Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Pubblicato per Giappichelli editore il commento al regolamento UE 910/2014 a cura di Giusella Finocchiaro e Francesco Delfini.

Il Regolamento eIDAS si inserisce nella strategia europea volta a rafforzare la fiducia nelle transazioni elettroniche e, quindi, a potenziare la realizzazione di un mercato unico digitale. “Identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, commento al regolamento UE 910/2014” è un commentario diretto all’analisi delle innovazioni introdotte nel panorama giuridico europeo dal regolamento e-IDAS.

Il regolamento, che a partire dal 1° luglio 2016 è direttamente applicabile, mira alla creazione di un regime di interoperabilità dei sistemi di identificazione elettronica e dei servizi fiduciari, tra i rispettivi Stati membri.

Articolo per articolo, il volume indaga le questioni giuridiche emergenti dalla nuova disciplina analizzando temi quali l’identificazione elettronica, le firme e i sigilli elettronici, nonché le novità in ambito di servizi fiduciari e dei loro prestatori, anche attraverso un confronto con la previgente normativa europea e l’attuale Codice dell’Amministrazione digitale.

Il volume rappresenta quindi un utile strumento di lavoro per i professionisti interessati ad uno studio approfondito della materia.

È possibile acquistare il volume, anche in formato digitale, collegandosi alla pagina di Giappichelli editore.

Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 15 aprile 2017 ha pubblicato un commento a cura di Giusella Finocchiaro sul tema della privacy e dei minori.

Sono valide le iscrizioni a Facebook (e in generale ad un social network) di bambini e adolescenti? Se per concludere un contratto è necessario essere maggiorenni, perché non occorre esserlo per iscriversi ad un social? Insomma: quanti anni occorre avere per prestare un valido consenso al trattamento dei dati personali? Secondo Facebook tredici, secondo la legge italiana diciotto.

E allora come si spiega la presenza di così tanti bambini e adolescenti italiani sui social? Semplice: secondo la maggior parte dei contratti di iscrizione, non vale la legge italiana, ma quella del social network e quindi per Facebook quella degli Stati Uniti e della California.

Quale legge prevale? È il più classico dei problemi giuridici su Internet: quello della determinazione della legge applicabile e della giurisdizione. Il nuovo Regolamento europeo 679/2016 sul trattamento dei dati personali, che costituisce una nuova disciplina europea sulla privacy, direttamente applicabile dal maggio 2018, lo risolve con un parziale compromesso. Prevede che prevalga il diritto europeo e che bastino 16 anni (ma i singoli Stati membri possono stabilire un’età inferiore, purchè non al di sotto dei 13 anni). Se il minore ha un’età inferiore ai 16 anni, il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Secondo recenti sentenze italiane su casi analoghi (pubblicazioni di foto dei propri figli sui social), in questo caso occorrerebbe il consenso di entrambi i genitori. È evidente che non sarà molto difficile eludere questa norma. Ma, come prevede il Regolamento europeo, è il social che deve controllare, utilizzando la tecnologia disponibile.

posted by admin on aprile 13, 2017

Computer Crimes, data breach

(No comments)

Security_cybercrimePubblicato in Gazzetta Ufficiale il Decreto del Presidente del Consiglio dei Ministri del 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali”.

Il decreto definisce il workflow istituzionale dedicato alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica, indicando i compiti affidati a ciascuna componente ed i meccanismi e le procedure da seguire ai fini della riduzione delle vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi.

Con il nuovo decreto che sostituisce il il DPCM 24 gennaio 2013 recante “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”, il Comitato interministeriale per la Sicurezza della Repubblica (Cisr) ha lanciato un programma nazionale per la cyber-security in più fasi.

Il nuovo provvedimento, recependo la direttiva europea Nis (Network and Information Security), rafforza il ruolo del Cisr che emanerà direttive con l’obiettivo di innalzare il livello della sicurezza informatica del Paese, e si avvarrà in questa attività del supporto del coordinamento interministeriale del cosiddetto Cisr tecnico e del Dipartimento delle informazioni per la sicurezza (Dis).

Il nuovo decreto attribuisce al direttore generale del Dis il compito di definire le  linee di azione che dovranno portare ad assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, sia pubblici che privati, verificandone ed eliminandone le vulnerabilità.

