Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on gennaio 12, 2018

PA telematica

(No comments)

Digital-Signature-blueIl 12 gennaio 2018 è stato pubblicato il decreto legislativo 13 dicembre 2017, n. 217 contenente disposizioni integrative e correttive al decreto legislativo 26 agosto 2016, n. 179, concernente modifiche ed integrazioni al Codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, ai sensi dell’articolo 1 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche.

A un anno dall’entrata in vigore del d.lgs. 179/2016, che aveva già profondamente riformato la disciplina prevista dal Codice dell’Amministrazione digitale, il Consiglio dei Ministri ha approvato nel settembre 2017 un nuovo schema di decreto legislativo integrativo e correttivo del precedente.

Oggi trova definitiva conclusione il procedimento di approvazione del più recente intervento legislativo, che porta avanti l’opera di razionalizzazione e deregolamentazione delle disposizioni contenute nel Codice dell’Amministrazione digitale.

Il provvedimento entrerà in vigore il 27 gennaio 2018.

In materia di documento informatico e firma elettronica, le modifiche apportate in sede di esame definitivo non mutano quanto già previsto dallo schema adottato in esame preliminare. Per un approfondimento in merito all’impatto delle nuove integrazioni, con particolare riferimento a firma digitale e domicilio digitale, si rinvia all’articolo di Giusella Finocchiaro.

posted by admin on gennaio 8, 2018

Miscellanee

(No comments)

Milano, 12 gennaio 2018
Fondazione Eni Enrico Mattei
Palazzo delle Stelline
Corso Magenta, 63
13h00 – 14h30

Più di mezzo secolo fa la canzone di Bob Dylan “A hard rain’s a-gonna fall” descriveva un mondo cupo e turbolento alle prese con un potenziale attacco nucleare, la minaccia nascente dell’inquinamento ambientale, un ordine internazionale in rapido spostamento, una crescente divisione all’interno della società e la comparsa di nuovi paradigmi socio-politici e centri di potere. E’ uno scenario simile a quello di oggi? O la pioggia che cade è l’origine di nuove opportunità?

Nomisma ha chiesto agli esperti di tutto il mondo di condividere i loro punti di vista sui principali trend che influenzeranno l’agenda globale nel 2018. Il loro contributo è raccolto in un volume che racconta una visione complessiva del futuro anno suddivisa per settori. Giusella Finocchiaro ha curato il capitolo dedicato alla Internet Law nel 2018. Il volume è a cura di Andrea Goldstein e Julia K. Culver ed è liberamente scaricabile QUI.

Il volume sarà presentato a Milano il 12 gennaio 2018, dalle 13.000 alle 14.30, a Palazzo delle Stelline presso la Fondazione Eni Enrico Mattei, Corso Magenta, 63.  Per ragioni organizzative è necessario iscriversi. Per ulteriori informazioni si rimanda al sito di Nomisma.

posted by admin on gennaio 5, 2018

Diritto d'autore e copyright

(No comments)

La società americana Wixen Music Publishing fa causa al colosso svedese dello streaming con l’accusa di pagare troppo poco di royalties ai suoi artisti.

Spotify, la società che offre ascolto illimitato di musica in streming in cambio di un abbonamento, è stata accusata di non corrispondere il compenso dovuto agli aventi diritto della Wixen Music Publishing, che gestisce i diritti di 10.784 canzoni di rockstar, compresi i successi di Tom Petty, dei Doors, di Carlos Santana e di Neil Young. La società discografica chiede a Spotify un risarcimento forfettario di 150mila dollari a canzone, per un totale di oltre 1,6 miliardi di dollari.

La società di Stoccolma non è nuova a questo genere di accuse. Già nel maggio 2017, dopo una lunga vicenda giudiziaria, Spotify aveva raggiunto un accordo in una class action capitanata dagli autori David Lowery e Melissa Ferrick, accettando di pagare agli autori 43 milioni di dollari in diritti in vista della prossima quotazione a Wall Street, prevista per quest’anno. A luglio 2016 due editori musicali di Nashville, Rob Gaudino e Bluewater Music, hanno avviato una causa legale depositando le stesse motivazioni.

