dei visitatori.

Sembra allungarsi ogni giorno di più la lista delle problematiche relative alla protezione dei dati personali degli utenti di Facebook. Questa volta l’attenzione è sulle fanpage, le pagine pubbliche dedicate ad aziende, prodotti o personaggi famosi, gestite da amministratori che ne curano i contenuti e la diffusione pubblicitaria.

Come di consueto nella web-economy, il servizio è gratuito e il guadagno del provider si basa sulla pubblicità, ovvero sul commercio di dati. In altre parole, chiunque può aprire e gestire gratuitamente una fanpage su Facebook, che, in cambio, raccoglie dati degli utenti attraverso il posizionamento sui browser web di chi visita la pagina, di cookie usati per memorizzare informazioni, che, se non eliminati, restano attivi per due anni.

In particolare, Facebook riceve, registra ed elabora le informazioni memorizzate nei cookie quando una persona visita «servizi Facebook, servizi forniti da altri membri delle Aziende di Facebook e servizi forniti da altre aziende che usano i servizi Facebook».

Tuttavia, grazie a questa prassi anche gli amministratori delle pagine godono di vantaggi commerciali. Le fanpage di Facebook offrono servizi di statistica che permettono, ad esempio, di “conoscere” il profilo dei visitatori che “mettono i like” alla pagina o che ne utilizzano le applicazioni, consentendo agli amministratori di proporre al loro pubblico un contenuto più pertinente e sviluppare funzionalità che possano interessarlo in maggior misura. Per questo, la creazione di una fanpage su Facebook implica da parte del suo amministratore l’impostazione di parametri basati sul suo pubblico destinatario nonché sugli obiettivi di gestione o di promozione delle sue attività, che influisce sul trattamento di dati personali ai fini della creazione di statistiche stabilite a partire dalle visite della pagina. L’amministratore, quindi, può, tramite filtri messi a disposizione da Facebook, definire i criteri a partire dai quali si devono stabilire tali statistiche e designare perfino le categorie di persone i cui dati personali saranno oggetto di utilizzo da parte di Facebook. Di conseguenza, l’amministratore di una fanpage contribuisce indirettamente a determinare le modalità di trattamento dei dati personali dei visitatori della sua pagina.

Dunque chi è responsabile del trattamento dei dati personali dei visitatori di una fanpage di Facebook: il social network o l’amministratore del profilo della pagina? O entrambi?

Questa, in estrema sintesi, la domanda presentata alla Corte nell’ambito di una controversia tra l’ULD (autorità di vigilanza regionale indipendente per la protezione dei dati dello Schleswig-Holstein, Germania) e, dall’altro, la Wirtschaftsakademie, società operante nel settore della formazione, in merito alla legittimità di un provvedimento emesso dall’ULD con cui si intima alla Wirtschaftsakademie di disattivare la sua fanpage di Facebook per violazioni nel trattamento dei dati.

La Corte ha chiarito innanzi tutto che il responsabile del trattamento, sia persona giuridica o fisica, non deve necessariamente essere un unico organismo e può riguardare vari attori che a vario titolo maneggiano i dati. Pertanto l’amministratore di una fanpage, come la Wirtschaftsakademie, contribuisce a determinare, assieme con la Facebook Ireland e la Facebook Inc., le finalità e gli strumenti del trattamento dei dati personali dei visitatori e può, quindi, anch’essa essere considerata quale «responsabile del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46.

A tal riguardo, risulta che qualsiasi persona che desideri creare una fanpage su Facebook stipula con la Facebook Ireland un contratto specifico relativo all’apertura della sua pagina e aderisce, a tale titolo, alle condizioni di utilizzo della pagina, inclusa la politica relativa in materia di cookie. Di fatto, diventa quindi corresponsabile del trattamento.

Inoltre, l’amministratore della fanpage può chiedere di ricevere – e, quindi, chiedere che siano trattati – dati demografici concernenti il suo pubblico destinatario, in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale, informazioni sullo stile di vita e sugli interessi di detto pubblico, nonché informazioni sugli acquisti e il comportamento di acquisto online dei visitatori, le categorie di prodotti o di servizi di loro maggiore interesse, come pure dati territoriali che consentono all’amministratore di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate.