Per la realizzazione di queste iniziative è previsto il coinvolgimento del mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, così come una diffusa collaborazione con le imprese di settore.

A livello operativo, il Nucleo sicurezza cibernetica (Nsc), ricondotto all’interno del Dis, assicurerà la risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei ministeri competenti in materia.

Il Decreto è consultabile a QUESTO link.

Il Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 10 aprile 2017 ha pubblicato oggi un’intervista a Giusella Finocchiaro sul tema della privacy e delle telefonate commerciali.

Il Registro delle opposizioni è stato un tentativo, ma non funziona. Per difenderci abbiamo tre strade giudiziarie. La segnalazione al Garante privacy, la denuncia penale o quella civile.

L’illecito trattamento dei dati è punito dal Codice Privacy con la reclusione dai sei ai diciotto mesi. Si arriva a 24 mesi quando ci sono di mezzo comunicazione e diffusione. Nei casi più gravi, per esempio in caso di violazione delle disposizioni sulle informazioni sensibili, è prevista la reclusione da uno a tre anni.

Il Garante fa un’istruttoria e commina una multa. Il problema è che è oberato di lavoro, i tempi non sono rapidi. Anche se le sanzioni erogate sono state parecchie. Il Garante può anche chiedere una tutela penale per il cittadino. Poi c’è la via civile: se il cittadino riceve disturbi, può chiedere il risarcimento. Alcune decisioni hanno riconosciuto un danno perché era stata turbata la vita di una persona.

Purtroppo per diventare vittime di violazioni della nostra privacy basta stipulare un qualunque contratto. Dovrebbero chiederci un consenso specifico per usare il nostro nome a fini di marketing. Supponiamo di comprare un bene su Internet. per la consegna a casa devo dare indirizzo e email. Sono informazioni necessarie, per legge non dovrebbero nemmeno chiedere il consenso privacy. Ma magari il fornitore vuole usare i miei dati anche per informarmi di altre offerte. Qui il consenso diventa necessario. Ma alcuni pensano che essere poco corretti sia vantaggioso e chiedono un unico sì per fare la consegna prima e il marketing poi. Di solito è scritto tra le righe dell’informativa privacy, ma nessuno la legge, è per addetti ai lavori. Questa cattiva pratica è abbastanza diffusa. Non sono così tanti quelli che si fanno un vanto di seguire le regole.

Ovviamente c’è una strada legale. Ci danno tutte le informazioni corrette, ci chiedono se siamo disponibili affinché i nostri dati vengano usati per fini di marketing. A questo punto le informazioni girano, e non è detto che lo facciano gratuitamente. Nomi numeri e abitudini commerciali hanno un valore. Sono frammenti della nostra personalità ma anche beni economicamente rilevanti. E passano magari da una società all’altra.

Il punto di partenza della violazione è comunque sempre un consenso che non c’è o è mischiato. Poi le liste continuano a viaggiare. I rimedi per opporsi sulla carta ci sono, lo abbiamo verificato. Il problema è che sono parzialmente efficaci. E su internet si vedono anche identità digitali complete.


Facebook ha annunciato l’introduzione di nuovi strumenti per impedire la diffusione online di immagini intime di persone non consenzienti, una forma di vendetta sempre più diffusa, non solo fra gli adolescenti.

Per le vittime di “revenge porn” le conseguenze, sia psicologiche che sociali, sono spesso devastanti. È tristemente noto, non solo in Italia, il caso di Tiziana, la donna di 31 anni che nel settembre 2016 morta suicida in seguito alla diffusione incontrollata di un video intimo pubblicato da un suo ex-partner per vendetta.

Si tratta di un crimine di difficile contrasto perché la condivisione incontrollata del contenuto non permette la cancellazione dalla memoria della rete.

Nell’ottobre 2016 In Irlanda un giudice della corte suprema di Belfast aveva respinto il tentativo di Facebook di evitare il tribunale nel caso di una 14enne, che nonostante vari tentativi di rimozione, non era riuscita a rimuovere una sua foto intima in una “pagina della vergogna” su social perché altri utenti continuavano a condividerla L’azienda californiana si era difesa spiegando di aver rimosso la foto a ogni segnalazione, ma secondo i legali della minorenne Facebook avrebbe avuto il potere di prevenire ogni ripubblicazione usando un sistema di identificazione dell’immagine.

