Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il 25 Maggio è entrato in vigore ufficialmente il Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla privacy relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati personali nell’Unione, che abroga la direttiva 95/46/CE.

Il testo – pubblicato sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) lo scorso 4 maggio – diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale in materia di protezione dati e le disposizioni del Regolamento.

Il testo è disponibile QUI. Per una rassegna delle principali novità del Regolamento si rimanda a QUESTA PAGINA.

posted by admin on maggio 24, 2016

data breach

(No comments)

Il Garante per la protezione dei dati personali ha pubblicato un’infografica volta a fare il punto sui provvedimenti che introducono per amministrazioni pubbliche e aziende l’obbligo di comunicare i casi in cui – a seguito di attacchi informatici, accessi abusivi, incidenti, incendi e altre calamità – si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati.

Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati. Per questa ragione, anche sulla base della normativa europea, il Garante privacy ha adottato negli anni una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.

I casi e gli adempimenti previsti dai provvedimenti del Garante riguardano le aree della Biometria, delle Società telefoniche, delle Pubbliche Amministrazioni e del Dossier Sanitario Elettronico. Sono riassunti in una infografica che, con mere finalità divulgative, riassume i casi finora esaminati.

Infografica Garante Privacy

Il 6 aprile 2016, la Corte di Cassazione francese ha per la prima volta emesso una decisione avente ad oggetto la validità di una firma elettronica.

Nel caso in esame (si tratta della sentenza n. 15-10.732), il ricorrente negava di aver firmato il contratto di assicurazione online sulla base del quale era stato condannato dal Tribunale di Montpellier al pagamento di una somma di denaro in favore della compagnia assicuratrice.

La Cassazione francese ha respinto tuttavia il ricorso, ritenendo che il giudice di merito avesse correttamente giustificato la propria decisione stabilendo la validità della firma elettronica. La Suprema Corte francese ha dunque chiarito quali siano le condizioni che il giudice di merito è tenuto a verificare per affermare la validità della firma elettronica, ossia quelle stabilite agli artt. 1316-1 e 1316-4, 2° comma, 1° periodo del Codice civile francese. Secondo l’art. 1316-4, 2° comma, 1° periodo del Codice civile francese, la firma (cosiddetta “semplice”) è idonea a manifestare il consenso delle parti alle obbligazioni che derivano dall’atto firmato quando consiste nell’utilizzo di una procedura di identificazione affidabile, che garantisca il collegamento tra la firma e l’atto a cui questa è collegata. Quanto all’ammissibilità in giudizio e al valore giuridico di un atto firmato con firma elettronica, l’art. 1316-1 del Codice civile francese prevede l’equivalenza al documento cartaceo se può essere identificata la persona che ha formato il documento elettronico e se questo è stato creato e conservato in condizioni che ne garantiscano l’integrità.

Nel caso di specie, il Tribunale ha riscontrato tutte le citate condizioni. Infatti, era stata utilizzata una procedura affidabile per firmare, che assicurava il collegamento tra la firma e l’atto a cui questa si riferiva. La domanda di adesione, prodotta come prova in giudizio, conteneva l’indicazione dell’avvenuta consegna del documento, permettendo l’identificazione precisa dei firmatari. Infine, il Tribunale aveva verificato che la domanda di adesione al contratto fosse stata conservata in modo da garantire la sua integrità. La Corte di Cassazione francese ha dunque affermato che il Tribunale di merito ha correttamente giustificato la sua decisione circa la validità della firma elettronica e, ritenendola imputabile al ricorrente, ha respinto il ricorso.

Il testo completo della decisione è disponibile QUI.

Giusella Finocchiaro

Matilde Ratti

Il 12 maggio 2016 l’Avvocato generale Campos Sànchez-Bordona ha presentato le sue conclusioni in merito ad una questione pregiudiziale sollevata, dinanzi alla Corte di giustizia europea, dalla Corte federale di giustizia tedesca (Bundesgerichtshof) riguardante, in particolar modo, la qualificazione degli indirizzi IP dinamici come dati personali ai sensi dell’art. 2, lett. a) della direttiva 95/46/CE, attualmente ancora normativa europea di riferimento in materia di trattamento dei dati personali.

Per ragioni di chiarezza, si precisa che un indirizzo IP (indirizzo di protocollo Internet) è una sequenze di numeri binari che, assegnata da un fornitore di accesso alla rete a un determinato dispositivo (es. computer), ne permette l’univoca identificazione e ne consente l’accesso alla rete di comunicazioni elettroniche. Si parla di “indirizzo IP dinamico” quando il fornitore di accesso alla rete assegna al dispositivo del cliente un indirizzo IP temporaneo per ciascun collegamento a Internet, modificandolo in occasione di successivi accessi alla Rete.

