Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

facebookAccolto il ricorso di un utente italiano a cui Facebook non aveva concesso il blocco dei falsi profili realizzati a suo danno.

Facebook deve rispondere dei profili falsi creati sulla sua piattaforma offrendo collaborazione e trasparenza. Il Garante ha reso noto in questi giorni un provvedimento del febbraio scorso nel quale si pronuncia in relazione a un caso che contrappone un noto medico di Perugia a Facebook Ireland Ltd. Il ricorso, presentato dall’uomo nel novembre del 2015, ha origine da un tentativo di estorsione attuato sulle pagine del famoso social network.

Il medico era stato vittima di attività configuarbili come minacce, tentativo di estorsione, sostituzione di persona e indebita intrusione in sistema informatico da parte di una persona, anch’essa utente Facebook, che dopo aver chiesto ed ottenuto la propria “amicizia”, avrebbe intrattenuto con lo stesso “una corrispondenza telematica inizialmente di carattere confidenziale ma successivamente concludente nei tentativi di reato”. Il criminale aveva creato un falso account utilizzando foto e dati personali del medico perugino e aveva tentato di ricattarlo minacciando di diffondere fotomontaggi osceni di stampo pedopornografico presso amici, conoscenti e colleghi. L’uomo, che non aveva ceduto al ricatto, si era rivolto a Facebook affinché provvedesse a eliminare i profili fake e a fornire tutte le informazioni utili a limitare nel più breve tempo possibile il danno d’immagine in atto.

Facebook, stando a quanto dichiarato dai legali dell’uomo, non avrebbe provveduto ad agire nel merito, non consentendo in modo soddisfacente e completo l’acceso ai dati richiesti. In particolare, avrebbe semplicemente reso disponibile tramite il servizio “download tool” una serie di dati, peraltro non intelligibili perché indicati con codici, e comunque parziali in quanto limitati ai dati relativi all’account Facebook valido del ricorrente e non anche i dati trattati dal falso account e condivisi nel social network.

Il Garante ha pertanto stabilito che Facebook Ireland Ltd, che possiede le informazioni richieste dall’uomo, debba comunicare «in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome». Il social dovrà inoltre provvedere al blocco del falso profilo per agevolare le eventuali indagini volte a risalire all’identità dei responsabili del tentativo di estorsione.

Allo scadere dei trenta giorni stabiliti per adempiere alle richieste del Garante, Facebook avrà circa due settimane per presentare un’opposizione al tribunale di Perugia, pena una multa e una condanna fino a due anni di detenzione.

Digital-Signature-bluePubblicata in Gazzetta Ufficiale UE  la decisione di esecuzione 2016/650 del 25 aprile 2016  della Commissione Europea che stabilisce norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma e di un sigillo qualificati a norma del Regolamento eIDAS.

Le norme per valutare la sicurezza dei prodotti delle tecnologie dell’informazione applicabili alla certificazione dei dispositivi per la creazione di una firma elettronica qualificata o per la creazione di un sigillo elettronico qualificato a norma dell’articolo 30, paragrafo 3, lettera a), o dell’articolo 39, paragrafo 2, del regolamento (UE) n. 910/2014, ove i dati per la creazione della firma elettronica o alla creazione del sigillo elettronico siano detenuti integralmente, ma non necessariamente in via esclusiva, in un ambiente gestito dall’utilizzatore, sono elencate nell’allegato della decisione. Disponibile QUI.

Fino all’istituzione da parte della Commissione di un elenco di norme per valutare la sicurezza dei prodotti delle tecnologie dell’informazione applicabili alla certificazione dei dispositivi per la creazione di una firma elettronica qualificata o per la creazione di un sigillo elettronico qualificato, nel caso in cui un prestatore di servizi fiduciari qualificato gestisca i dati per la creazione di una firma elettronica o i dati per la creazione di un sigillo elettronico per conto di un firmatario o del creatore di un sigillo, la certificazione di tali prodotti è basata su un processo che, a norma dell’articolo 30, paragrafo 3, lettera b), rispetta livelli di sicurezza pari a quelli di cui all’articolo 30, paragrafo 3, lettera a), e sia notificata alla Commissione dall’organismo pubblico o privato di cui all’articolo 30, paragrafo 1, del regolamento (UE) n. 910/2014.

posted by admin on aprile 18, 2016

Eventi

(No comments)

Palazzo ONU NY BandiereSarà dedicato alla gestione dell’identità digitale nei servizi fiduciari il colloquium organizzato dalla Segretariato della Commissione delle Nazioni Unite per il Diritto Commerciale Internazionale (UNCITRAL) che si terrà dal 21 al 22 aprile a Vienna.