In quest’ottica, il social network ha studiato un meccanismo che possa evitare tempestivamente la condivisione di un contenuto segnalato.

Funziona così: gli utenti possono segnalare le foto con uno speciale contrassegno che allerta il personale tecnico specializzato per una revisione dell’immagine che possa stabilire se il contenuto viola gli standard della community. In caso di accertata violazione l’immagine viene rimossa e, grazie alla tecnologia di foto-matching, individuata anche sulle bacheche di altri utenti che possono averla già condivisa.

Questo intervento non riguarda solo i post su Facebook, anche Messenger e Instagram sono coinvolti nel sistema di segnalazione e rimozione. Per ora però l’innovazione non riguarda WhatsApp.

Dal punto di vista legislativo la “revenge pornography” è considerata un crimine in diverse giurisdizioni nazionali, come ad esempio in 34 stati degli USA, in Australia e nel Regno Unito. Attualmente in Italia non esiste una legge specifica e la casistica rientra nella fattispecie del reato di diffamazione e di violazione della privacy.

il 27 settembre del 2016 è stata presentata una proposta di legge per l’introduzione dell’articolo 612-ter del codice penale , concernente il reato che si manifesta attraverso la pubblicazione via internet di contenuti pornografici, sia fotografici che video, senza l’esplicito consenso dei soggetti interessati. La proposta prevede che la pubblicazione online di simili contenuti sia punita con la reclusione da uno a tre anni e la pena sia aumentata della metà se il fatto è commesso dal coniuge, anche separato o divorziato, o da persona che è o è stata legata da relazione affettiva alla persona offesa.

A seguito del reclamo presentato dalla madre di Tiziana Cantone, il Garante per la protezione dei dati personali ha avviato un’istruttoria chiedendo ai principali motori di ricerca?, ?Google e Yahoo?, ?di giustificare le ragioni per le quali sugli stessi risultino ancora indicizzate pagine sulle quali sono pubblicate immagini o video pornografici associati al nome della donna.

Anche se pubblicati con una modalità di privacy “elevata”,  i post su Facebook non possono essere ritenuti riservati ai soli “amici” pertanto, soprattutto per quanto riguarda le informazioni su minori, l’attenzione deve essere massima.

Con un recente provvedimento il Garante privacy ha ordinato a una donna di rimuovere dal proprio profilo Facebook due sentenze sulla cessazione degli effetti civili del matrimonio, che la donna aveva pubblicato in seguito alla sua separazione dal marito.L’Autorità è intervenuta su segnalazione dell’ex marito che lamentava una violazione del diritto alla riservatezza della figlia, citata nelle sentenze.

Il Garante ha effettivamente ritenuto che la divulgazione dei provvedimenti giurisdizionali in questione fosse incompatibile con quanto stabilito dal Codice privacy. Il Codice vieta infatti la pubblicazione “con qualsiasi mezzo” di notizie che consentano l’identificazione di un minore coinvolto in procedimenti giudiziari, nonché la diffusione di informazioni che possano rendere identificabili, anche indirettamente, i minori coinvolti.

Nel caso specifico, il Garante ha rilevato che le sentenze consentono di rendere identificabile la bambina nella cerchia di persone che condividono le informazioni “postate” dalla madre sul proprio profilo e contengono dettagli molto delicati, anche inerenti alla sfera sessuale, al vissuto familiare e a disagi personali della piccola.

L’Authority ha inoltre ritenuto che la violazione di diritti della persona, in questo caso per giunta minore di età, è aggravata dall’estrema pervasività della divulgazione su Internet. Il fatto che il post pubblicato sul profilo fosse accessibile ad una ristretta cerchia di ”amici” non può essere garanzia di riservatezza perché il profilo è facilmente modificabile, da “chiuso” ad “aperto”, in ogni momento da parte dell’utente. A questa eventualità si aggiunge quella in cui un “amico” condivida il post sulla propria pagina, rendendolo visibile ad altri iscritti “determinando così una possibile conoscibilità “dinamica”, più o meno ampia, del contenuto che può estendersi potenzialmente a tutti gli iscritti a Facebook”.

Il provvedimento ha disposto quindi la rimozione delle sentenze pubblicati dalla madre.