La controversia (causa C-582/2014) è nata dalla proposizione da parte del sig. Breyer di un’azione inibitoria contro la Repubblica federale di Germania a causa della memorizzazione, da parte dei siti istituzionali da questa gestiti, degli indirizzi IP associati al sistema host del sig. Beyer ogni volta che questi vi effettuava un accesso. A seguito del ricorso per Cassazione, la Corte federale di giustizia tedesca ha sollevato, tra le altre, una questione pregiudiziale in cui chiedeva se un indirizzo IP memorizzato da un fornitore di servizi in relazione ad un accesso al suo sito Internet costituisse per quest’ultimo un dato personale già nel momento in cui un terzo (nel caso di specie un fornitore di accesso alla rete) disponesse delle informazioni aggiuntive necessarie ai fini dell’identificazione della persona interessata.

In attesa della sentenza del giudice europeo, sembra interessante esaminare le conclusioni raggiunte dall’Avvocato generale. Prima di affrontare il merito della questione, l’Avvocato generale ne delimita l’ambito di analisi precisando che oggetto della questione sono esclusivamente gli “indirizzi IP dinamici”, non rientrando nell’analisi anche gli “indirizzi IP fissi o statici”, e che la valutazione che un indirizzo IP sia un dato personale deve inquadrarsi nelle specifiche circostanze della controversia (cioè quando soggetto conservatore è un fornitore di pagine web e soggetto terzo, che dispone di informazioni aggiuntive, è un fornitore di accesso alla rete). L’Avvocato generale entra poi nel cuore della questione. Innanzitutto viene chiarito che un indirizzo IP dinamico (che fornisce la data e l’ora di un collegamento) se associato ad altre informazioni consente indubbiamente l’identificazione indiretta del titolare del dispositivo utilizzato per l’accesso alla pagina web e debba quindi considerarsi un dato personale. Tali informazioni “aggiuntive” possono essere in possesso del medesimo soggetto che conosce l’indirizzo IP o possono essere in possesso di un terzo (nel caso di specie un fornitore di accesso alla rete). In secondo luogo l’Avvocato generale precisa che, per considerare un indirizzo IP quale dato personale, non è sufficiente la mera possibilità, in abstracto, di conoscere le informazioni aggiuntive in possesso di un soggetto terzo, ma è necessario che il fornitore di servizi possa “ragionevolmente” rivolgersi a quest’ultimo al fine di ottenere tali informazioni. Non sarà da considerarsi ragionevole il contatto che sia di fatto molto costoso in termini umani ed economici o praticamente irrealizzabile o vietato dalla legge. Nella fattispecie, essendo il terzo a cui si fa riferimento un fornitore di accesso alla rete, la possibilità del fornitore di servizi Internet di contattarlo e ottenere da lui la trasmissione delle informazioni aggiuntive risulta essere perfettamente “ragionevole”. L’Avvocato generale conclude quindi che, nello specifico caso così come inquadrato, l’indirizzo IP dinamico deve essere qualificato, ai fini dell’attività esercitata dal fornitore di servizi Internet, come dato personale.

Seguiranno aggiornamenti sull’esito della controversia.

Prof. Avv. Giusella Finocchiaro

Dott. Maria Chiara Meneghetti

La Cassazione civile ha affermato che il consenso al trattamento dei dati personali comuni è valido anche se rilasciato in forma orale, fermo restando l’onere probatorio dell’avvenuto consenso in capo al titolare del trattamento dei dati.

Intervenendo su un contenzioso che vedeva contrapposti un utente di telefonia mobile e una nota società telefonica, con sentenza 16 maggio 2016, n. 9882 la I Sezione civile della Cassazione non solo ha confermato la validità del consenso prestato oralmente dal cliente per il trattamento dei suoi dati personali a fini promozionali, ma si è spinta oltre, affermando che tale consenso possa essere provato dal titolare del trattamento anche attraverso registrazioni e riproduzioni informatiche.

Come chiarisce la Suprema Corte, “la regola introdotta dal d.lgs. n. 196 del 2003, art. 23, comma 3, secondo cui il consenso al trattamento è validamente prestato se è documentato per iscritto, attiene non alla forma di manifestazione del consenso in questione, ma al contenuto dell’onere probatorio gravante sul titolare dei dati personali”. Ciò significa che nell’assolvimento del proprio onere probatorio al titolare dei dati personali è consentito avvalersi non solo di documenti direttamente rappresentativi dei fatti dedotti in causa, ma anche di “qualsiasi oggetto idoneo e destinato a fissare in qualsiasi forma, anche non grafica, la percezione di un fatto storico al fine di rappresentarlo in avvenire”.

