Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Facebook-loginAi sensi della direttiva 95/46/CE l’amministratore di una pagina Facebook è da considerarsi responsabile* del trattamento dei dati personali dei visitatori.

Sembra allungarsi ogni giorno di più la lista delle problematiche relative alla protezione dei dati personali degli utenti di Facebook. Questa volta l’attenzione è sulle fanpage, le pagine pubbliche dedicate ad aziende, prodotti o personaggi famosi, gestite da amministratori che ne curano i contenuti e la diffusione pubblicitaria.

Come di consueto nella web-economy, il servizio è gratuito e il guadagno del provider si basa sulla pubblicità, ovvero sul commercio di dati. In altre parole, chiunque può aprire e gestire gratuitamente una fanpage su Facebook, che, in cambio, raccoglie dati degli utenti attraverso il posizionamento sui browser web di chi visita la pagina, di cookie usati per memorizzare informazioni, che, se non eliminati, restano attivi per due anni.

In particolare, Facebook riceve, registra ed elabora le informazioni memorizzate nei cookie quando una persona visita «servizi Facebook, servizi forniti da altri membri delle Aziende di Facebook e servizi forniti da altre aziende che usano i servizi Facebook».

Tuttavia, grazie a questa prassi anche gli amministratori delle pagine godono di vantaggi commerciali. Le fanpage di Facebook offrono servizi di statistica che permettono, ad esempio, di “conoscere” il profilo dei visitatori che “mettono i like” alla pagina o che ne utilizzano le applicazioni, consentendo agli amministratori di proporre al loro pubblico un contenuto più pertinente e sviluppare funzionalità che possano interessarlo in maggior misura. Per questo, la creazione di una fanpage su Facebook implica da parte del suo amministratore l’impostazione di parametri basati sul suo pubblico destinatario nonché sugli obiettivi di gestione o di promozione delle sue attività, che influisce sul trattamento di dati personali ai fini della creazione di statistiche stabilite a partire dalle visite della pagina. L’amministratore, quindi, può, tramite filtri messi a disposizione da Facebook, definire i criteri a partire dai quali si devono stabilire tali statistiche e designare perfino le categorie di persone i cui dati personali saranno oggetto di utilizzo da parte di Facebook. Di conseguenza, l’amministratore di una fanpage contribuisce indirettamente a determinare le modalità di trattamento dei dati personali dei visitatori della sua pagina.

Dunque chi è responsabile del trattamento dei dati personali dei visitatori di una fanpage di Facebook: il social network o l’amministratore del profilo della pagina? O entrambi?

Questa, in estrema sintesi, la domanda presentata alla Corte nell’ambito di una controversia tra l’ULD (autorità di vigilanza regionale indipendente per la protezione dei dati dello Schleswig-Holstein, Germania) e, dall’altro, la Wirtschaftsakademie, società operante nel settore della formazione, in merito alla legittimità di un provvedimento emesso dall’ULD con cui si intima alla Wirtschaftsakademie di disattivare la sua fanpage di Facebook per violazioni nel trattamento dei dati.

La Corte ha chiarito innanzi tutto che il responsabile del trattamento, sia persona giuridica o fisica, non deve necessariamente essere un unico organismo e può riguardare vari attori che a vario titolo maneggiano i dati. Pertanto l’amministratore di una fanpage, come la Wirtschaftsakademie, contribuisce a determinare, assieme con la Facebook Ireland e la Facebook Inc., le finalità e gli strumenti del trattamento dei dati personali dei visitatori e può, quindi, anch’essa essere considerata quale «responsabile del trattamento», ai sensi dell’articolo 2, lettera d), della direttiva 95/46.

A tal riguardo, risulta che qualsiasi persona che desideri creare una fanpage su Facebook stipula con la Facebook Ireland un contratto specifico relativo all’apertura della sua pagina e aderisce, a tale titolo, alle condizioni di utilizzo della pagina, inclusa la politica relativa in materia di cookie. Di fatto, diventa quindi corresponsabile del trattamento.