Il 24 marzo 2016 il Gruppo di Alto livello della Commission’s Scientific Advice Mechanism (SAM) dell’Unione Europea ha pubblicato un’opinione sulla cybersicurezza con raccomandazioni su come migliorare la sicurezza degli accessi online per privati e aziende europee.

In considerazione dell’aumento dei cyber-attacchi e della crescente complessità che mettono in atto, il tema della cyber-sicurezza è diventato cruciale per il Mercato Unico Digitale. In quest’ottica lo studio scientifico indipendente offre contenuti di supporto per progettare le future azioni legislative.

Il documento risponde alla necessità di rendere più sicuri i sistemi di sicurezza, dare più potere agli utenti e rafforzare l’industria della sicurezza informatica europea e migliorare il coordinamento delle azioni di contrasto agli incidenti informatici. Si auspica una governance globale in materia di cybersicurezza in cui l’Unione Europea possa giocare un ruolo di guida.

Il documento è disponibile sulla pagina Ricerca e Innovazione del sito web della Comunità Europea.

posted by admin on marzo 27, 2017

Miscellanee

(No comments)


siae
Segnaliamo che è stato pubblicato in Gazzetta Ufficiale il d.lgs. 15 marzo 2017, n. 35 di attuazione della direttiva 2014/26/UE sulla gestione collettiva dei diritti d’autore e dei diritti connessi e sulla concessione di licenze multiterritoriali per i diritti su opere musicali per l’uso online nel mercato interno.

Il decreto stabilisce i requisiti necessari per garantire il buon funzionamento della gestione dei diritti d’autore e dei diritti connessi da parte degli organismi di gestione collettiva e delle entità di gestione indipendente, nonché i requisiti per la concessione di licenze multiterritoriali da parte di organismi di gestione collettiva dei diritti d’autore per l’uso online di opere musicali nel mercato interno.

Il provvedimento entrerà in vigore in data 11/04/2017. QUI il link alla Gazzetta Ufficiale.

Dal confronto e lavoro di analisi portato avanti dai protagonisti del Cantiere Documenti digitali nel corso del 2016, nasce il report “Documenti: definire e sostenere il digitale“.

Il tavolo di lavoro, coordinato da Massimo Laurenzi, con la supervisione scientifica della Prof.ssa Giusella Finocchiaro, ha visto la partecipazione di dirigenti, referenti per i progetti di dematerializzazione e responsabili della gestione documentale della PA centrale e locale, esponenti del mondo dell’accademia e della ricerca, rappresentanti delle associazioni professionali della conservazione e dell’archivistica e dell’azienda partner del cantiere.

Il gruppo ha dato vita ad un ricco e articolato dibattito, che ha ovviamente preso le mosse dall’impatto del nuovo Codice dell’amministrazione digitale sulle PA italiane, dal punto di vista normativo, tecnologico e organizzativo, focalizzandosi in particolare su alcuni dei punti più controversi della riforma.

Seguono poi alcune riflessioni sugli aspetti legati alle modalità di ricezione e spedizione dei documenti nelle comunicazioni tra PA e cittadini e sulla rivisitazione dei manuali di gestione delle amministrazioni pubbliche, partendo dall’analisi di alcune best practice. Per ciascun ambito vengono proposte alcune raccomandazioni prioritarie che FPA offre al decisore politico e ai responsabili di questa complessa policy.

Il volume è gratuito, è necessario essere iscritti alla community di FPA, per scaricarlo CLICCARE QUI. In caso di estrazione e utilizzo di parti della ricerca si prega di citare la FONTE: Documenti: definire e sostenere il digitale – dicembre 2016, Edizioni ForumPA

Recentemente la Corte di Cassazione si è trovata ad affrontare il tema della qualificazione della causale di bonifico come dato sensibile ove indichi indennizzi elargiti per malattia o invalidità, esplicitati della dicitura “assegno ex l. 210/1992”, legge che riconosce le indennità a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazioni di sangue o, in caso di decesso, in favore dei congiunti delle vittime.

Sul punto i giudici della Suprema Corte si sono espressi a più riprese con orientamenti contrastanti. In tutti i casi esaminati la questione concerneva i rapporti tra la Regione, erogatrice dell’indennizzo e ordinatrice del bonifico, e la banca del soggetto menomato o contagiato, ricevente il bonifico per conto del suo correntista.