Secondo la Cassazione, dunque, il titolare del trattamento potrà far ben ricorso all’art. 2712 c.c., avvalendosi di registrazioni e riproduzioni anche informatiche da lui stesso attivate, salva l’eventuale successiva verifica dell’idoneità, adeguatezza e sufficienza del contenuto dell’acquisita annotazione.

La Corte ha ricordato però come tale disposizione non sia valida in caso di dati personali sensibili.

La sentenza in formato pdf è disponibile QUI.

posted by admin on maggio 9, 2016

Ecommerce e contrattualistica

(No comments)

airbnbIl 2 maggio 2016 è stata presentata alla Camera una proposta di legge che punta a «disciplinare le piattaforme digitali per la condivisione di beni e servizi» e a «promuovere l’economia della condivisione». Lo scopo è regolare la cosiddetta sharing economy con un approccio trasversale ai diversi settori professionali.

L’Italia sarebbe il primo paese a regolarizzare questo settore economico in forte espansione, che conta fra i suoi servizi gli ormai famigerati Uber (ora vietato nel nostro Paese) e AirBnB.

Il testo è frutto di un lavoro di un anno e mezzo svolto da un gruppo di parlamentari dell’Intergruppo Parlamentare per l’Innovazione Tecnologica. L’articolo 1 detta le finalità della legge mentre l’articolo 2 della proposta definisce cosa sia la sharing economy stabilendoche non rientrano in questa tipologia i servizi per i quali il gestore stabilisce una tariffa fissa. L’articolo 3 prevede che le piattaforme della condivisione debbano iscriversi a un Registro elettronico nazionale tenuto dall’Autorità garante della concorrenza e del mercato. Con l’istituzione di un registro elettronico, le piattaforme dovranno ottenere il benestare dall’Autorità che valuterà incongruenze ed eventuali violazioni normative (o concorrenza sleale nei confronti dei settori tradizionali).

Ma è principalmente l’aspetto fiscale, quello che la proposta di legge cerca di regolamentare.  La nuova legge prevederebbe una tassazione del 10 per cento sugli introiti generati dalle piattaforme, fino a un massimo di 10mila euro annui (anche sommabili da diversi servizi). L’onere del versamento delle imposte spetterebbe alle piattaforme, che sarebbero tenute a trattenere la cifra, agendo per sostituto d’imposta, dagli incassi degli iscritti. Al superamento della soglia dei 10mila euro, gli introiti saranno considerati redditi veri e propri, da sommare agli altri percepiti. Nuove norme anche per i pagamenti: dovranno essere unicamente digitali.

I firmatari della proposta di legge prevedono che questa operazione possa portare il gettito fiscale da 150 milioni a 3 miliardi di euro entro il 2025.

La proposta di legge ha iniziato il suo iter alle commissioni riunite Trasporti e Attività produttive della Camera.La proposta di legge (consultabile QUI) rimarrà “aperta” e online fino al prossimo 16 maggio.

Il 4 Maggio 2016 è stato pubblicato sulla Gazzetta ufficiale dell’Unione Europea il testo del Regolamento (Ue) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla privacy relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati personali nell’Unione, che abroga la direttiva 95/46/CE.

Il regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea e sarà pertanto applicato a decorrere dal 25 maggio 2018.

Il testo è disponibile QUI. Per una rassegna delle principali novità del Regolamento si rimanda a QUESTA PAGINA.

posted by admin on maggio 2, 2016

Miscellanee

(No comments)

Sicurezza_CamerasL’Autorità Garante ha autorizzato presso gli stabilimenti di un’azienda di Avezzano operante nel settore dei semiconduttori, l’utilizzo di un nuovo impianto di videosorveglianza dotato di software “intelligent video” e la conservazione delle relative immagini per un periodo di 45 giorni, “al fine di conformarsi agli elevati standard di qualità e sicurezza richiesti dal proprio mercato di riferimento”.

La Lfoundry S.r.l., società che aveva presentato domanda di verifica preliminare per il potenziamento del sistema antintrusione, aveva motivato la richiesta anche in funzione del servizio di sorveglianza svolto per due aziende fornitrici collocate all’interno dello stesso perimetro, in ragione degli elevati standard di sicurezza richiesti nel comparto “secure” in cui opera.

L’integrazione dell’impianto di videosorveglianza prevede un sistema di controllo accessi per l’ingresso alle aree riservate in grado di rilevare condizioni anomale, di discriminare “tra accessi leciti e illeciti” e munito di telecamere termiche.