Inoltre, l’amministratore della fanpage può chiedere di ricevere – e, quindi, chiedere che siano trattati – dati demografici concernenti il suo pubblico destinatario, in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale, informazioni sullo stile di vita e sugli interessi di detto pubblico, nonché informazioni sugli acquisti e il comportamento di acquisto online dei visitatori, le categorie di prodotti o di servizi di loro maggiore interesse, come pure dati territoriali che consentono all’amministratore di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate.

Anche se il servizio è progettato e offerto da Facebook e solo da esso regolato, l’amministratore di una fanpage che beneficia dei servizi a essa collegati non può essere esonerato dagli obblighi in materia di protezione dei dati personali.

Inoltre, la Corte ha ritenuto importante sottolineare che le fanpage presenti su Facebook possono essere visitate anche da persone che non sono utilizzatori di Facebook e che quindi non dispongono di un account utente. In tal caso, la responsabilità dell’amministratore della pagina relativamente al trattamento dei dati personali appare ancor più importante, poiché la mera consultazione della fanpage da parte di visitatori esterni fa scattare automaticamente il trattamento dei loro dati personali.

La Corte ha quindi stabilito che il riconoscimento di una responsabilità congiunta di Facebook e dell’amministratore di una fanpage in relazione al trattamento dei dati personali dei visitatori contribuisce a garantire una più completa tutela dei diritti di cui godono le persone che visitano una fanpage, conformemente alle prescrizioni della direttiva 95/46.

Tuttavia, la sentenza della Corte di Giustizia precisa che la corresponsabilità non si traduce necessariamente in una responsabilità equivalente. Al contrario, Facebook e gli amministratori possono essere coinvolti nel trattamento dei dati in fasi diverse e a diversi livelli, e quindi il grado di responsabilità deve essere valutato tenendo conto di tutte le circostanze rilevanti del caso di specie.

La decisione della Corte è destinata ad avere un ampio impatto sulla gestione delle fanpage Facebook che, secondo le ultime statistiche, sono oggi oltre 65 milioni.

La sentenza è consultabile su QUESTA pagina.

* NdA: Ai fini della corretta comprensione dell’articolo, si segnala sin d’ora che nel recepimento nazionale delle disposizioni della Direttiva, il legislatore italiano ha operato una diversa scelta lessicale, indicando con la denominazione “titolare”, il soggetto che nella Direttiva è chiamato “responsabile”, e denominando invece “responsabile”, colui che nella Direttiva è “incaricato”. Ove dunque ricorra il termine “responsabile del trattamento”, così come inteso dalla Direttiva, occorrerà far riferimento alla figura che usualmente in Italia chiamiamo “titolare del trattamento.

In occasione della recente entrata in vigore del Regolamento Generale per la Protezione dei Dati Personali, l’Università di Bologna organizza un convegno dedicato all’adeguamento al GDPR (Reg. UE 2016/679 in materia di protezione dei dati personali).

L’evento, volto a definire il contesto e la sostanza del nuovo Regolamento sulla privacy, è stato organizzato sotto la guida di Giusella Finocchiaro, Presidente del gruppo di lavoro, presso l’Ufficio Legislativo del Ministero della Giustizia, incaricato di provvedere alla ricognizione, all’analisi ed all’approfondimento delle disposizioni, di matrice europea, previste dalle fonti normative, al fine di provvedere al recepimento ed adeguamento dell’ordinamento interno alle prescrizioni europee in materia di protezione dei dati personali.

Il convegno vede la partecipazione degli esperti componenti della Commissione presso l’Ufficio Legislativo del Ministero della Giustizia:

Avv. Giovanni Guerra – Avvocato del Foro di Roma

Prof. Alessandro Mantelero – Politecnico di Torino

Prof. Franco Pizzetti – Università degli Studi di Torino, Università Luiss Guido Carli

Prof. Oreste Pollicino – Università Bocconi

Prof. Giorgio Resta – Università degli Studi Roma Tre

Con loro discutono rappresentanti istituzionali:

Cons. Augusta Iannini  – Vice Presidente dell’Autorità Garante per la protezione dei dati personali

Cons. Carmelo Barbieri – Vice Capo Ufficio Legislativo – Ministero della Giustizia

Introducono il convegno:

Prof. Francesco Ubertini – Magnifico Rettore Alma Mater Studiorum Università di Bologna

Prof. Luigi Balestra – Vice Presidente della Scuola di Giurisprudenza – Alma Mater Studiorum Università di Bologna

Dott. Alberto Vacchi – Presidente di Confindustria Emilia Area Centro – Presidente e Amministratore Delegato di IMA Spa

Dott. Pierluigi Stefanini – Presidente Unipol Gruppo e Vice Presidente UnipolSai Assicurazioni

Avv. Gianluca Di Ascenzo – Presidente del Codacons

Modera il giornalista del Sole 24 Ore, Dott. Giovanni Negri.

L’appuntamento è per giovedì 31 Maggio 2018 dalle ore 15.00 presso la Sala VIII Centenario – Via Zamboni 33, Bologna.

posted by admin on maggio 25, 2018

Miscellanee

(No comments)

Master Sole 24ore Vi proponiamo qui l’articolo di Giusella Finocchiaro sullo schema di decreto che armonizza l’integrazione del Regolamento dell’Unione Europea sulla privacy, pubblicato sull’inserto privacy del il Sole 24 Ore il 24 maggio 2018.

A distanza di oltre vent’anni dalla prima normativa europea in materia, la direttiva madre 46 del 1995, è giunto il momento di voltare pagina. Prendendo atto dei cambiamento tecnologici (nel 1995 non esistevano gli smartphone) che hanno indotto grandi cambiamenti sociologici (basti pensare alla vita che si svolge sui social network). E’ cambiato anche il contesto economico: oggi i dati sono il nuovo petrolio, come scrive l’Economist. E quello politico: l’Europa si è impegnata nel mercato unico digitale.

Il Regolamento europeo 679/2016, che entra in vigore domani, riflette tutti questi cambiamenti e volta pagina. Innanzitutto detta una disciplina unitaria per tutti gli Stati Membri, salvo alcuni spazi lasciati al legislatore nazionale, definendo così uno spazio unico anche sotto il profilo giuridico, all’interno e verso l’esterno.

Afferma con forza il principio della libera circolazione dei dati, la quale “non può essere limitata nè vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”, come recita l’articolo 1 del regolamento.

Il diritto alla protezione dei dati personali, sancito dalla Carta Dei Diritti Fondamentali dell’Unione Europea, è soggetto a un necessario bilanciamento. I dati personali possono essere al tempo stesso gli elementi su cui si definiscono l’immagine e l’identità dell’individuo, nonché beni economici oggetto di scambio.

Il patrimonio italiano costituito dalla nostra elaborazione normativa, giurisprudenziale e dottrinale, è ormai patrimonio giuridico europeo e in questa prospettiva va correttamente inquadrata la nuova fase della protezione dei dati personali. I principi fondamentali già consolidati sono confermati dal regolamento europeo: così informativa, consenso e altri presupposti di legittimità del trattamento.

Muta però la filosofia di fondo: si passa dall’approccio autorizzatorio a quello fondato sull’accountability. E questo comporta la modifica nella governance: la gestione dei dati personali diviene gestione del rischio, non più soltanto competenza del legale o dell’IP.

In Italia, con grande ritardo, è stata incaricata una commissione legislativa – che ha concluso i lavori in due mesi, il 19 marzo – di predisporre il testo di un decreto legislativo per adeguare la normativa italiana a quella europea.

Opera non strettamente necessaria, essendo il regolamento direttamente applicabile, ma utile per operare un coordinamento. La commissione ha verificato la compatibilità delle norme presenti nell’ordinamento italiano con quelle del regolamento europeo, che direttamente le sostituiscono.

Ha quindi proceduto con un’operazione non frequente: l’abrogazione espressa delle norme italiane sostituite. Si tratta di n’operazione culturale di grande rilevanza, volta a chiarire agli operatori e agli interpreti il quadro normativo di riferimento.

[...]

Continua sull’inserto privacy del Il Sole 24 Ore del 23 maggio 2018.

posted by admin on maggio 23, 2018

Miscellanee

(No comments)

Vi proponiamo qui l’articolo di Giusella Finocchiaro sullo schema di decreto che armonizza l’integrazione del Regolamento dell’Unione Europea sulla privacy, pubblicato su il Sole 24 Ore il 23 maggio 2018.

