Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

dati-biometriciCome già annunciato, il Garante per la privacy ha approvato un provvedimento generale prescrittivo in tema di biometria, in corso di pubblicazione sulla Gazzetta Ufficiale.

Vista la crescente diffusione dell’utilizzo di dispositivi e tecnologie per la raccolta e il trattamento di dati biometrici con finalità principalmente di identificazione personale, di controllo degli accessi e di sottoscrizione di documenti informatici, l’intervento del Garante è volto a fornire un quadro di riferimento unitario sulla cui base orientare le scelte tecnologiche, conformare i trattamenti alle prescrizioni del Codice privacy e verificare il rispetto degli standard di sicurezza.

I dati biometrici sono, per loro natura, collegati all’individuo in modo diretto, univoco e generalmente stabile nel tempo, denotando la profonda relazione tra corpo, comportamento e identità della persona. Per questo motivo l’adozione di sistemi biometrici di raccolta dati e il relativo trattamento possono comportare rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato.

Tuttavia, all’interno del variegato panorama di sistemi tecnologici di rilevazioni biometriche, in un’ottica di semplificazione normativa, il Garante ha individuato alcune tipologie di trattamento dei dati che presentano minori rischi e che, a differenza delle altre tipologie, non necessitano della verifica preliminare da parte dell’Autorità. L’esonero è concesso a condizione che vengano adottate tutte le misure e gli accorgimenti tecnici idonei a raggiungere gli obiettivi di sicurezza individuati dal provvedimento e che vengano rispettati i generali presupposti di legittimità previsti dal Codice privacy.

Non è quindi necessario presentare istanza di verifica preliminare per le seguenti quattro tipologie di trattamenti:

nella sottoscrizione di documenti informatici, l’analisi dei dati biometrici associati all’apposizione a mano libera di una firma autografa potrà essere utilizzata per i sistemi di firma grafometrica posti a base di una soluzione di firma elettronica avanzata. Il trattamento è consentito solo con il consenso espresso dall’interessato all’atto di adesione al servizio di firma grafometrica e ha validità, fino alla sua eventuale revoca, per tutti i documenti da sottoscrivere. Il consenso non è necessario invece in ambito pubblico, se devono essere perseguite specifiche finalità istituzionali. Dovranno comunque essere resi disponibili sistemi alternativi (cartacei o digitali) di sottoscrizione che non comportino l’utilizzo di dati biometrici;

nell’autenticazione informatica, le caratteristiche biometriche dell’impronta digitale o dell’emissione vocale di una persona possono essere utilizzate come credenziali di accesso a banche dati e sistemi informatici anche senza il consenso dell’utente;

nei controlli di accesso fisico, le caratteristiche dell’impronta digitale o della topografia della mano potranno essere trattate per consentire l’accesso ad aree ritenute “sensibili” o ad apparati e macchinari pericolosi ai soli soggetti qualificati. Il trattamento potrà essere realizzato anche senza il consenso dell’utente;

per scopi facilitativi, l’impronta digitale e la topografia della mano potranno essere utilizzate per consentire l’accesso fisico di utenti ad aree fisiche in ambito pubblico (es. biblioteche) o privato (es. aree aeroportuali riservate). Anche in questo caso l’utilizzo è consentito solo con il consenso degli interessati e dovranno comunque essere previste modalità alternative per chi rifiuta di rilasciare i propri dati biometrici nega il consenso al trattamento dei dati biometrici.

In considerazione della complessità della materia in rapporto alla disciplina sul trattamento dei dati personali il Garante ha allegato al provvedimento un documento contenente le “Linee-guida in materia di riconoscimento biometrico e firma grafometrica”, già sottoposte a consultazione pubblica, e uno speciale modulo per la comunicazione all’Autorità in caso di violazioni dei sistemi biometrici. Infatti, allo scopo di prevenire eventuali furti di identità biometrica, tutte le violazioni dei dati o gli incidenti informatici (data breach) che possano avere un impatto significativo sui sistemi biometrici e sui dati raccolti dovranno essere comunicati al Garante entro 24 ore dalla scoperta.