Durante l’incontro l’attività del gruppo di lavoro sarà dedicata alla raccolta e all’analisi delle informazioni sull’identità digitale e i servizi fiduciari necessarie per individuare lo scopo e la metodologia del futuro lavoro sulla materia. Come di consueto, la sessione vedrà la partecipazione di Giusella Finocchiaro in qualità di Presidente del Gruppo di Lavoro e Rappresentante italiano all’Uncitral per il commercio elettronico.

Per maggiori informazioni si rimanda alla pagina dell’UNCITRAL dedicata alle attività del working group.

Dopo oltre quattro anni dalla proposta della Commissione, il 14 aprile 2016 il Parlamento europeo ha approvato in seconda lettura il Regolamento europeo concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione dei dati.

Gli incessanti progressi tecnologici degli ultimi anni, frutto di una società dell’informazione sempre più intrusiva nella sfera privata degli individui, avevano evidenziato da un lato l’inadeguatezza di una normativa europea a protezione dei dati personali, la Direttiva 95/46/CE, elaborata nelle prime fasi dell’evoluzione digitale e, dall’altro lato, la frammentazione normativa causata dal recepimento della stessa nelle legislazioni degli Stati membri.

Il Regolamento risponde quindi all’esigenza, da tempo avvertita, di riformare la disciplina a tutela dei dati personali ampliando il novero dei diritti dell’interessato, rispetto a quanto previsto dalla Direttiva, e di uniformare la normativa degli Stati, anche nell’ottica di rafforzare il mercato unico interno. Significativa in tal senso è la scelta del legislatore europeo di adottare lo strumento del regolamento, che a differenza della direttiva non richiede alcun atto di recepimento, essendo di diretta e identica applicabilità in ogni Stato membro.

Tra le principali indicazioni introdotte dal Regolamento (Per una rassegna delle principali novità del Regolamento si rimanda a QUESTA PAGINA) pare rilevare il nuovo campo di applicazione territoriale di cui all’art. 3. In precedenza la Direttiva 95/46/CE prevedeva che la disciplina fosse applicabile, per il tramite delle legislazioni nazionali, quando il trattamento di dati personali fosse effettuato nel contesto delle attività di uno stabilimento del titolare situato nell’Unione europea. Criterio centrale per la determinazione dell’ambito di applicazione della Direttiva era, dunque, il luogo fisico in cui i dati venivano trattati. Ad oggi tale criterio sembra essere stato rovesciato dall’art. 3, comma 1° del Regolamento, il quale specifica l’applicabilità dell’atto “indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.

Già negli ultimi due anni, a partire dalla decisione Google Spain fino alla recente Schrems, gli orientamenti delineatisi nella giurisprudenza della Corte di giustizia europea hanno evidenziato la tendenza ad un’interpretazione meno restrittiva di tale criterio. Sembra infatti che sia emersa la volontà di estendere la normativa europea anche a casi in cui i titolari di trattamento sono soggetti non europei e i dati sono trattati principalmente fuori dall’Europa. Ora, l’art. 3 del Regolamento sembra avere, per così dire, codificato l’interpretazione estensiva della Corte attraverso la previsione di molteplici criteri di collegamento, che consentono di attrarre nell’ambito di applicazione della normativa europea anche trattamenti che prima era difficile includere. Il Regolamento è, infatti, applicabile non solo ai trattamenti effettuati nell’ambito delle attività di uno stabilimento del titolare situato nell’Unione, ma anche nel caso si tratti di uno stabilimento del responsabile. Inoltre, è applicabile quando l’attività di trattamento riguardi l’offerta di beni o la prestazione di servizi rivolti, anche gratuitamente, a interessati situati in territorio europeo o quando l’attività sia volta al monitoraggio del comportamento di questi ultimi, anche se i titolari o responsabili non siano stabiliti nell’Unione.

Diverse sono poi le novità introdotte dalla riforma, tra cui si annovera la previsione di nuovi diritti dell’interessato (tra cui il diritto all’oblio e il diritto alla portabilità dei dati), la responsabilizzazione dei soggetti coinvolti nel trattamento dei dati personali (in particolare l’obbligo per i titolari di effettuare la c.d. privacy impact assesment e di notificare le violazioni dei dati), nuove garanzie per i trasferimenti di dati all’estero, nonché la conferma delle due figure di vigilanza rappresentate dal Data Protection Officer e dalla Supervisory Authority.