Intanto Spotify ha presentato alla Sec i documenti per la Dpo, la quotazione diretta a Wall Street che dovrebbe avvenire entro il primo trimestre dell’anno. Spotify, leader mondiale nella musica in streaming, ha fatto recentemente sapere che ad oggi conta oltre 70 milioni di abbonati. Il suo valore societario è stata valutato  8,5 miliardi lo scorso anno, ma pare che la quota sia salita a circa 20 miliardi dopo il recente swap azionario con il colosso cinese Tencent.

Alla luce del termine, ormai prossimo, di applicazione delle prescrizioni europee in materia di protezione dei dati personali, il Ministero della Giustizia ha designato un gruppo di esperti chiamati a conformare urgentemente l’attuale Codice Privacy alle nuove regole.

Sono due le normative comunitarie che dovranno essere implementate nel nostro ordinamento nel maggio del 2018. Il Regolamento 2016/679 del Parlamento europeo e del Consiglio sulla privacy, che abroga la precedente direttiva del 1995, dovrà essere applicato dal 25 maggio 2018, mentre nel giorno 6 dello stesso mese è fissato il termine per la pubblicazione e l’adozione delle disposizioni legislative, regolamentari e amministrative della Direttiva UE 2016/680 relativa alla protezione dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali nonché alla libera circolazione di tali dati.

Per conformare urgentemente il nostro Codice in materia di dati personali alle nuove disposizioni, il Governo ha deciso di avvalersi di qualificati esperti, anche esterni all’Amministrazione e provenienti da diverse categorie professionali. Il 14 dicembre 2017 Giusella Finocchiaro è stata designata dal Ministero della Giustizia a presiedere il Gruppo di lavoro incaricato di provvedere alla predisposizione dei decreti legislativi, in modo da garantire il tempestivo recepimento ed adeguamento dell’ordinamento interno alle prescrizioni europee in materia di privacy.

Cosa fare in caso di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati? A chi rivolgersi? Come comunicarle? La risposta è nelle linee guida pubblicate dal Gruppo di lavoro del nuovo regolamento europeo sulla privacy.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Maria Chiara Meneghetti, pubblicato su Digital 4 Executive il 18 dicembre 2017.

A seguito dell’entrata in vigore del GDPR (Regolamento UE 2016/679 in materia di protezione dei dati personali), il Gruppo di lavoro Art. 29 si è più volte attivato per offrire indicazioni concrete e casi esemplificativi che potessero aiutare gli operatori coinvolti nel trattamento di dati personali a interpretare le disposizioni del Regolamento e a pianificare correttamente il loro adeguamento.

Si collocano in questo scenario le nuove linee guida del Gruppo di lavoro Art. 29 sul data breach (Guidelines on Personal data breach notification under Regulation 2016/679, adottate il 3 ottobre 2017).

Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. L’approccio del Regolamento si differenzia nettamente da quello adottato della Direttiva 95/46/CE, che, al contrario, non dispone alcun obbligo generalizzato di notifica. Attualmente, anche il nostro ordinamento prevede un obbligo di notifica frammentario. In recepimento della normativa europea in materia di comunicazioni elettroniche, il Codice privacy ha introdotto uno specifico obbligo di notifica dei data breach esclusivamente per i fornitori di servizi di comunicazioni elettroniche accessibili al pubblico. In altri settori (dati biometrici, dossier sanitario e pubbliche amministrazioni) l’obbligo è stato prescritto attraverso puntuali provvedimenti del Garante privacy. Il nuovo Regolamento, invece, attribuisce alla notifica una funzione essenziale di tutela degli interessati ed estende tale obbligo alla generalità dei titolari di trattamento.

