Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Ripristinare la fiducia nei trasferimenti transatlantici di dati mediante forti misure di salvaguardia: la Commissione europea presenta lo scudo UE-USA per la privacy.

Il 29 febbraio 2016 la Commissione europea ha pubblicato i testi giuridici che instaurano lo scudo UE-USA per la privacy che comprendono i principi che le imprese sono tenute a rispettare, nonché gli impegni scritti del governo degli Stati Uniti (che saranno pubblicati nel U.S. Federal Register) sull’applicazione dell’accordo, comprese assicurazioni sul rispetto delle garanzie e delle limitazioni in materia di accesso ai dati da parte delle autorità pubbliche.

Una volta adottato, il meccanismo di accertamento dell’adeguatezza della protezione dei dati stabilirà se le garanzie fornite al momento del trasferimento dei dati sono equivalenti alle norme in materia di protezione dei dati nell’UE. Il nuovo quadro rispecchia i requisiti stabiliti dalla Corte europea di giustizia nella sentenza del 6 ottobre 2015. Le autorità statunitensi si sono formalmente impegnate a che lo scudo per la privacy sia rigorosamente rispettato e hanno escluso qualsiasi atto di sorveglianza di massa o indiscriminata da parte delle autorità di sicurezza nazionali in futuro.

I pilastri del Privacy Shield sono:

- Imposizione di obblighi precisi alle società: il nuovo accordo sarà trasparente e comprenderà efficaci meccanismi di vigilanza, fra cui quello di sanzioni o esclusione in caso di inadempienza, al fine di garantire che le società rispettino i loro obblighi. Le nuove regole comprendono anche condizioni più rigorose per i trasferimenti successivi ad altri partner dalle società che partecipano al programma.

- Garanzie chiare e obblighi di trasparenza applicabili all’accesso da parte del governo degli Stati Uniti: per la prima volta, gli Stati Uniti hanno fornito all’UE una garanzia scritta, da parte dell’Ufficio del Direttore dell’intelligence nazionale, che assicura che tutti i diritti di accesso delle autorità pubbliche ai fini della sicurezza nazionale saranno soggetti a precisi limiti, garanzie e meccanismi di controllo, e sarà impedito l’accesso generalizzato ai dati personali. John Kerry, segretario di Stato statunitense, si è impegnato a introdurre una possibilità di ricorso in materia di intelligence nazionale per i cittadini dell’UE tramite un meccanismo basato sulla figura del mediatore all’interno del Dipartimento di Stato, che sarà indipendente dai servizi di sicurezza nazionali. Il Mediatore tratterà i reclami e le richieste di informazioni da parte di singoli cittadini dell’UE e li informerà se le normative in materia sono state rispettate. Tali impegni scritti saranno pubblicati nel U.S. Federal Register.

- Protezione effettiva dei diritti dei cittadini dell’UE con diverse possibilità di ricorso: i reclami devono essere risolti dalle imprese entro 45 giorni. Sarà disponibile una soluzione consistente nella composizione extragiudiziale gratuita delle controversie. I cittadini dell’UE si potranno anche rivolgere alle loro autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale per il commercio per assicurare che i reclami dei cittadini dell’UE vengano esaminati e risolti. Qualora una controversia non sia stata risolta mediante detti mezzi, si potrà far ricorso, in ultima istanza, ad un meccanismo di arbitrato, la cui decisione sarà esecutiva. Inoltre, le imprese possono impegnarsi a rispettare il parere delle autorità di protezione dei dati dell’UE. Tale disposizione è obbligatoria per le imprese che trattano dati relativi alle risorse umane.

- Meccanismo annuale di riesame congiunto: Il meccanismo consentirà di monitorare il funzionamento del Privacy Shield, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale. La Commissione europea e il ministero del Commercio degli Stati Uniti procederanno al riesame, e inviteranno esperti nazionali di intelligence degli Stati Uniti e delle autorità europee di protezione dei dati a parteciparvi. In base al riesame annuale, la Commissione presenterà una relazione al Parlamento europeo e al Consiglio.