Anche se il servizio è progettato e offerto da Facebook e solo da esso regolato, l’amministratore di una fanpage che beneficia dei servizi a essa collegati non può essere esonerato dagli obblighi in materia di protezione dei dati personali.

Inoltre, la Corte ha ritenuto importante sottolineare che le fanpage presenti su Facebook possono essere visitate anche da persone che non sono utilizzatori di Facebook e che quindi non dispongono di un account utente. In tal caso, la responsabilità dell’amministratore della pagina relativamente al trattamento dei dati personali appare ancor più importante, poiché la mera consultazione della fanpage da parte di visitatori esterni fa scattare automaticamente il trattamento dei loro dati personali.

La Corte ha quindi stabilito che il riconoscimento di una responsabilità congiunta di Facebook e dell’amministratore di una fanpage in relazione al trattamento dei dati personali dei visitatori contribuisce a garantire una più completa tutela dei diritti di cui godono le persone che visitano una fanpage, conformemente alle prescrizioni della direttiva 95/46.

Tuttavia, la sentenza della Corte di Giustizia precisa che la corresponsabilità non si traduce necessariamente in una responsabilità equivalente. Al contrario, Facebook e gli amministratori possono essere coinvolti nel trattamento dei dati in fasi diverse e a diversi livelli, e quindi il grado di responsabilità deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie.

La decisione della Corte è destinata ad avere un ampio impatto sulla gestione delle fanpage Facebook che, secondo le ultime statistiche, sono oggi oltre 65 milioni.

La sentenza è consultabile su QUESTA pagina.

* NdA: Ai fini della corretta comprensione dell’articolo, si segnala sin d’ora che nel recepimento nazionale delle disposizioni della Direttiva, il legislatore italiano ha operato una diversa scelta lessicale, indicando con la denominazione “titolare”, il soggetto che nella Direttiva è chiamato “responsabile”, e denominando invece “responsabile”, colui che nella Direttiva è “incaricato”. Ove dunque ricorra il termine “responsabile del trattamento”, così come inteso dalla Direttiva, occorrerà far riferimento alla figura che usualmente in Italia chiamiamo “titolare del trattamento.

In occasione della recente entrata in vigore del Regolamento Generale per la Protezione dei Dati Personali, l’Università di Bologna organizza un convegno dedicato all’adeguamento al GDPR (Reg. UE 2016/679 in materia di protezione dei dati personali).

L’evento, volto a definire il contesto e la sostanza del nuovo Regolamento sulla privacy, è stato organizzato sotto la guida di Giusella Finocchiaro, Presidente del gruppo di lavoro, presso l’Ufficio Legislativo del Ministero della Giustizia, incaricato di provvedere alla ricognizione, all’analisi ed all’approfondimento delle disposizioni, di matrice europea, previste dalle fonti normative, al fine di provvedere al recepimento ed adeguamento dell’ordinamento interno alle prescrizioni europee in materia di protezione dei dati personali.

Il convegno vede la partecipazione degli esperti componenti della Commissione presso l’Ufficio Legislativo del Ministero della Giustizia:

Avv. Giovanni Guerra – Avvocato del Foro di Roma

Prof. Alessandro Mantelero – Politecnico di Torino

Prof. Franco Pizzetti – Università degli Studi di Torino, Università Luiss Guido Carli

Prof. Oreste Pollicino – Università Bocconi

Prof. Giorgio Resta – Università degli Studi Roma Tre

Con loro discutono rappresentanti istituzionali:

Cons. Augusta Iannini  – Vice Presidente dell’Autorità Garante per la protezione dei dati personali

Cons. Carmelo Barbieri – Vice Capo Ufficio Legislativo – Ministero della Giustizia

Introducono il convegno:

Prof. Francesco Ubertini – Magnifico Rettore Alma Mater Studiorum Università di Bologna

Prof. Luigi Balestra – Vice Presidente della Scuola di Giurisprudenza – Alma Mater Studiorum Università di Bologna

Dott. Alberto Vacchi – Presidente di Confindustria Emilia Area Centro – Presidente e Amministratore Delegato di IMA Spa

Dott. Pierluigi Stefanini – Presidente Unipol Gruppo e Vice Presidente UnipolSai Assicurazioni

Avv. Gianluca Di Ascenzo – Presidente del Codacons

Modera il giornalista del Sole 24 Ore, Dott. Giovanni Negri.