Il criterio dirimente per valutare la necessità di avviare una procedura di notifica è la probabilità che la violazione possa porre a rischio (per la notifica all’autorità) o ad elevato rischio (per la comunicazione agli interessati) le libertà e i diritti degli individui. Appurato il rischio conseguente dalla violazione, gli artt. 33 e 34 del GDPR indicano ai titolari i termini, le modalità, i contenuti e le deroghe della notifica e della comunicazione di data breach.

Le nuove linee guida integrano gli articoli citati e permettono di dare risposta ad una serie di quesiti la cui comprensione risulta di fondamentale importanza per la predisposizione di corrette procedure di notificazione.

[Continua su Digital4Executive].

Una guida indispensabile per realizzare campagne di marketing automation nel rispetto del nuovo regolamento GDPR sulla privacy: ecco le indicazioni fondamentali da osservare nelle attività di profilazione che prevedono il trattamento automatizzato di dati con finalità di identificazione e valutazione degli aspetti personali di un individuo.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Digital 4 Executive l’11 dicembre 2017.

Mancano pochi mesi al 25 maggio 2018, data in cui il GDPR (il Regolamento UE 2016/679 sulla protezione dei dati personali) sarà direttamente applicabile in tutti gli Stati membri dell’Unione europea.

Operatori e imprese si affrettano ad adeguare le proprie policy e i propri assetti privacy alla luce delle nuove disposizioni. Un aspetto che il GDPR disciplina specificatamente e di cui tali attori dovrebbero tener conto è quello della profilazione, ossia il trattamento automatizzato di dati personali con finalità di identificazione e valutazione degli aspetti personali relativi ad una persona fisica.

È sempre più frequente l’impiego di tecnologie (di Marketing automation) volte al targeting di clienti e consumatori, cioè all’individuazione delle loro caratteristiche, preferenze e abitudini. Di norma tali dati vengono utilizzati per fornire servizi e prodotti su misura e in linea con le esigenze individuali dei soggetti, ma talvolta il trattamento di tali informazioni potrebbe generare effetti negativi nella sfera dei soggetti profilati con conseguenze a livello sociale e relazionale che potrebbero sfociare perfino nell’esclusione o nella discriminazione.

La peculiarità di tale trattamento e la serietà delle eventuali ripercussioni sugli interessati hanno quindi portato il Gruppo di lavoro Art. 29 ad elaborare delle linee guida ad hoc sul punto (Guidelines on Automated individual decision-making and Profiling, WP251, adottate il 3 ottobre 2017).

Di seguito, vengono fornite, sulla base di tale testo e del GDPR, le indicazioni fondamentali da osservare per procedere alle attività di profilazione in piena conformità alla nuova normativa.

[continua su Digital 4 Executive]

Security_cybercrimeIl primo dicembre 2017 il Consiglio dei Ministri ha approvato, in esame definitivo, un regolamento che individua le modalità di attuazione dei principi del Codice di protezione dei dati personali nei casi di trattamento dei dati effettuati per finalità di polizia dal Centro elaborazioni dati (CED) e da organi, uffici o comandi di polizia.

Il regolamento stabilisce il divieto alla raccolta e al trattamento dei dati sulle persone per il solo fatto della loro origine razziale o etnica (inclusi quelli genetici e biometrici), la fede religiosa, l’opinione politica, l’orientamento sessuale, lo stato di salute, le convinzioni filosofiche o di altro genere, l’adesione a movimenti sindacali. È consentito il trattamento di tale particolare categoria di dati ad integrazione di altri dati personali qualora vi siano esigenze correlate ad attività informative, di sicurezza, o di indagine di polizia giudiziaria o di tutela dell’ordine e della sicurezza pubblica.

Sono poi disciplinati i casi in cui è consentita la comunicazione dei dati tra Forze di polizia, a pubbliche amministrazioni o enti pubblici e a privati, consistenti, sostanzialmente, nell’esigenza di evitare pericoli gravi e imminenti alla sicurezza pubblica e di assicurare lo svolgimento dei compiti istituzionali per le finalità di polizia.