La Commissione Speciale per gli atti urgenti del Governo ha iniziato l’esame dello schema di decreto legislativo per l’adeguamento della legislazione nazionale al Regolamento (UE) 2016/679.

Si comunica che durante la 14ª seduta di giovedì 17 maggio 2018, la Commissione speciale per l’esame degli atti urgenti presentati dal Governo Schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Master Sole 24ore privacy officerVi proponiamo qui l’articolo di Giusella Finocchiaro e Oreste Pollicino, pubblicato su il Sole 24 Ore il 12 maggio 2018.

È stato finalmente trasmesso alle Camere lo schema di decreto elaborato dalla Presidenza del consiglio sulla base della proposta ricevuta dalla Commissione incaricata di adeguare la normativa italiana a quella europea. Tempi molto lunghi, anche per la situazione politica che non ha inserito certamente una normativa apparentemente di tipo tecnico, come quella sul Gdpr, fra le priorità.

Cosa è cambiato nello schema? Il contenitore e le norme penali. Mentre il contenuto è fondamentalmente rimasto il medesimo, salvo alcuni aggiustamenti, in parte condivisibili.

Con riguardo alla tecnica normativa, è stato scelto di inserire le modifiche apportate dal decreto nel Codice per la protezione dei dati personali, le cui disposizioni sono però perlopiù abrogate e di cui molte altre sono modificate. Ne risulta un testo di inutile complessità, che non apporta alcuna tutela sostanziale in più per il diritto alla protezione dei dati personali. La semplificazione è abbandonata e la leggibilità certamente ne risente.

La nuova tecnica normativa sembra sia stata motivata dal timore del rischio di un eccesso di delega se si fosse confermato l’approccio della Commissione di abrogare il codice. Il problema dell’eccesso di delega sembra essere stato amplificato rispetto alla sua reale portata. A differenza di numerosi casi in cui la legge delega fornisce dei principi e criteri direttivi dettagliati andando ad individuare questioni specifiche, in questo caso, si è di fronte ad espressioni di maggior respiro finalizzate più ad un riordino, anzi, ad un adeguamento della disciplina esistente rispetto alla nuova legislazione europea piuttosto che ad interventi di chirurgia legislativa. C’era dunque l’esigenza di dare piena applicazione ad una fonte di diritto dell’Unione europea che la Corte costituzionale, già dagli anni Settanta, ha riconosciuto prevalente sul diritto interno. In questi casi la Consulta è assai prudente nella identificazione di possibili vizi di costituzionalità.

L’impressione è, in altre parole, che l’adeguamento a cui mirava la legge delega sarebbe potuto passare, senza troppi problemi di possibile conformità costituzionale dello schema di decreto e un risultato di maggiore chiarezza e leggibilità dello stesso, anche per la scelta dell’abrogazione fatta dalla Commissione.

Sono state ampiamente riviste le disposizioni penali presenti nel Codice per la protezione dei dati personali e sono stati creati due nuovi reati, concernenti la cessione di rilevanti quantità di dati e l’acquisizione fraudolenta di dati. La formulazione delle nuove fattispecie di reato va ora verificata con la massima attenzione. Il principio di tassatività in materia penale non è solo tutelato dalla nostra Costituzione, ma anche dalla Carta dei diritti fondamentali dell’Unione europea. Trattandosi di materia in cui gli Stati membri hanno un margine di discrezionalità, sono comunque rilevanti i vincoli provenienti dal diritto dell’Unione, poiché si sta dando attuazione ad un regolamento comunitario. Ancora, la versione dello schema di decreto inviato alle Camere non ha tenuto in considerazione, a differenza di quanto faceva il testo licenziato dalla Commissione, della giurisprudenza della stessa Corte in tema di raccolta e conservazione di dati personali per finalità di sicurezza e di prevenzione di gravi reati.