Prima che il collegio prenda una decisione finale sarà richiesto un parere dell’Article 29 Working Group, composto da rappresentanti degli Stati membri e le autorità europee per la protezione dei dati. Nel frattempo, la parte statunitense provvederà ai necessari preparativi per porre in atto il nuovo quadro, i meccanismi di monitoraggio e il nuovo meccanismo di mediazione.

In seguito all’adozione del Judicial Redress Act da parte del Congresso degli Stati Uniti, firmato dal presidente Obama il 24 febbraio, la Commissione proporrà a breve la firma dell’accordo quadro. La decisione di conclusione dell’accordo dovrebbe essere adottata dal Consiglio dopo aver ottenuto l’approvazione del Parlamento europeo.

Continua la nostra analisi del testo dell’emanando Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”. Esaminiamo qui il tema delle responsabilità e degli oneri del controller e la figura del Data Protection Officer.

La Proposta di regolamento responsabilizza maggiormente i controller (titolari del trattamento), i quali saranno, in particolare, gravati dalla predisposizione di misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati effettuate (art. 30). A carico dei medesimi viene posto, inoltre, l’obbligo di comunicare senza ritardo sia alle autorità sia agli interessati i cc.dd. data breach, ossia le violazioni dei dati avvenute durante le operazioni di trattamento (artt. 31 e 32).

Viene poi prevista la figura dei joint controller (contitolari), i cui ruoli e le cui responsabilità dovranno essere ripartite sulla base di un accordo a cui gli stessi interessati potranno far riferimento, fatta salva una diversa determinazione da parte della legge europea o nazionale (art. 24).

A tutela del rispetto dei diritti e delle libertà fondamentali dei cittadini e a garanzia della conformità delle operazioni di trattamento al Regolamento, vengono confermate le figure del Data Protection Officer (già previsto, a livello europeo, dal Regolamento UE n. 44/2001) e di una Supervisory Authority indipendente a livello nazionale (rispettivamente, artt. 35 e 46). Mentre il primo dovrà essere designato in tutti i casi in cui il trattamento venga svolto da una pubblica autorità, richieda un regolare e sistematico monitoraggio degli interessati su larga scala o, ancora, abbia ad oggetto dati sensibili, l’Autorità di sorveglianza dovrà essere obbligatoriamente istituita in ogni Stato membro. Quest’ultima ha, tra gli altri, il primario obiettivo di garantire la coerenza nell’applicazione della normativa sulla protezione dei dati in tutta l’Unione europea (art. 46), potendo contare anche sui meccanismi di one-stop-shop (o “sportello unico”) che prevedono una collaborazione reciproca tra le diverse autorità nazionali e la possibilità di adottare una decisione di controllo unica nei casi transfrontalieri che comportano un coinvolgimento plurimo delle Autorità (art. 54a).

In quest’ottica di mutua assistenza è da segnalare anche l’istituzione di un Comitato europeo per la protezione dei dati (art. 64), che dovrebbe comprendere rappresentanti di tutte le 28 Autorità di controllo indipendenti e sostituire il c.d. “Gruppo Art. 29”, cioè il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, di cui all’articolo 29 della dir. 95/46/CE.

Con la legge firmata dal presidente Barak Obama, i cittadini dei Paesi alleati acquisiranno alcune garanzie della privacy di cui godono quelli americani. Sarà infatti possibile per i cittadini stranieri fare causa al governo americano nel caso i loro dati personali vengano diffusi illegalmente.

La Judicial Redress Act bill, approvata grazie a un largo sostegno delle camere del Congresso, è stata considerata come un gesto che dimostra la volontà di ricostruzione del rapporto di fiducia con gli alleati europei in seguito allo scandalo del datagate, nato dalle rivelazioni Edward Snowden sui controlli di massa operati dalla NSA sugli utenti europei.