In attesa della pubblicazione del provvedimento in Gazzetta ufficiale, per consultare il provvedimento e i relativi allegati si rimanda al sito web del Garante.

posted by admin on novembre 25, 2014

Miscellanee

(No comments)

Pechino_università_normaleCom’è noto, il commercio elettronico per sua natura non è limitato dai confini transnazionali e per questa ragione la condivisione di regole comuni in materia è un requisito fondamentale per l’armonico sviluppo dello scambio economico nell’era digitale.

In Cina, negli ultimi mesi del 2013, la legge sull’e-commerce è stata ufficialmente inclusa nell’agenda legislativa del Congresso nazionale del popolo. Si tratta di un passaggio importante che aprirà una nuova fase storica per lo sviluppo del commercio cinese e per gli scambi internazionali con la Cina, anche in considerazione del fatto che molti portali di e-commerce, come Alibabà, sono già quotati a Wall Street.

Per uniformare le regole condivise in materia di diritto del commercio internazionale tra la Cina e i principali paesi che operano nell’e-commerce, l’Università Normale di Pechino e l’UNCITRAL, nell’ottobre 2013, hanno firmato un accordo di cooperazione per stabilire il primo programma di certificazione congiunto sul Commercio Elettronico Internazionale.

L’accordo punta a condividere con la Cina le indicazioni internazionali utili per sviluppare la bozza della legge nazionale cinese sull’e-commerce. Il programma di certificazione congiunta disciplina inoltre il ruolo di “ponte” del Governo Cinese all’interno del programma di assistenza tecnico-legale delle Nazioni Unite volto a fornire formazione legale ai funzionari governativi e agli ufficiali di dogana di paesi in via di sviluppo tra cui Cambogia, Kazakhstan e Sri Lanka.

Il “Primo Forum Internazionale di Alta Formazione sulla legge in materia di e-commerce” nell’ambito delle relazioni tra l’UNCITRAL e l’Università Normale di Pechino si terrà il 27 e 28 novembre 2014 a Pechino.

Il Forum vedrà la partecipazione di esperti internazionali afferenti all’UNCITRAL, alle Nazioni Unite per l’Asia e il Pacifico, all’UNESCO e all’International Development Law Organization. Tra i relatori, Giusella Finocchiaro sarà presente con un intervento programmato nella sessione dedicata alle nuove frontiere dei flussi di dati nell’e-commerce.

Per maggiori informazioni si rimanda alla pagina dedicata al forum sul sito dell’Università Normale di Pechino.

posted by admin on novembre 24, 2014

Miscellanee

(No comments)

Il tanto atteso provvedimento del Garante per la protezione dei dati personali in materia di riconoscimento biometrico e firma grafometrica è stato firmato ed è stato pubblicato sul Registro dei provvedimenti (provvedimento n. 513 del 12 novembre 2014).

Il provvedimento disciplina il trattamento di dati biometrici per scopi di autenticazione informatica, di controllo degli accessi e di sottoscrizione di documenti informatici. Seguirà presto un approfondimento sulle novità introdotte.

“C’è un motivo per cui il bisogno di privacy è così acclamato universalmente ed istintivamente. Non è solo una necessità come respirare o bere acqua. La ragione  è che quando siamo in una situazione in cui possiamo essere controllati, possiamo essere guardati, il nostro comportamento cambia drasticamente. Il ventaglio di possibilità comportamentali che consideriamo quando pensiamo di essere guardati è sensibilmente ridotto. E’ un fatto della natura umana che è stato riconosciuto nelle scienze sociali, nella letteratura e nella religione e virtualmente in ogni campo di disciplina.Ci sono dozzine di studi psicologici che provano che quando qualcuno sa che può essere guardato il comportamento che pone in essere è ampiamente più conformista.”