Quanto al coordinamento con la normativa europea (il Regolamento sarà applicabile decorsi due anni dalla data di entrata in vigore) il legislatore italiano dovrà scegliere tra le due strade ora percorribili: l’applicazione diretta del Regolamento, con la conseguente abrogazione di tutte le disposizioni nazionali incompatibili con la norma europea, o l’integrazione dell’attuale Codice in materia di protezione dei dati personali, con gli inevitabili rischi di erronee trasposizioni o interpretazioni del dettato europeo.

posted by admin on aprile 14, 2016

Miscellanee

(No comments)

Il 14 aprile 2016 il Parlamento europeo ha approvato in seconda lettura il “Regolamento europeo concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione dei dati”.

Il voto del Parlamento arriva dopo oltre quattro anni di lavoro sulla revisione delle norme comunitarie sulla protezione dei dati. La riforma andrà a sostituire la direttiva 95/46/CE, emanata quando Internet era ancora agli albori, con un regolamento generale pensato per dare ai cittadini maggiore controllo sulle proprie informazioni private nel mondo digitale.

L’approvazione di oggi garantirà un nuovo livello di protezione della privacy per i cittadini europei. Il Regolamento entrerà in vigore 20 giorni dopo la sua pubblicazione sulla Gazzetta ufficiale dell’Unione Europea e le sue disposizioni saranno direttamente applicabili in tutti gli stati membri nel 2018.

Per approfondimento sulle principali novità del Regolamento si rimanda ai post precedentemente pubblicati su questo blog:

posted by admin on aprile 13, 2016

Professione forense

(No comments)

Il 13 aprile 2016 la Camera Civile di Bologna “Alberto Tabanelli”, aderente all’Unione Nazionale Camere Civili, ha organizzato un convegno dedicato alle regole del Processo Civile Telematico.

Fra gli esperti, Giusella Finocchiaro è intervenuta con una relazione dedicata alle questioni teoriche e alla prassi operativa nel Processo Civile Telematico.

Su richiesta dei partecipanti, pubblichiamo QUI LE SLIDE a supporto della relazione presentata al convegno.

Il documento è condivisibile liberamente secondo licenza “Creative Commons Attribution-NonCommercial-NoDerivs”.

posted by Alessandro Candini on aprile 12, 2016

Miscellanee

(No comments)

Ai Colleghi ed operatori che si interfacciano più o meno quotidianamente con il processo telematico non sarà sfuggita l’ordinanza emessa da un giudice onorario del Tribunale di Lecce (nel prosieguo GOT) il 16 marzo 2016, le cui conclusioni stanno destando interrogativi e perplessità tra l’Avvocatura e gli operatori che quotidianamente si interfacciano con la digitalizzazione del processo.

Deve premettersi che non è dato visionare gli atti del procedimento e che ci si deve inevitabilmente attenere alle statuizioni contenute nell’ordinanza per ricostruire le vicende del processo, comunque agevolmente desumibili.

Si tratta di una vicenda giudiziaria nella quale la chiamata in causa della società convenuta avveniva con la procedura di notifica a mezzo pec dell’atto di citazione. A fronte della mancata costituzione della convenuta e in assenza di vizi della notifica (almeno stando al contenuto dell’ordinanza), lungi dal dichiarare la contumacia il GOT disponeva la rinnovazione della notifica secondo l’ordinario procedimento a mezzo ufficiale giudiziario, rilevando in particolare che:

- La normativa che impone alle imprese di dotarsi di casella di posta elettronica non obbliga, però, le stesse imprese di munirsi di programmi elettronici che consentono la lettura degli atti inviati con firma digitale;

- Non vi è prova che la società convenuta sia in effettivo possesso di tali programmi;

- Non vi è prova che la stessa abbia potuto prendere visione dell’atto di citazione.

Operate le predette considerazioni il GOT, “letta ed applicata la norma di cui all’art. 291 c.p.c.”, ordinava la “rinnovazione della notificazione della citazione secondo l’ordinario procedimento a mezzo ufficiale giudiziario”.

L’ordinanza in commento, che si vuole credere frutto di una isolata opinione del GOT che l’ha emessa piuttosto che un orientamento ponderato e consolidato del Tribunale di Lecce o di altri Uffici giudiziari, merita di essere sottoposta a critica ponendosi in evidente contrasto con la ratio della riforma del processo telematico nonché con le norme processuali che sovrintendono il procedimento notificatorio.

Preliminarmente deve rilevarsi che l’art. 291 c.p.c., rubricato “Contumacia del convenuto”, consente al giudice di disporre la rinnovazione della citazione se il giudice istruttore rileva un vizio che importi nullità nella notificazione della citazione.