Già con l’Us Freedom Act, la legge che ha tolto alla NSA la possibilità di raccogliere e archiviare indistintamente i dati telefonici di milioni di americani, era stato compiuto un primo atto formale per riaffermare il dovere di tutelare i diritti dei cittadini.

Con la Judicial Redress Act bill, il presidente americano mira ora a ripristinare il rapporto di reciproco rispetto tra Europa e Stati Uniti. Obama ha definito la legge una misura chiave per la tutela dei dati dei consumatori che contribuirà a incrementare il mercato del paese.

Molti osservatori hanno accolto la Judicial Redress Act bill come un passo necessario per ristabilire un clima di effettiva collaborazione per la lotta al terrorismo e la condivisione dei dati raccolti dalle rispettive forze di sicurezza e di intelligence.

La scelta di Obama opererebbe anche per il ripristino della collaborazione tra continenti e grandi società tecnologiche, alla luce del partenariato commerciale previsto con l’accordo di libero scambio Ttip, per cui sono previsti nelle prossime settimane nuovi negoziati a Bruxelles.

Durante la cerimonia formale del Judicial Redress Act, Obama si è soffermato sul tema del rapporto tra privacy e sicurezza, dichiarando che opererà per “garantire che anche se proteggiamo la sicurezza del popolo americano, siamo pure consapevoli della privacy che amiamo così tanto”.

Proprio in questi giorni nuovo braccio di ferro sulla privacy tra Apple e governo per lo sblocco di un iPhone nelle indagini sulla strage di San Bernardino sta infatti coinvolgendo l’opinione pubblica statunitense.

“Alcune cose sono difficili, e alcune cose sono giuste, e alcune cose sono entrambe – questa è una di quelle cose”, aveva dichiarato l’ad di Apple, Cook, ribadendo la volontà di impedire azioni del genere, e comunicando l’intenzione parlare direttamente col presidente Obama della questione al fine di condurla “su un percorso migliore”.

Washington starebbe già studiando una nuova proposta di legge per la creazione di una commissione sulla sicurezza digitale, volta a favorire l’approvazione di una nuova legge definitiva in materia di privacy e crittografia entro la fine dell’anno.

posted by admin on febbraio 22, 2016

PA telematica

(No comments)

Il Dipartimento per la Funzione Pubblica della Presidenza del Consiglio dei Ministri, ha pubblicato la nuova versione del proprio portale istituzionale, si tratta di un “progetto pilota” a partire dal quale potranno essere innovati tutti i siti istituzionali delle pubbliche amministrazioni italiane.

Il nuovo sito,  sviluppato con il coordinamento dell’Agenzia per l’Italia Digitale, è stato costruito nel rispetto delle “Linee guida di design per i siti web della pubblica amministrazione”. Le linee guida sono state concepite come testo dinamico, in continuo aggiornamento, con l’obiettivo di definire regole di usabilità e design condivise da tutta la pubblica amministrazione.

Le indicazioni contenute sono utili a definire un’architettura dell’informazione semplificata, la standardizzazione dei principali elementi del sito (icone, interfacce, colori, font) e un’identità grafica condivisa. Le amministrazioni sono così guidate nel lavoro di creazione di siti e portali semplificati e accessibili. Sulla piattaforma design.italia.it, oltre alle indicazioni testuali, sono presenti anche stringhe di codice informatico, riutilizzabili per la progettazione degli elementi grafici e architetturali che permettono di creare un’identità visiva coerente e una navigazione semplificata da qualsiasi dispositivo.