Glenn Greenwald è stato uno dei primi reporter a vedere e a riportare i file di Edward Snowden e le rivelazioni sulla sorveglianza massiva dell’intelligence statunitense. Nell’intervento alla conferenza TED che vi proponiamo in questo video, spiega perché la privacy è importante per tutti, anche per chi sostiene di non avere “niente da nascondere”.



posted by admin on novembre 19, 2014

Eventi

(No comments)

La Facoltà di Scienze Giuridiche e Sociali dell’Universidad Rey Juan Carlos (URJC) di Madrid ospiterà il 20 e il 21 novembre 2014 il congresso internazionale “Nuevas Orientaciones del Derecho Civil en Europa”.

L’evento è organizzato dalla Fundación Cultural del Notariado y el Centro de Estudios de Derecho de la Persona y del Patrimonio della Universidad Rey Juan Carlos ed è diretto da Palmira Delgado, decano del Colegio Notarial de Castilla La Mancha y Monserrat Pereña, professore ordinario di Diritto Civilel presso la URJC.

Le due giornate saranno suddivise in tre conferenze (due inaugurali ed una di chiusura) e cinque sessioni (parte generale, Diritto della persona, Deritto di beni e Contratti, Diritto di Famiglia e Diritto di successione). I 30 relatori dell’evento sono professori universitari, notai e giuristi sia spagnoli che internazionali. Le relazioni verteranno su temi di attualità differenti ma in relazione allo spazio giuridico comune dell’Unione Europea, come il tema della giurisdizione volontaria, l’identità digitale, le clausole dei contratti, ecc.

La Prof. Avv. Giusella Finocchiaro sarà tra i relatori della prima giornata, nella sessione “diritti della persona”, con un intervento dedicato all’identità digitale.

Per un approfondimento sul nuovo Regolamento UE sull’identità digitale rimandiamo all’articolo di Giusella Finocchiaro apparso su Agenda Digitale il 5 giugno 2014.

Per maggiori informazioni il programma dell’evento è disponibile QUI.

La nota sentenza della Corte di Giustizia dell’Unione Europea del 13 maggio 2014 ha stabilito che qualora un cittadino lo richieda, un motore di ricerca sia tenuto a cancellare dai suoi risultati le informazioni “inadeguate, non pertinenti o non più pertinenti” relative al richiedente.

La decisione è stata recentemente analizzata nel saggio “Il diritto all’oblio nel quadro dei diritti della personalità” della Prof.ssa Giusella Finocchiaro, pubblicato su “Il diritto dell’informazione e dell’informatica” anno XXIX Fasc. 4-5 – 2014, che proponiamo QUI ai lettori.

Per una ricostruzione dei fatti che sono alla base della sentenza si rimanda a QUESTO post.

Si registra un nuovo caso di querela per diffamazione nei confronti di un sito nonostante il gestore avesse provveduto a rimuovere il contenuto ritenuto diffamatorio in seguito alla prima segnalazione.

Dopo il recente episodio relativo alla querela del senatore Scilipoti, che abbiamo riportato nei giorni scorsi, la stampa ha dato notizia di un analogo caso che coinvolge un politico ed un forum online: l’ex deputato di Forza Italia Maurizio Paniz ha denunciato per diffamazione a mezzo stampa il blogger Matteo Gracis, gestore del sito nuovocadore.it.

A motivare l’azione dell’ex deputato, un commento di un utente anonimo intervenuto sul forum del portale il 4 maggio del 2011 con alcune frasi ritenute dal politico offensive e diffamatorie. Il commento, rimasto visibile fino al 27 maggio, era stato rimosso 11 giorni dopo la segnalazione fatta pervenire via mail dallo stesso Paniz. Nonostante l’avvenuta cancellazione, vista l’impossibilità di individuare l’autore del commento, il deputato ha deciso di sporgere querela nei confronti del gestore del sito.