Nella prima pronuncia risalente al 2014 (sentenza del 19 maggio 2014, n. 10947), la Corte ha ritenuto la causale di bonifico recante i menzionati riferimenti legislativi alla stregua di un dato sensibile, evidenziando l’illecito trattamento dei dati da parte della Regione e della banca posto che nel diffondere e conservare tali dati non avevano adottato idonee tecniche di cifratura o numeri di codici non identificabili, come prescritto dall’art. 22, 6° comma del Codice in materia di protezione dei dati personali.

Nella seconda pronuncia – più articolata della precedente – (sentenza del 20 maggio 2015, n. 10280) i giudici supremi hanno ribaltato l’orientamento seguendo un iter decisionale del tutto opposto. In primo luogo, hanno negato alla causale di bonifico così compilata la natura di dato sensibile, rilevando come la legge a cui si faceva riferimento prevedeva che beneficiari dell’indennizzo potessero essere, alternativamente, i soggetti direttamente colpiti o anche i loro familiari. Dal momento che l’elargizione dell’assegno non dipendeva dalla malattia del soggetto che materialmente riceveva il bonifico, i giudici concludevano che l’informazione non fosse sufficiente a rivelare lo stato di salute del beneficiario e, dunque, non fosse dato sensibile.

In secondo luogo, secondo la Corte di Cassazione, non poteva parlarsi di “diffusione” di dati da parte della Regione alla banca giacché tale – a norma dell’art. 4, lett. m) del Codice – può considerarsi solo la comunicazione a soggetti indeterminati, mentre nel caso di specie la comunicazione avveniva solo nei confronti della banca del correntista beneficiario dell’indennizzo.

I giudici hanno poi rilevato che il riferimento all’art. 22, 6° comma del Codice Privacy era privo di fondamento posto che, come correttamente riportato, l’adozione di tecniche di cifratura risulta applicabile solo a casi specifici ove i dati provengano da elenchi o registri e la finalità sia quella di gestione ed interrogazione degli stessi. Neppure la banca poteva essere considerata onerata dell’adozione di tali misure per tre ragioni: la disposizione in oggetto si applicava ai soli soggetti pubblici; in capo ai soggetti privati sorgeva l’obbligo di cifratura solo per i dati idonei a rivelare lo stato di salute e se trattati con strumenti elettronici, condizioni entrambi assenti nel caso di specie; la comunicazione al proprio cliente di dati personali riguardanti esso stesso non costituiva trattamento.

Secondo la Cassazione, infine, la banca operava come rappresentante del correntista che riceveva il pagamento della Regione per conto di quest’ultimo: l’imputazione del pagamento dunque valeva come compiuta dal debitore (Regione) direttamente al creditore (beneficiario dell’assegno).

La Suprema Corte ha così ritenuto legittime le condotte della Regione e della banca, non ravvisando alcun trattamento illecito di dati personali.

Il tema è tornato recentemente all’attenzione della Prima sezione civile della Corte di Cassazione, la quale con due ordinanze interlocutorie (rispettivamente nn. 3455 e 3456 depositate il 9 febbraio 2017) ha demandato alle Sezioni Unite il compito di sanare il contrasto giurisprudenziale in oggetto. In tale occasione, senza aderire all’uno o all’altro orientamento, la Cassazione si è solo espressa circa la qualificazione dell’indicazione dei riferimenti normativi nella causale del bonifico come “dato sensibile”, precisando che, sebbene il pagamento possa avvenire tanto nei confronti dei congiunti quanto del soggetto contagiato o menomato, solo verso quest’ultimo il pagamento sarebbe corrisposto in rate (mentre ai congiunti sarebbe corrisposta una somma una tantum). Tale forma di pagamento sarebbe dunque idonea a identificare inequivocabilmente il soggetto destinatario del pagamento come vittima di contagio o menomazione e, per tale motivo, l’indicazione del pagamento dei ratei costituirebbe dato sensibile.

Si rimane dunque in attesa di conoscere come le Sezioni Unite risolveranno il contrasto giurisprudenziale appena descritto e, in particolare, se daranno un’interpretazione estensiva o restrittiva al concetto di dato sensibile.