I siti del Governo Italiano e del Dipartimento per la Funzione Pubblica della Presidenza del Consiglio dei Ministri, rappresentano i progetti pilota di un processo che coinvolgerà l’intera pubblica amministrazione. L’Agenzia per l’Italia Digitale, partendo dalle amministrazioni centrali, ha avviato un percorso di collaborazione finalizzato alla progressiva diffusione dei principi proposti ai vari livelli amministrativi. Insieme al sito www.governo.it, che ha aperto la sperimentazione, il nuovo portale del Dipartimento della funzione pubblica costituisce un riferimento per la diffusione delle linee guida verso tutte le pubbliche amministrazioni. Sono state già realizzate le nuove versioni dei portali del Ministero delle Infrastrutture e dei Trasporti e del Ministero degli Affari Esteri e della Cooperazione Internazionale mentre sono in corso di implementazione i nuovi siti da parte del Ministero del Lavoro e delle Politiche Sociali e del Ministero dell’Istruzione, dell’Università e della Ricerca.

Dopo una consultazione con la community dedicata al tema, l’Agenzia per l’Italia Digitale ha previsto per la seconda metà del 2016 il rilascio di una nuova versione delle linee guida destinata alle amministrazioni locali: il percorso inizierà a giugno con le Regioni. Per favorire l’evoluzione del progetto, coordinare i membri della community e supportare le amministrazioni in fase di adeguamento, è stato creato un “comitato guida” coordinato dall’Agenzia per l’Italia Digitale del quale fanno parte rappresentanti della Presidenza del Consiglio dei Ministri, del mondo dell’Università e delle più importanti associazioni di settore.

posted by admin on febbraio 19, 2016

Tutela dei consumatori

(No comments)

telefonoLa Suprema Corte è intervenuta sul tema delle telefonate automatiche inoltrate dai sistemi computerizzati di telemarketing: vietato turbare la serenità degli utenti con telefonate silenziose.

Con sentenza numero 2196 del 4 febbraio 2016, la Cassazione ha rigettato i ricorsi della società di informatica Reitek Spa e di Enel Energia contro un provvedimento del Garante Privacy che nel 2013 prescriveva a Enel Energia, ai sensi dell’art. 143, comma 1, lett. b) e art. 154, comma 1, lett. c), del Codice in materia di protezione dei dati personali, l’adozione di tutte le misure, anche di carattere tecnico, atte a garantire che il sistema impedisse la reiterazione di “chiamate mute” vietando la possibilità di richiamare una specifica utenza per un intervallo di tempo pari almeno a trenta giorni.

Il provvedimento era stato emesso a seguito delle proteste di utenti che lamentavano la ricezione di telefonate nelle quali, una volta risposto, non si viene messi in contatto con alcun interlocutore. Il fenomeno è dovuto ad un problema organizzativo da parte delle società che si occupano di effettuare telefonate commerciali. Gran parte di queste aziende si serve di un sistema di instradamento automatico di telefonate per mettere in comunicazione le singole utenze dei cittadini con gli operatori di call center addetti alla promozione di servizi e prodotti. A volte, tuttavia, il sistema automatico può indirizzare verso i call center un numero di chiamate superiore all’effettiva disponibilità degli operatori. Così il telefono del cittadino squilla, ma dall’altra parte non c’è nessuno.

prescriveva a Enel Energia, ai sensi dell’art. 143, comma 1, lett. b) e art. 154,
comma 1, lett. c), del Codice in materia di protezione dei dati personali, l’adozione, eventualmente
tramite la fornitura di apposite istruzioni ai propri responsabili, di tutte le misure, anche di carattere
tecnico, atte a garantire che il sistema Saas impedisse la reiterazione di chiamate su contatto abbattuto
(c.d. chiamate “mute”), escludendo la possibilità di richiamare la specifica utenza per un intervallo di
tempo pari almeno a trenta giorni.

La Corte ha appoggiato il Tribunale di Roma, che aveva rigettato il precedente ricorso ritenendo scorretta la modalità di trattamento del dato messa in atto dal sistema di telemarketing, in quanto tale modalità aveva mirato a ottimizzare il successo delle chiamate passate agli operatori facendo ricadere il rischio, e il disagio, della chiamata “muta” sui soli destinatari.