Secondo il Garante il sistema in questione, da considerarsi eccedente rispetto alla normale attività di videosorveglianza, può fungere da importante strumento di tutela date le particolari condizioni prese in esame: lo stabilimento è classificato a rischio incidente rilevante, al suo interno vengono prodotti delicati componenti elettronici per la realizzazione di dispositivi destinati a sistemi di identificazione sicura sia in ambito pubblico che privato, e la sua ubicazione è adiacente a vie di fuga facilmente raggiungibili.

Il Garante ha inoltre autorizzato la conservazione delle immagini rilevate per un periodo di 45 giorni, allo scopo di permettere l’individuazione dei responsabili di eventuali illeciti anche a seguito di intrusioni e furti già denunciati.

“Resta inteso che” conclude il Garante “ad eccezione della visione da parte dell’Autorità giudiziaria, l’accesso alle immagini in questione potrà avvenire solo nel rispetto di quanto stabilito dagli accordi sindacali aziendali, con conseguente divieto di loro comunicazione a terzi (fatte salve le esigenze dell’Autorità giudiziaria) o di diffusione”.

posted by admin on aprile 29, 2016

Ecommerce e contrattualistica

(No comments)

Palazzo ONU NY BandiereLa 53esima sessione del gruppo di lavoro sul commercio elettronico della commissione delle Nazioni Unite sul diritto commerciale internazionale (UNCITRAL) si terrà a New York dal 9 al 13 maggio 2016.

L’attività del gruppo di lavoro sarà nuovamente dedicata agli “electronic transferable records” con particolare attenzione alle attuali pratiche operative e alle relative questioni legislative. Nel corso della sessione verrà analizzata la bozza di disposizioni internazionali sulla materia messa a punto dal Segretariato sulla base delle delibere dei precedenti incontri.

Come di consueto, la sessione vedrà la partecipazione di Giusella Finocchiaro in qualità di Presidente del Gruppo di Lavoro e Rappresentante italiano all’Uncitral per il commercio elettronico.

Per maggiori informazioni si rimanda alla pagina dell’UNCITRAL dedicata alle attività del working group.

facebookAccolto il ricorso di un utente italiano a cui Facebook non aveva concesso il blocco dei falsi profili realizzati a suo danno.

Facebook deve rispondere dei profili falsi creati sulla sua piattaforma offrendo collaborazione e trasparenza. Il Garante ha reso noto in questi giorni un provvedimento del febbraio scorso nel quale si pronuncia in relazione a un caso che contrappone un noto medico di Perugia a Facebook Ireland Ltd. Il ricorso, presentato dall’uomo nel novembre del 2015, ha origine da un tentativo di estorsione attuato sulle pagine del famoso social network.

Il medico era stato vittima di attività configuarbili come minacce, tentativo di estorsione, sostituzione di persona e indebita intrusione in sistema informatico da parte di una persona, anch’essa utente Facebook, che dopo aver chiesto ed ottenuto la propria “amicizia”, avrebbe intrattenuto con lo stesso “una corrispondenza telematica inizialmente di carattere confidenziale ma successivamente concludente nei tentativi di reato”. Il criminale aveva creato un falso account utilizzando foto e dati personali del medico perugino e aveva tentato di ricattarlo minacciando di diffondere fotomontaggi osceni di stampo pedopornografico presso amici, conoscenti e colleghi. L’uomo, che non aveva ceduto al ricatto, si era rivolto a Facebook affinché provvedesse a eliminare i profili fake e a fornire tutte le informazioni utili a limitare nel più breve tempo possibile il danno d’immagine in atto.

Facebook, stando a quanto dichiarato dai legali dell’uomo, non avrebbe provveduto ad agire nel merito, non consentendo in modo soddisfacente e completo l’acceso ai dati richiesti. In particolare, avrebbe semplicemente reso disponibile tramite il servizio “download tool” una serie di dati, peraltro non intelligibili perché indicati con codici, e comunque parziali in quanto limitati ai dati relativi all’account Facebook valido del ricorrente e non anche i dati trattati dal falso account e condivisi nel social network.

Il Garante ha pertanto stabilito che Facebook Ireland Ltd, che possiede le informazioni richieste dall’uomo, debba comunicare «in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome». Il social dovrà inoltre provvedere al blocco del falso profilo per agevolare le eventuali indagini volte a risalire all’identità dei responsabili del tentativo di estorsione.

Allo scadere dei trenta giorni stabiliti per adempiere alle richieste del Garante, Facebook avrà circa due settimane per presentare un’opposizione al tribunale di Perugia, pena una multa e una condanna fino a due anni di detenzione.