Il regolamento definisce i parametri dell’utilizzo di sistemi di videosorveglianza, di ripresa fotografica, video e audio, che è consentito per finalità di polizia, quando necessario per documentare specifiche attività preventive e repressive di reati. La diffusione di dati ed immagini è consentita solo nei casi in cui sia necessaria per le finalità di polizia, fermo restando il rispetto degli obblighi di segretezza e, in ogni caso, con modalità tali da preservare la dignità della persona interessata.

Sono stabiliti i termini massimi di conservazione dei dati, quantificati in relazione a distinte categorie e si dispone che tali termini siano aumentati di due terzi quando i dati personali sono trattati nell’ambito di attività preventiva o repressiva relativa ai reati di criminalità organizzata, con finalità di terrorismo e informatici. Decorsi i termini di conservazione fissati, i dati personali, se soggetti a trattamento automatizzato, sono cancellati o resi anonimi, mentre continuano ad essere disciplinati dalle disposizioni sullo scarto dei documenti d’archivio delle pubbliche amministrazioni i dati non soggetti a trattamento automatizzato.

Si prevede poi che la persona interessata possa chiedere la conferma dell’esistenza di dati personali che la riguardano, la loro comunicazione in forma intelligibile e, se i dati sono trattati in violazione di vigenti disposizioni di legge o di regolamento, il loro aggiornamento, la rettifica, la cancellazione, il blocco o la trasformazione in forma anonima.

Nell’inserto “Focus Norme & Tributi” dedicato alle ”Le nuove regole per la privacy” uscito in edicola mercoledì 22 novembre sono pubblicati diversi articoli dedicati alla tutela dei dati personali firmati dalla Prof. Giusella Finocchiaro e dai suoi collaboratori, tra cui gli avvocati Alessandro Candini e Matilde Ratti.

Il Focus è disponibile anche online per gli abbonati al Sole 24 Ore ed è consultabile a QUESTA pagina.

Ecco, in sintesi, i titoli degli articoli e gli argomenti trattati.

1) Impatto dell’accountability: “Strumenti di compliance volontaria per attenuare la pericolosità” di Alessandro Candini e Giusella Finocchiaro.

La  ridefinizione dei profili di compliance aziendale costituisce una delle più importanti novità del regolamento Ue 679/2016. L’articolo presenta un’analisi dello strumento offerto dal registro di trattamento come supporto nella valutazione dei rischi e definisce le responsabilità di primo e secondo livello.

2) L’approccio basato sul rischio: “Valutazione e monitoraggio per l’adeguatezza delle misure” di Giusella Finocchiaro.

La più significativa novità contenuta nel Regolamento è costituita dal principio di accountability in base al quale il titolare del trattamento ha l’obbligo di conformarsi alla normativa vigente e di dimostrare di averlo fatto. Occorre quindi produrre una documentazione che attesti le scelte e dimostri di essere in regola.

3) L’organigramma: “Titolare e responsabile figure centrali del trattamento” di Giusella Finocchiaro e Laura Greco.

Titolare e responsabile sono le figure chiave di ogni trattamento dei dati personali. L’articolo analizza i vincoli contrattuali per i soggetti attivi del trattamento e la nuova figura di subresponsabile.

4) Servizi esterni: “Per i cloud l’esigenza di accountability” di Giusella Finocchiaro e Maria Chiara Meneghetti.

I servizi di cloud computing sono uno strumento fondamentale ma è necessario superare le criticità legate alla qualificazione dei soggetti e il trasferimento di dati all’estero.

5) L’utilizzo delle informazioni: “Tra codice privacy e regolamento il consenso resta il punto di partenza” di Giusella Finocchiaro e Matilde Ratti.

Il nuovo regolamento europeo conferma l’approccio del Codice Privacy italiano (il d.lgs. 196 del 2003) basato sull’informativa e sul consenso per il trattamento dei dati personali da parte di soggetti privati e professionisti. Il “sì” espresso per il trattamento dev’essere per fini semplici e facilmente revocabili.