La Suprema Corte ha ricordato come sia stato più volte affermato che, ai sensi degli artt. 4 e 11 cod. della privacy, i dati personali oggetto di trattamento vanno poi gestiti rispettando i canoni della correttezza, pertinenza e non eccedenza rispetto alle finalità del loro utilizzo.

A nulle sono valse le motivazioni delle ricorrenti che lamentavano come solo una piccola percentuale di utenti fosse investita dal problema. Secondo la Corte, infatti, affermare – come fatto da Enel Energia – che una simile eventualità era collocabile, in base ad algoritmi di sistema tesi a minimizzare il fenomeno, in una percentuale del 3% “si palesa irrilevante”. Infatti, “l’obiezione non sposta i termini del problema, così come non li sposta il notarile rilievo di Reitek circa il minimale numero di segnalazioni di telefonate “mute” giunte al Garante, perché l’abuso era associabile alla prescelta modalità di chiamate multiple, che rendeva manifesto il ribaltamento del rischio del disagio esclusivamente sui destinatari”.

Per la Cassazione solo questo alla fine conta per considerare esorbitante il metodo di utilizzo del dato personale in rapporto all’interesse o ai diritti e alle libertà fondamentali delle persone coinvolte.

Rigettata anche la motivazione delle ricorrenti secondo cui il consenso al trattamento dei dati, in base all’art. 130, comma 3-bis, non è richiesto in chi sia iscritto negli elenchi degli abbonati ai servizi di telefonia e non abbia esercitato il diritto di opposizione con modalità semplificate e anche in via telematica, mediante iscrizione della relativa numerazione nell’apposito registro pubblico delle opposizioni (c.d. opt-out). In tal proposito, la Cassazione  ha sottolineato che la norma di cui all’art. 130, comma 3-bis, va interpretata in coerenza con la direttiva comunitaria 2002/58-CE sull’e-privacy che consente l’opt-out per le chiamate con operatore, non mai invece per le chiamate automatizzate. In pratica, la norma comunitaria riguarda il marketing diretto, effettuato mediante l’uso del telefono con l’operatore, i sistemi automatici di chiamata che causano le “telefonate mute”, sono escluse dalla norma proprio perché in esse l’operatore manca.

Continua la nostra analisi del testo dell’emanando Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”.  Esaminiamo qui il tema dei diritti degli interessati dal trattamento dei dati personali.

Preminente (anche a livello strutturale) è la sezione dedicata al riconoscimento di una vasta gamma di diritti (artt. 12-20) in capo agli interessati, ossia alle persone fisiche i cui dati sono oggetto di trattamento. La direzione, da accogliere favorevolmente, è quella di rafforzare i diritti sinora riconosciuti adeguandoli all’ambiente virtuale, e di conferire agli interessati un maggiore potere di controllo sui propri dati personali: in questa ottica, sono da segnalare il diritto di rettifica dei dati (art. 16), il diritto all’oblio (art. 17), il diritto a restringere il campo del trattamento al ricorrere di determinate evenienze (art. 17a), il diritto alla portabilità dei dati (art. 18) e il diritto ad opporsi ai trattamenti effettuati sulla base di un pubblico interesse o di un legittimo interesse del titolare del trattamento (art. 19).

Si è tentato di calare tali diritti, validi per il trattamento effettuato con mezzi tradizionali, nel contesto digitale: un esempio è offerto dalle disposizioni inerenti alle modalità di esercizio del diritto all’oblio, il quale, se fatto legittimamente valere, onera il titolare del trattamento ad assicurare la cancellazione non solo del dato, bensì anche di ogni riferimento (“any links”), copia o duplicazione dello stesso da parte di qualsiasi altro titolare che abbia trattato o tratti quel determinato dato. Analogamente, il diritto alla portabilità dei dati evidenzia la necessità di modernizzare e di approntare soluzioni adeguate alle problematiche emergenti dall’ambiente virtuale: attraverso il riconoscimento di tale diritto in capo all’interessato si mira ad evitare che questi possa essere soggetto a lock-in tecnologici, tutelando la sua libertà di movimento anche nel cyberspazio.