Il processo si è aperto in questi giorni, e pone ancora una volta la questione della responsabilità del provider di servizi, nella fattispecie il gestore del forum.

Secondo la difesa, la responsabilità editoriale non può cadere in capo al gestore del sito. Infatti, Nuovocadore.it non è da considerarsi una testata giornalistica, come un avviso del blog precisa, in quanto non è aggiornato periodicamente e, come specificato nel disclaimer, “ciascun commento inserito nei post e nel forum viene lasciato dall’autore dello stesso accettandone ogni eventuale responsabilità civile e penale”.

Secondo l’accusa, tuttavia, nell’impossibilità di individuare il diretto colpevole, sarebbe da attribuire a Gracis la responsabilità della pubblicazione della frase ingiuriosa, nonostante non esista evidenza di un legame tra il blogger e il nickname dell’anonimo autore delle parole lesive, nel contesto di un forum che non prevede l’approvazione preventiva dei post da parte dell’amministratore.

A meno di un mese di distanza dal caso di Scilipoti e stopcensura.com, si ripropone quindi un episodio di denuncia per diffamazione contro un fornitore di servizi che provvede prontamente a rimuovere il contenuto considerato diffamante.

A quanto si apprende, lo stesso Paniz era già stato protagonista di una simile vicenda giudiziaria. Il politico aveva infatti già avviato un’azione legale per un caso analogo nel 2012, ottenendo la condanna per diffamazione dell’amministratore del sito Vajont.info, Tiziano Del Farra.

phishingSecondo una recente ricerca online sul furto d’identità, la maggioranza degli italiani non è consapevole dei rischi che comporta la diffusione incontrollata dei propri dati personali online. Eppure ogni anno decine di migliaia di persone sono vittima della sottrazione dei dati personali o dei dati delle carte di credito, che vengono poi utilizzati per effettuare acquisti, chiedere finanziamenti o aprire conti correnti.

La ricerca, condotta online da Smart Research e commissionata da Crif, ha rivelato la propensione degli utenti a sottovalutare i pericoli a cui si sottopone chi lascia tracce di sé sul web.

Dai dati emersi intervistando un campione significativo della popolazione compresa tra i 18 e i 64 anni, selezionato per genere e area geografica, il 58% degl intervistati si dichiara poco o per niente attento alla diffusione dei propri dati online, e il 28% non si pone neppure il problema, rinunciando a qualsiasi tipo di tutela.

Risultato che pare ancora più eclatante se confrontato al fatto che 4 intervistati su 5 confermano di ricevere almeno una volta al mese e-mail di phishing: messaggi che, copiando la grafica e lo stile comunicativo di banche ed enti, tentano di carpire dati personali. Una tecnica che può risultare vincente, come dimostra il fatto che il 7,7% dei rispondenti ha dichiarato di aver risposto almeno una volta ad un messaggio fraudolento.

Anche la clonazione delle carte di pagamento è un fenomeno diffuso: il 13,1% degli intervistati ha dichiarato di esserne stato vittima. Circa le modalità con le quali sono stati rubati i dati della carta, il 39,7% delle vittime ha dichiarato che i dati sono stati clonati durante un acquisto su internet, il 20,4% ha dichiarato che la clonazione è avvenuta durante una transazione su un POS, mentre il 33% delle vittime ha ammesso di non sapere come sia avvenuto il fatto.

Due italiani su tre dichiarano di essere a conoscenza del fenomeno dei furti di identità per richiedere finanziamenti sotto falso nome, e ne individuano la modalità nella sottrazione di documenti o di strumenti di pagamento nel mondo reale, nelle transazioni online e nell’accesso non autorizzato alle caselle di posta elettronica. Il 33% degli intervistati individua come un fattore di rischio anche la pubblicazione dei dati personali su social network.

I comportamenti più comuni assunti per la tutela di questi furti si attuano evitando di accedere a siti sospetti (59% dei casi), attivando l’uso di antivirus gratuiti (49%) e a pagamento (36%). Il 5,8% degli intervistati, invece dichiara di non fare nulla in proposito.