L’ordine di rinnovazione della notifica non costituisce dunque una discrezionalità del giudice, ma risulta saldato all’esito della verifica della regolarità del contraddittorio che il giudice è chiamato ad effettuare alla prima udienza di comparizione e trattazione ex art. 183 c.p.c.

Nessuna norma dell’ordinamento subordina gli effetti della notifica effettuata via pec alla previa dimostrazione, da parte del soggetto notificante, che il convenuto sia in possesso di programmi di lettura degli atti inviati con firma digitale.

Del resto per consultare una casella di pec è necessario anche possedere un personal computer, avere una connessione internet, essere dotati di un contratto di fornitura di energia elettrica che alimenti il computer, e così via. Circostanze che con tutta evidenza l’attore non può e non deve essere chiamato a conoscere.

Da un lato, infatti, le imprese e i professionisti hanno l’obbligo normativo di dotarsi di posta elettronica certificata. Dall’altro lato l’art. 1 della legge 21 gennaio 1994 n. 53 dispone che la notificazione degli atti in materia civile, amministrativa e stragiudiziale può essere eseguita a mezzo di posta elettronica certificata dall’avvocato munito di procura alle liti a norma dell’articolo 83 c.p.c.

La scelta del legislatore, dunque, è stata estremamente chiara nel ritenere, all’art. 3-bis, 3° comma della legge 21 gennaio 1994 n. 53, che la notifica a mezzo pec si perfeziona “per il soggetto notificante, nel momento in cui viene generata la ricevuta di accettazione prevista dal D.P.R. 11 febbraio 2005, n. 68, art. 6, comma 1, e, per il destinatario, nel momento in cui viene generata la ricevuta di avvenuta consegna prevista dall’articolo 6, comma 2, dello stesso D.P.R”.

Pertanto a fronte di una notifica correttamente perfezionatasi mediante la consegna dell’atto nella casella di posta certificata che il destinatario ha scelto e comunicato al proprio ordine di appartenenza (nel caso dei professionisti) o alla competente Camera di commercio (nel caso di imprese) anche ai fini della ricezione di notifiche giudiziarie, l’ordine di rinnovazione della notifica sembra con tutta evidenza travalicare non solo i doveri ma anche i poteri del giudice.

Il principio di autoresponsabilità nell’utilizzo della pec viene condivisibilmente applicato dalla giurisprudenza che si è finora pronunciata su tali nuove questioni. Si vedano, ad esempio:

- Cass. civ., Sez. Lavoro, sent., 7 ottobre 2015, n. 20072;

- Cass. civ., Sez. Lavoro, sent., 2 luglio 2014, n. 15070;

- App. Bologna, Sez. III, sent., 30 maggio 2014, R.G. 901/2014;

- Trib. Mantova, Sez. Lavoro, sent. 3 giugno 2014 n. 98.

Parte del testo dell’ordinanza è consultabile QUI.

posted by Giusella Finocchiaro on aprile 8, 2016

Miscellanee

(No comments)

Schermata 2016-04-08 alle 15.21.02Proponiamo qui l’articolo di Giusella Finocchiaro pubblicato venerdì 8 aprile 2016, su Il Giorno, Il Resto del Carlino e La Nazione.

Negli ultimi giorni abbiamo spesso letto delle grandi multinazionali tecnologiche nelle prime pagine dei quotidiani. Ma non per un nuovo modello di smartphone, né per un nuovo servizio, bensì per vicende che hanno avuto luogo in aule giudiziarie. Apple contro FBI, Facebook contro il Quotidiano Nazionale. Due grandi fenomeni si possono leggere dietro questi eventi: la tecnologia che si fa diritto e la debolezza degli Stati nazionali.

Il primo. La contrapposizione fra Nomos e Téchne è antica. Oggi la tecnologia è in grado di veicolare regole di contenuto giuridico: la scelta del livello di protezione dei dati, il grado di condivisione delle informazioni, le nuove firme elettroniche. Il codice, inteso come raccolta di norme (codice civile, codice penale, ecc.) si confonde con il codice (codice sorgente, codice eseguibile, ecc.) nel senso di software, di insieme di istruzioni che sta alla base dei programmi informatici. Come insegna Lessig, i due ‘codici’ possono diventare una cosa sola e la tecnologia può creare un sistema di regole parallelo. Ma si pone il grande problema del controllo sulla tecnica. Chi controlla la tecnica? Chi stabilisce gli obiettivi (se non addirittura i valori)?

Per leggere la versione completa dell’archivio si rimanda a QUESTA pagina di QN.