UE_corteIl 15 febbraio 2016 la Commissione europea ha attivato una piattaforma per aiutare i consumatori e i commercianti a risolvere controversie derivanti da acquisti online.

In attuazione del Regolamento sull’ODR, Regolamento (EU) N. 524/2013, e della Direttiva sull’ADR(Alternative Dispute Resolution) dei consumatori, Direttiva del Parlamento Europeo e del Consiglio 2013/11/UE, recepita in Italia con il D.lgs. 6 agosto 2015 n.130, la Commissione Europea ha lanciato The Online Dispute Resolution (ODR) la piattaforma per la risoluzione online delle controversie.

Si tratta di uno sportello unico dove i consumatori e gli operatori commerciali dell’Unione Europea possono comporre vertenze derivanti da acquisti effettuati online nel proprio paese o all’estero. La piattaforma avrà un’interfaccia semplice accessibile da ogni tipo di dispositivo e permette agli utenti di condurre l’intera procedura online. Per presentare un reclamo sarà sufficiente compilare un modulo in tre passaggi. Il sistema è multilingue e prevede un sistema di traduzione per le controversie tra soggetti di paesi europei diversi.

La Commissaria per la Giustizia i consumatori e la parità di genere, Vera Jourová, ha spiegato la ragione che ha portato alla creazione dello sportello: “La maggior parte dei consumatori che incontrano problemi con gli acquisti online non presentano un reclamo perché considerano la procedura troppo lunga e poco efficace. La piattaforma per la risoluzione online delle controversie è uno strumento innovativo che farà risparmiare tempo sia ai consumatori che ai commercianti. Consentirà di accrescere la fiducia dei consumatori che fanno acquisti online e di sostenere le imprese che vendono all’estero, a tutto vantaggio del mercato unico digitale dell’UE”.

La risoluzione alternativa delle controversie (ADR) è una procedura veloce e poco costosa. In media, per risolvere un caso ci vogliono meno di 90 giorni. Il 70% dei consumatori che hanno già potuto avvalersi di questa procedura hanno espresso un parere positivo. La procedura rappresenta un’opzione aggiuntiva a loro disposizione per risolvere eventuali controversie che non intende sostituirsi alla possibilità di adire le vie legali, comunque più lunghe e costose (soltanto il 45% dei consumatori sono soddisfatti dei casi trattati in tribunale).

Va sottolineato che anche i commercianti potranno avvalersi della nuova piattaforma e trarne vantaggio in quanto, grazie alle procedure di risoluzione alternativa delle controversie, potranno evitare spese processuali elevate e mantenere buone relazioni con la clientela. L’accesso alla risoluzione alternativa delle controversie è garantito a prescindere dal prodotto o servizio acquistato e indipendentemente dal fatto che l’acquisto sia avvenuto online oppure offline e che il commerciante abbia sede nel paese di residenza del consumatore o in un altro Stato membro.

La base giuridica della piattaforma è il Regolamento sulla risoluzione online delle controversie dei consumatori, che ne descrive le principali funzioni e l’iter dei contenziosi trattati. Il regolamento si rifà alla direttiva sulla risoluzione alternativa delle controversie dei consumatori, che garantisce l’accesso dei consumatori alla procedura extragiudiziale per le vertenze contrattuali con operatori commerciali.

Le controversie vengono inoltrate agli organismi di risoluzione alternativa delle controversie (ADR) collegati alla piattaforma, che sono stati selezionati dagli Stati membri secondo rigorosi criteri di qualità e notificati alla Commissione. Il sistema non copre ancora tutti i paesi e tutti i settori commerciali, ma è in rapida espansione: sono già collegati alla piattaforma circa 117 organismi per la risoluzione alternativa delle controversie di 17 paesi dell’UE. Gli Stati membri sono tenuti a fornire un elenco degli organismi che offrono procedure alternative per la risoluzione delle controversie (organismi ADR). Tutti gli organismi che figurano in tali elenchi rispondono a requisiti di qualità vincolanti, definiti dalla legislazione dell’UE.