Chi ha dichiarato di essere stato vittima di furto d’identità volto a richiedere finanziamenti, nel 57,1% dei casi ha successivamente assunto comportamenti di prevenzione attivi, tra cui una maggiore cautela nella diffusione delle informazioni personali sul web (21%), l’attivazione di sistemi di allerta via sms per finanziamenti richiesti a proprio nome (12,5%), e una maggiore attenzione al momento di lasciare in custodia i propri documenti o fornire dati personali a terzi.

Dati evidentemente preoccupanti, che se attestano una crescente consapevolezza dei rischi legati al furto di identità evidenziano la propensione a sottovalutarne il rischio. Una leggerezza che, stando ai dati forniti, coinvolge maggiormente i giovani, e chi si concentra sull’utilizzo ludico del web.

Per un approfondimento si rimanda alla pagina della ricerca.

posted by admin on novembre 10, 2014

Ecommerce e contrattualistica, Eventi

(No comments)

La 50esima sessione del gruppo di lavoro sul commercio elettronico della commissione delle Nazioni Unite sul diritto commerciale internazionale (UNCITRAL) si apre oggi, 10 novembre 2014, a Vienna.

L’attività del gruppo di lavoro è come di consueto dedicata agli electronic transferable records. La sessione operativa avrà l’incarico di discutere ulteriormente alcuni aspetti legali relativi all’utilizzo di questi particolari dati elettronici. La discussione si svilupperà sulla base della bozza di disposizioni internazionali con l’obbiettivo di deliberare decisioni sostanziali in materia.

I lavori si chiuderanno il 14 novembre 2014. Come di consueto, il gruppo di lavoro vedrà la partecipazione di Giusella Finocchiaro, già Presidente della sessione di lavoro e rappresentante italiano all’Uncitral per il commercio elettronico.

Per maggiori informazioni si rimanda alla pagina dell’UNCITRAL dedicata alle attività del working group.

Il Garante della privacy ha accolto le istanze di due società telefoniche che intendono utilizzare i dati di geolocalizzazione dei propri lavoratori.

Al fine di ottimizzare la gestione delle risorse presenti sul territorio, migliorare la qualità degli interventi tecnici e facilitare eventuali interventi di soccorso, due compagnie di telecomunicazione si sono rivolte al Garante per richiedere il via libera alla raccolta delle informazioni geografiche rilevate attraverso app attive sugli smartphone dei dipendenti.

L’Autorità ha autorizzato il trattamento dei dati, prescrivendo tuttavia stringenti misure di sicurezza a tutela della riservatezza dei dipendenti. Sarà permessa la geolocalizzazione, ma non l’accesso ad altri dati sensibili, quali SMS, email ecc. e i lavoratori dovranno essere sempre consapevoli della propria tracciabilità. A questo fine, gli smartphone geolocalizzati dovranno essere dotati di un’icona ben visibile che indichi quando la funzione di localizzazione è attiva, e che i dipendenti siano sempre tenuti al corrente del trattamento di dati effettuato dalle società. Inoltre, la rilevazione dei dati non potrà essere continuativa, ma relativa ad intervalli di tempo. A garanzia di questa prescrizione saranno disponibili solo i dati dell’ultima rilevazione, che cancelleranno di volta in volta quelli della precedente.

Con questi accorgimenti, il sistema adottato dalle due società è stato ritenuto conforme al principio di liceità, poiché in grado di garantire un incremento di velocità dei servizi offerti ai clienti, l’ottimizzazione degli interventi tecnici, e il soccorso tempestivo in caso di difficoltà dei dipendenti. La procedura risulta inoltre conforme anche ai principi di necessità, pertinenza e non eccedenza.

Come di consueto, prima di attivare il sistema, le due società dovranno notificare all’Autorità il trattamento dei dati sulla localizzazione.