L’appuntamento è per giovedì 31 Maggio 2018 dalle ore 15.00 presso la Sala VIII Centenario – Via Zamboni 33, Bologna.

posted by admin on maggio 25, 2018

Miscellanee

(No comments)

Master Sole 24ore Vi proponiamo qui l’articolo di Giusella Finocchiaro sullo schema di decreto che armonizza l’integrazione del Regolamento dell’Unione Europea sulla privacy, pubblicato sull’inserto privacy del il Sole 24 Ore il 24 maggio 2018.

A distanza di oltre vent’anni dalla prima normativa europea in materia, la direttiva madre 46 del 1995, è giunto il momento di voltare pagina. Prendendo atto dei cambiamento tecnologici (nel 1995 non esistevano gli smartphone) che hanno indotto grandi cambiamenti sociologici (basti pensare alla vita che si svolge sui social network). E’ cambiato anche il contesto economico: oggi i dati sono il nuovo petrolio, come scrive l’Economist. E quello politico: l’Europa si è impegnata nel mercato unico digitale.

Il Regolamento europeo 679/2016, che entra in vigore domani, riflette tutti questi cambiamenti e volta pagina. Innanzitutto detta una disciplina unitaria per tutti gli Stati Membri, salvo alcuni spazi lasciati al legislatore nazionale, definendo così uno spazio unico anche sotto il profilo giuridico, all’interno e verso l’esterno.

Afferma con forza il principio della libera circolazione dei dati, la quale “non può essere limitata nè vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”, come recita l’articolo 1 del regolamento.

Il diritto alla protezione dei dati personali, sancito dalla Carta Dei Diritti Fondamentali dell’Unione Europea, è soggetto a un necessario bilanciamento. I dati personali possono essere al tempo stesso gli elementi su cui si definiscono l’immagine e l’identità dell’individuo, nonché beni economici oggetto di scambio.

Il patrimonio italiano costituito dalla nostra elaborazione normativa, giurisprudenziale e dottrinale, è ormai patrimonio giuridico europeo e in questa prospettiva va correttamente inquadrata la nuova fase della protezione dei dati personali. I principi fondamentali già consolidati sono confermati dal regolamento europeo: così informativa, consenso e altri presupposti di legittimità del trattamento.

Muta però la filosofia di fondo: si passa dall’approccio autorizzatorio a quello fondato sull’accountability. E questo comporta la modifica nella governance: la gestione dei dati personali diviene gestione del rischio, non più soltanto competenza del legale o dell’IP.

In Italia, con grande ritardo, è stata incaricata una commissione legislativa – che ha concluso i lavori in due mesi, il 19 marzo – di predisporre il testo di un decreto legislativo per adeguare la normativa italiana a quella europea.

Opera non strettamente necessaria, essendo il regolamento direttamente applicabile, ma utile per operare un coordinamento. La commissione ha verificato la compatibilità delle norme presenti nell’ordinamento italiano con quelle del regolamento europeo, che direttamente le sostituiscono.

Ha quindi proceduto con un’operazione non frequente: l’abrogazione espressa delle norme italiane sostituite. Si tratta di n’operazione culturale di grande rilevanza, volta a chiarire agli operatori e agli interpreti il quadro normativo di riferimento.

[...]

Continua sull’inserto privacy del Il Sole 24 Ore del 23 maggio 2018.

posted by admin on maggio 23, 2018

Miscellanee

(No comments)

Vi proponiamo qui l’articolo di Giusella Finocchiaro sullo schema di decreto che armonizza l’integrazione del Regolamento dell’Unione Europea sulla privacy, pubblicato su il Sole 24 Ore il 23 maggio 2018.

La Commissione Speciale per gli atti urgenti del Governo ha iniziato l’esame dello schema di decreto legislativo per l’adeguamento della legislazione nazionale al Regolamento (UE) 2016/679.