Il bilanciamento tra sicurezza e privacy che emerge dal testo finale non sembra perfettamente in linea con il principio di proporzionalità delle restrizioni alla tutela dei dati personali su cui ha sempre insistito la Corte di giustizia.

In sintesi, uno schema di decreto che crea un raccordo fra la normativa italiana e quella europea ed effettua una verifica di compatibilità che contribuisce a creare una maggiore certezza del diritto. Ma su alcune scelte si sarebbe potuto avere più coraggio.

In previsione dell’imminente entrata in vigore del GDPR, l’Università degli studi di Roma 3 organizza un convegno del titolo “verso l’entrata in vigore del Regolamento UE 2016/679 sulla protezione dei dati personali”.

L’appuntamento è per Mercoledì 16 Maggio 2018 dalle ore 16:30 alle 19:00 presso la Sala del Consiglio del Dipartimento di Giurisprudenza.

Introducono il convegno il Prof. Carlo Colapietro e il Prof. Giorgio Resta.

Intervengono:

Prof.ssa Licia Califano (Garante per la protezione dei dati personali – Università di Urbino);

Prof.ssa Giusella Finocchiaro (Università di Bologna – Presidente del Gruppo di lavoro Min. Giustizia);

Prof. Alberto Gambino (Università Europea – IAIC);

Prof. Arturo Maresca (Università di Roma Tre);

Prof. Roberto Pardolesi (Luiss);

Prof. Oreste Pollicino (Università Bocconi);

Avv. Guido Scorza;

Dott. Roberto D’Orazio (Camera dei Deputati – Ufficio Legislazione Straniera);

Dott.ssa Ginevra Bruzzone (Assonime);

Dott. Antonio Matonti (Confindustria).

Modera il Dott. Federico Fubini (Corriere della Sera).

L’imminente entrata in vigore del GDPR è al centro del convegno organizzato da Confindustria, che si terrà presso la sede di Roma, in data 11 maggio 2018.

Interverranno:

Marcella Panucci, Direttore Generale Confindustria

Bruno Gencarelli Capo unità “Protezione e flussi internazionali di dati” Direzione generale Giustizia e Consumatori della Commissione europea.

Giuseppe Busia, Segretario Generale Autorità Garante per la protezione dei dati personali

Giusella Finocchiaro, Ordinario di diritto privato e di diritto di internet Università di Bologna

Savino Figurati Responsabile Ufficio Legale Unione Industriale Torino

Modera i lavori:

Antonio Matonti, Direttore Affari Legislativi Confindustria.

Per informazioni ed iscrizioni si rimanda alla pagina del sito di Confindustria dedicata all’evento.

posted by admin on maggio 7, 2018

Miscellanee

(No comments)

Il 25 maggio 2018 il nuovo EU Reg. 2016/679 sarà pienamente attuato e, sempre a decorrere dal 25 maggio, il Regolamento abrogherà la direttiva madre.

Tra i principi di legittimità “l’Accountability” rappresenta la novità più rilevante, il Titolare deve infatti essere sempre pronto a dimostrare di aver rispettato e di essersi conformato alle disposizioni.

I principi espressi nell’art. 5. rappresentano pertanto l’architrave del nuovo modo di concepire e realizzare i trattamenti dei dati personali delle persone fisiche; non si potrà più prescindere da essi e da una revisione dei modelli organizzativi aziendali, si renderà necessario verificare che funzionino e che siano efficaci per consentire al titolare di dimostrare, costantemente, la sua conformità.

Il Titolare ad esempio dovrà essere in grado di dimostrare che un trattamento effettuato e la conservazione dei dati stessi sia limitata a quanto strettamente necessario.

L’Accountability passa attraverso la reale consapevolezza dei titolari di come si stia operando all’interno delle proprie organizzazioni e di come questi trattamenti vengano effettuati.

Accountability e Consapevolezza infine non potranno realizzarsi pienamente senza un preciso e rigoroso programma formativo di tutte le persone che, in nome e per conto del Titolare, avranno a che fare a vario titolo con i dati personali trattati.

L’evento si svolge a Roma, il 9 maggio 2018,  presso il Senato della Repubblica – Sala Zuccari,  Via della Dogana Vecchia 29, Roma.