6) La tutela: “Attività di marketing solo se chiaramente autorizzata” di Giusella Finocchiaro e Maria Chiara Meneghetti

Nel ridefinire le condizioni per la prestazione di un legittimo consenso, il regolamento introduce in capo al titolare l’onere probatorio di dimostrarne la raccolta e in capo all’interessato un importante diritto di revoca. In caso di revoca, l’imprenditore dovrà cessare ogni iniziativa alla quale sia stata negata la continuazione.

red-questionSe una società divulga il numero telefonico di un dipendente commette un illecito? Se un numero di cellulare viene inserito in una chat online o in un  gruppo WhatsApp senza consenso dell’interessato è possibile sporgere denuncia? Cosa accade se chi rende pubblico un numero di telefono privato non è maggiorenne?

Queste sono alcune delle numerose domande che negli ultimi mesi abbiamo ricevuto fra i commenti di questo blog sul tema della diffusione non autorizzata di un numero di telefono cellulare di un privato cittadino. In molti casi si tratta di divulgazioni senza consenso in contesti pubblici come aziende, scuole, forum e chat su Internet, gruppi Whatsapp e altri social network

A beneficio di quanti si trovano in simili situazioni di incertezza ricordiamo che:

Il numero di telefono cellulare è considerato dato personale, in quanto rende l’interessato identificabile.

Il Codice privacy qualifica come illecito penale la condotta di colui che, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, tratta in modo illegittimo i dati personali altrui, se dal fatto deriva un danno per l’interessato.

La circostanza che il fatto sia commesso da un minorenne non esclude la responsabilità penale, purché il minore abbia compiuto gli anni 14.

Resta sempre salvo il diritto ad ottenere il risarcimento del danno subito in sede civile, ove l’interessato abbia subito un pregiudizio serio ed effettivo. In questo caso risponderanno, di regola, gli esercenti la potestà genitoriale sul minore.


Accountability, governance del rischio e nuove tutele per l’interessato: il General Data Protection Regulation porta importanti cambiamenti che hanno un impatto imminente sulla gestione della privacy del settore pubblico e privato.

Il GDPR istituisce un nuovo quadro a tutela della privacy, introducendo nuovi obblighi e nuove tutele. Valutazione d’impatto, registro dei trattamenti, procedure di notifica del data breach, nomina del Data Protection Officer: sono solo alcune forme con cui il GDPR responsabilizza i titolari di trattamento che, oggi più che mai, devono fare della sicurezza dei dati un elemento centrale della propria strategia aziendale.

Data l’imminente entrata in vigore del Regolamento, che sarà applicabile a partire dal 25 maggio 2018, occorre attivarsi per recepire adeguatamente tutte le novità e per affrontare con consapevolezza il cambiamento. Per evitare di farsi trovare impreparati, la Bologna Business School propone un corso di due giornate rivolto ad amministratori, imprenditori, dirigenti, manager e chiunque abbia un ruolo di responsabilità con l’obiettivo di comprendere le implicazioni giuridiche e organizzative del regolamento.

Il corso, che si svolge sotto la direzione didattica di Giusella Finocchiaro, offre una panoramica delle novità introdotte in materia di privacy, delineando un percorso da seguire per l’adeguamento al GDPR. Le lezioni si focalizzeranno sugli adempimenti operativi necessari per essere conformi alla nuova normativa (designazione del Data Protection Officer, progettazione del trattamento by design, revisione delle informative e nuovi moduli del consenso, risk assessment, diritti degli interessati) e sui principali aspetti applicativi (cloud computing, profilazione, trattamento a scopo di marketing).

Il corso si terrà nelle giornate dell’1 e 15 dicembre 2017. La scadenza delle iscrizioni è il 27 novembre 2017.

Per informazioni ed iscrizioni si rimanda alla pagina della Bologna Business School.