Si comunica che durante la 14ª seduta di giovedì 17 maggio 2018, la Commissione speciale per l’esame degli atti urgenti presentati dal Governo Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Master Sole 24ore privacy officerVi proponiamo qui l’articolo di Giusella Finocchiaro e Oreste Pollicino, pubblicato su il Sole 24 Ore il 12 maggio 2018.

È stato finalmente trasmesso alle Camere lo schema di decreto elaborato dalla Presidenza del consiglio sulla base della proposta ricevuta dalla Commissione incaricata di adeguare la normativa italiana a quella europea. Tempi molto lunghi, anche per la situazione politica che non ha inserito certamente una normativa apparentemente di tipo tecnico, come quella sul Gdpr, fra le priorità.

Cosa è cambiato nello schema? Il contenitore e le norme penali. Mentre il contenuto è fondamentalmente rimasto il medesimo, salvo alcuni aggiustamenti, in parte condivisibili.

Con riguardo alla tecnica normativa, è stato scelto di inserire le modifiche apportate dal decreto nel Codice per la protezione dei dati personali, le cui disposizioni sono però perlopiù abrogate e di cui molte altre sono modificate. Ne risulta un testo di inutile complessità, che non apporta alcuna tutela sostanziale in più per il diritto alla protezione dei dati personali. La semplificazione è abbandonata e la leggibilità certamente ne risente.

La nuova tecnica normativa sembra sia stata motivata dal timore del rischio di un eccesso di delega se si fosse confermato l’approccio della Commissione di abrogare il codice. Il problema dell’eccesso di delega sembra essere stato amplificato rispetto alla sua reale portata. A differenza di numerosi casi in cui la legge delega fornisce dei principi e criteri direttivi dettagliati andando ad individuare questioni specifiche, in questo caso, si è di fronte ad espressioni di maggior respiro finalizzate più ad un riordino, anzi, ad un adeguamento della disciplina esistente rispetto alla nuova legislazione europea piuttosto che ad interventi di chirurgia legislativa. C’era dunque l’esigenza di dare piena applicazione ad una fonte di diritto dell’Unione europea che la Corte costituzionale, già dagli anni Settanta, ha riconosciuto prevalente sul diritto interno. In questi casi la Consulta è assai prudente nella identificazione di possibili vizi di costituzionalità.

L’impressione è, in altre parole, che l’adeguamento a cui mirava la legge delega sarebbe potuto passare, senza troppi problemi di possibile conformità costituzionale dello schema di decreto e un risultato di maggiore chiarezza e leggibilità dello stesso, anche per la scelta dell’abrogazione fatta dalla Commissione.

Sono state ampiamente riviste le disposizioni penali presenti nel Codice per la protezione dei dati personali e sono stati creati due nuovi reati, concernenti la cessione di rilevanti quantità di dati e l’acquisizione fraudolenta di dati. La formulazione delle nuove fattispecie di reato va ora verificata con la massima attenzione. Il principio di tassatività in materia penale non è solo tutelato dalla nostra Costituzione, ma anche dalla Carta dei diritti fondamentali dell’Unione europea. Trattandosi di materia in cui gli Stati membri hanno un margine di discrezionalità, sono comunque rilevanti i vincoli provenienti dal diritto dell’Unione, poiché si sta dando attuazione ad un regolamento comunitario. Ancora, la versione dello schema di decreto inviato alle Camere non ha tenuto in considerazione, a differenza di quanto faceva il testo licenziato dalla Commissione, della giurisprudenza della stessa Corte in tema di raccolta e conservazione di dati personali per finalità di sicurezza e di prevenzione di gravi reati.

Il bilanciamento tra sicurezza e privacy che emerge dal testo finale non sembra perfettamente in linea con il principio di proporzionalità delle restrizioni alla tutela dei dati personali su cui ha sempre insistito la Corte di giustizia.

In sintesi, uno schema di decreto che crea un raccordo fra la normativa italiana e quella europea ed effettua una verifica di compatibilità che contribuisce a creare una maggiore certezza del diritto. Ma su alcune scelte si sarebbe potuto avere più coraggio.