Vi proponiamo qui l’articolo di Giusella Finocchiaro pubblicato il 15 febbraio 2016 su Forum PA. Questo articolo fa parte del dossier “Speciale CAD: Cad corrotto, Agenda digitale infetta”. Per la versione completa del dossier rimandiamo al sito di Forum PA.

Il 1° luglio 2016 entrerà in vigore il Regolamento europeo 910/2014, noto come e-IDAS, che comporterà alcune rilevanti innovazioni in materia di identità digitale, di firme elettroniche e di servizi fiduciari.

Trattandosi di Regolamento europeo, quindi direttamente applicabile, non era tecnicamente necessario revisionare il Codice dell’Amministrazione digitale. Non è una direttiva, ma un Regolamento. Non sono quindi necessari atti di recepimento, come invece accade per le direttive europee. Non è uno strumento di armonizzazione, ma uno strumento di uniformazione del diritto che crea un’identica normativa europea per i 28 Stati.

Certo la riforma del CAD avrebbe comunque potuto essere utile, per favorire il coordinamento con la nuova normativa europea. Tuttavia il legislatore, quanto meno nella bozza pubblicata, va oltre il Regolamento europeo e, in taluni casi, in conflitto. Ciò comporterà i costi dell’incertezza giuridica per le imprese italiane che avrebbero invece potuto godere del vantaggio dell’esperienza accumulata nell’ambito della digitalizzazione e confluita in gran parte nel Regolamento europeo.

Affronto qui soltanto il tema del documento informatico e delle firme, oggi disciplinati dagli artt. 20 e seguenti del CAD.

Il Regolamento europeo prevede un approccio a due livelli (two-tier approach): in estrema sintesi solo la firma qualificata è equivalente alla sottoscrizione autografa; per il resto vige il principio della non discriminazione, cioè il principio secondo il quale non può essere negato valore giuridico ad un documento informatico per il solo fatto che è in forma elettronica.

Il legislatore italiano ha applicato questo principio nel CAD attualmente vigente, disponendo che il documento informatico, con o senza firma elettronica, è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità.

La ratio della norma è che non conoscendo a priori quale sia in concreto la firma elettronica, la quale può andare da una password banale ad un sistema basato sulla biometria, conseguentemente con un livello di sicurezza assai variabile, è il giudice che valuta caso per caso quanto vale.

Nella vigente normativa, dunque, non conoscendo a priori di che firma in concreto si parla, si demanda al giudice l’individuazione del valore giuridico del documento cui essa è associata.

Il nuovo art. 21 del CAD sarebbe il seguente:

“2. Fermo restando quanto previsto dai commi 2-bis e 2-ter, il documento informatico sottoscritto con firma elettronica, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”.

Secondo questa proposta, il documento sottoscritto con firma elettronica sarebbe idoneo a soddisfare il requisito della forma scritta e avrebbe l’efficacia probatoria prevista dall’art. 2702 c.c. Qualora la modifica apportata all’art. 21 fosse confermata, il documento recante una firma elettronica semplice sarebbe equiparato alla scrittura privata di cui all’art. 2702 c.c., se fosse idoneo a soddisfare le regole tecniche previste da un apposito regolamento.