Negli ultimi due anni, con una decine di sentenze la Corte di Giustizia Europea ha affermato la rilevanza strategica che la protezione dei dati personali ha assunto nell’Unione Europea. Emerge chiaramente la volontà, apparentemente ovvia, di applicare i principi del diritto europeo al trattamento dei dati personali degli europei. Tuttavia, il tema che si affronta è più ampio e riguarda la difficoltà di giurisdizione su Internet, un non-luogo dove non esistono norme condivise, non essendo individuabile un soggetto politico legittimato a emanare le regole a livello globale. Giusella Finocchiaro ha analizzato questo scenario nel saggio  “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems” pubblicato su “Il diritto dell’informazione e dell’informatica” Anno XXX Fasc. 4-5 -2015.

Ne presentiamo qui un estratto. È possibile scaricare la versione completa in pdf cliccando QUI.

Si leggono alcune tendenze, evidenti nelle due decisioni più note, Google Spain e Schrems, ma presenti anche in altre, di carattere politico, anticipatorie rispetto alle scelte ormai quasi compiute nell’emanando regolamento. In estrema sintesi, la Corte vuole affermare l’applicabilità della normativa europea anche nel caso in cui i titolari di trattamento dei dati personali siano soggetti non europei e i dati vengano trattati prevalentemente fuori dall’Europa. Ribadisce il rango costituzionale del diritto alla protezione dei dati personali secondo la Carta dei diritti fondamentali dell’Unione europea e soprattutto la prevalenza di tale diritto sugli altri diritti, pure costituzionalmente garantiti, affermando così una scelta culturale e di principi. Riafferma il carattere di eccezionalità delle limitazioni al diritto alla protezione dei dati personali. Assume che il livello di protezione dei dati personali adottato in Europa sia più elevato rispetto al livello di protezione dei dati personali adottato altrove nel mondo e si fa promotrice del modello europeo del diritto alla protezione dei dati personali. La Corte europea si riappropria e consolida la posizione volta ad affermare l’applicazione del diritto europeo al trattamento dei dati personali degli europei. Si tratta di indirizzi profondamente politici in cui la Corte orgogliosamente sceglie cultura, principi e diritto europeo, contrapponendosi alla visione e agli interessi, nei casi in esame, statunitensi. La Corte esercita dunque un ruolo di supplenza politica, estendendo l’applicabilità della normativa europea e anticipando nell’interpretazione della direttiva-madre l’emanando regolamento europeo sulla protezione dei dati personali.

posted by admin on marzo 29, 2016

identità digitale

(No comments)

La quarta sezione del Consiglio di Stato ha confermato la sentenza del Tar Lazio che nel luglio 2015 aveva annullato il criterio del capitale sociale minimo di 5 milioni per diventare identity provider.

Con la sentenza n. 1214 del 24 marzo 2016 il Consiglio di Stato ha bocciato la norma sul capitale sociale del decreto della Presidenza del Consiglio dei Ministri del 24.10.2014, attuativo del sistema SPID, il sistema pubblico di identità digitale che dà la possibilità a cittadini e imprese di richiedere le credenziali con le quali connettersi ai servizi online della PA.

La Presidenza del Consiglio dei Ministri aveva fatto ricorso al Consiglio di Stato dopo la bocciatura del Tar del Lazio, sul tema dell’elevato capitale sociale necessario per poter diventare “Identity Provider Spid”.

Il Consiglio di Stato ha invece confermato la decisione del Tar del Lazio che aveva accolto i ricorsi delle Associazioni Assintel e Assoprovider, secondo cui l’applicazione del Decreto avrebbe impedito a molte imprese del settore ICT di concorrere per diventare fornitore del sistema di identificazione. Secondo i ricorrenti, il limite sarebbe stato in contrasto con la normativa antitrust e con il Regolamento Europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

L’imposizione del requisito di un capitale sociale così alto, contrapposto all’assenza di tale obbligo per gli operatori pubblici, era stata ritenuta dai giudici del Tar una indebita discriminazione in favore della Pubblica Amministrazione, distorsiva del mercato e in aperto contrasto con la normativa antitrust e con il Regolamento Europeo.

L’attuale sentenza chiarisce che Spid è un sistema essenzialmente basato su password e non può dunque essere equiparato alle modalità di identificazione forte quali la carta nazionale dei servizi e la firma digitale. La norma sarebbe illegittima anche «per irragionevolezza dell’impedimento all’accesso al mercato di riferimento,dovuto all’elevato importo del capitale sociale minimo richiesto con l’atto impugnato, trattandosi di scelta rivolta a privilegiare una finalità di incerta efficacia, a fronte della sicura conseguenza negativa di vedere escluse dal mercato stesso tutte le imprese del settore di piccole e medie dimensioni, quali appunto quelle rappresentate dalle associazioni ricorrenti».