Il regolamento, si immagina, dovrebbe cristallizzare le tipologie di firma elettronica oggi diffuse presumibilmente con un approccio analitico e casistico, di per sé inevitabilmente non esaustivo e fermo nel tempo. O invece, fare riferimento a principi generali e standard che non potrebbero che ricalcare altre tipologie di firma elettronica come, per esempio, la firma elettronica avanzata. Dunque un regolamento arduo da immaginare, che richiederà anni (3 anni si è atteso il regolamento sulla firma elettronica avanzata) e che nel frattempo bloccherà un mercato consolidato. Con quale vantaggio? Certo non si eviterà la consulenza tecnica d’ufficio, dal momento che il giudice si rivolgerà quasi certamente al CTU per verificare se le prescrizioni del regolamento sono rispettate nel caso concreto. Certo non si creerà maggiore certezza a priori, perché sarà comunque il giudice ex post a valutare se nella fattispecie si tratta di firma elettronica conforme al regolamento. Tutto questo con un vizio di fondo: tentare di rendere non neutra la firma elettronica, che è invece tecnologicamente neutra. Se questo approccio regolatorio è valido per la firma digitale che fa già nella definizione normativa riferimento ad una specifica tecnologia, non lo è per la firma elettronica che invece nasce tecnologicamente neutra.

Nulla cambierebbe invece nella disciplina relativa alla firma elettronica avanzata, qualificata e digitale, sempre che siano corretti alcuni errori, se interpreto correttamente l’intenzione del legislatore. Nell’attuale versione della proposta di riforma del CAD è infatti omesso il richiamo all’art. 2702 c.c. per i documenti che recano queste tipologie di firme, ed è anche omesso il richiamo alla presunzione di utilizzo del dispositivo di firma per i documenti con firma elettronica avanzata.

In vista dell’approvazione definitiva del testo finale della Proposta di Regolamento, prevista per questa primavera, è possibile anticipare i temi fondamentali affrontati dalla riforma in materia di protezione dei dati personali.

La riforma in materia di protezione dei dati personali prende avvio con la Proposta della Commissione europea in Gennaio 2012. Da allora, le istituzioni europee hanno proceduto all’elaborazione di una normativa al passo con gli sviluppi tecnologici finalizzata a rafforzare i diritti fondamentali dei cittadini nell’era digitale.

In particolare, il nuovo Regolamento europeo mira ad aggiornare e modernizzare i principi in materia di tutela dei dati personali sanciti dalla direttiva 95/46/CE, secondo un quadro coerente e armonizzato valido per tutto il territorio europeo, che consentirà, tra l’altro, di porre fine alla corrente (e dannosa) frammentazione normativa in materia. Infatti, a differenza delle direttive che necessitano di un atto di recepimento da parte di ciascun Stato membro, lo strumento normativo prescelto per la riforma, il regolamento, è direttamente applicabile e obbligatorio in tutte le sue parti per gli Stati membri.

Il Regolamento, dunque, nel disciplinare la protezione dei dati personali, contestualizza tale tutela nell’ambiente di Internet, tenendo conto delle opportunità ma anche dei rischi insiti nell’impiego della Rete.

Il 4 febbraio 2016, presso il rinnovato Museo Storico Alfa Romeo di Arese, l’Associazione Italiana Professionisti Security Aziendale, e l’Associazione Italiana Direttori del Personale e l’agenzia investigativa AXERTA hanno organizzano un Convegno di aggiornamento legislativo e di condivisione di best practices della security aziendale sul tema del Jobs Act e delle possibilità di controllo in azienda.

Scopo del convegno, definire come poter operare in concreto per salvaguardare il patrimonio aziendale grazie ad un confronto trasversale con 7 relatori di rilevanza nazionale, esperti in diritto penale e del lavoro, privacy, security, risorse umane ed investigazione.

Fra gli esperti, Giusella Finocchiaro è intervenuta con una relazione dedicata all Privacy e alla protezione dei dati personali. Su richiesta dei partecipanti, pubblichiamo QUI LE SLIDE a supporto della relazione della Prof. Avv. Giusella Finocchiaro, presentate al convegno.

Il documento è condivisibile liberamente secondo licenza “Creative Commons Attribution-NonCommercial-NoDerivs”.