Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Negli ultimi due anni, con una decine di sentenze la Corte di Giustizia Europea ha affermato la rilevanza strategica che la protezione dei dati personali ha assunto nell’Unione Europea. Emerge chiaramente la volontà, apparentemente ovvia, di applicare i principi del diritto europeo al trattamento dei dati personali degli europei. Tuttavia, il tema che si affronta è più ampio e riguarda la difficoltà di giurisdizione su Internet, un non-luogo dove non esistono norme condivise, non essendo individuabile un soggetto politico legittimato a emanare le regole a livello globale. Giusella Finocchiaro ha analizzato questo scenario nel saggio  “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems” pubblicato su “Il diritto dell’informazione e dell’informatica” Anno XXX Fasc. 4-5 -2015.

Ne presentiamo qui un estratto. È possibile scaricare la versione completa in pdf cliccando QUI.

Si leggono alcune tendenze, evidenti nelle due decisioni più note, Google Spain e Schrems, ma presenti anche in altre, di carattere politico, anticipatorie rispetto alle scelte ormai quasi compiute nell’emanando regolamento. In estrema sintesi, la Corte vuole affermare l’applicabilità della normativa europea anche nel caso in cui i titolari di trattamento dei dati personali siano soggetti non europei e i dati vengano trattati prevalentemente fuori dall’Europa. Ribadisce il rango costituzionale del diritto alla protezione dei dati personali secondo la Carta dei diritti fondamentali dell’Unione europea e soprattutto la prevalenza di tale diritto sugli altri diritti, pure costituzionalmente garantiti, affermando così una scelta culturale e di principi. Riafferma il carattere di eccezionalità delle limitazioni al diritto alla protezione dei dati personali. Assume che il livello di protezione dei dati personali adottato in Europa sia più elevato rispetto al livello di protezione dei dati personali adottato altrove nel mondo e si fa promotrice del modello europeo del diritto alla protezione dei dati personali. La Corte europea si riappropria e consolida la posizione volta ad affermare l’applicazione del diritto europeo al trattamento dei dati personali degli europei. Si tratta di indirizzi profondamente politici in cui la Corte orgogliosamente sceglie cultura, principi e diritto europeo, contrapponendosi alla visione e agli interessi, nei casi in esame, statunitensi. La Corte esercita dunque un ruolo di supplenza politica, estendendo l’applicabilità della normativa europea e anticipando nell’interpretazione della direttiva-madre l’emanando regolamento europeo sulla protezione dei dati personali.

posted by admin on marzo 29, 2016

identità digitale

(No comments)

La quarta sezione del Consiglio di Stato ha confermato la sentenza del Tar Lazio che nel luglio 2015 aveva annullato il criterio del capitale sociale minimo di 5 milioni per diventare identity provider.

Con la sentenza n. 1214 del 24 marzo 2016 il Consiglio di Stato ha bocciato la norma sul capitale sociale del decreto della Presidenza del Consiglio dei Ministri del 24.10.2014, attuativo del sistema SPID, il sistema pubblico di identità digitale che dà la possibilità a cittadini e imprese di richiedere le credenziali con le quali connettersi ai servizi online della PA.

La Presidenza del Consiglio dei Ministri aveva fatto ricorso al Consiglio di Stato dopo la bocciatura del Tar del Lazio, sul tema dell’elevato capitale sociale necessario per poter diventare “Identity Provider Spid”.

Il Consiglio di Stato ha invece confermato la decisione del Tar del Lazio che aveva accolto i ricorsi delle Associazioni Assintel e Assoprovider, secondo cui l’applicazione del Decreto avrebbe impedito a molte imprese del settore ICT di concorrere per diventare fornitore del sistema di identificazione. Secondo i ricorrenti, il limite sarebbe stato in contrasto con la normativa antitrust e con il Regolamento Europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

L’imposizione del requisito di un capitale sociale così alto, contrapposto all’assenza di tale obbligo per gli operatori pubblici, era stata ritenuta dai giudici del Tar una indebita discriminazione in favore della Pubblica Amministrazione, distorsiva del mercato e in aperto contrasto con la normativa antitrust e con il Regolamento Europeo.

L’attuale sentenza chiarisce che Spid è un sistema essenzialmente basato su password e non può dunque essere equiparato alle modalità di identificazione forte quali la carta nazionale dei servizi e la firma digitale. La norma sarebbe illegittima anche «per irragionevolezza dell’impedimento all’accesso al mercato di riferimento,dovuto all’elevato importo del capitale sociale minimo richiesto con l’atto impugnato, trattandosi di scelta rivolta a privilegiare una finalità di incerta efficacia, a fronte della sicura conseguenza negativa di vedere escluse dal mercato stesso tutte le imprese del settore di piccole e medie dimensioni, quali appunto quelle rappresentate dalle associazioni ricorrenti».

Il magazine canadese Nymity, specializzato in diritto di Internet e privacy ha pubblicato uno speciale sulla sentenza della Corte di Cassazione italiana numero 2196 del 4 febbraio 2016 sul tema delle cosiddette “telefonate mute” le telefonate automatiche inoltrate dai sistemi computerizzati di telemarketing. Lo speciale è accompagnato da un’intervista a Giusella Finocchiaro che contestualizza il fenomeno da un punto di vista giuridico e ne analizza i risvolti in tema di privacy e sicurezza.

Una panoramica del tema è stata precedentemente pubblicata in QUESTO POST.

Lo speciale di Nymity è disponibile QUI. Cliccando QUI è possibile scaricare il pdf con l’intervista a Giusella Finocchiaro. Entrambi i documenti sono in lingua inglese.

Il colosso di Mountain View dovrà pagare una multa di 100.000 euro per non aver filtrato i risultati delle sue ricerche come imposto dalla sentenza della Corte di Giustizia dell’Unione Europea del 13 maggio 2014.

La Commission Nationale de l’Informatique et des Libertes (CNIL) ha specificato che l’obbligo a cancellare dai risultati di ricerca le informazioni “inadeguate, non pertinenti o non più pertinenti” qualora gli interessati lo richiedano, vale per tutti i siti gestiti da Google.

Nonostante Google abbia provveduto a mettere a disposizione un modulo per la richiesta di cancellazione dei link, lo scorso maggio l’Authority francese ha rilevato che l’attività di deindicizzazione dei risultati è stata applicata solo ai domini di Google relativi ai paesi europei. Se dunque un risultato veniva eliminato dalle ricerche su Google.fr (Francia) questo non avveniva anche nel motore di ricerca internazionale Google.com.

La CNIL ha dunque ordinato a Google di provvedere alla rimozione dei risultati segnalati su tutti i domini di sua gestione, ma la compagnia di Mountain View si è opposta a questa richiesta in nome del diritto di espressione, sottolineando i limiti giurisdizionali dell’Authority di Francia che, a suo avviso, non avrebbe potere di censura sul dominio americano.

Google ha infatti sottolineato che i risultati vengono filtrati anche su google.com qualora l’accesso al portale provenga da un’utenza francese.

Tuttavia, la CNIL ha rigettato questa motivazione sostenendo che la tutela al diritto alla privacy dei cittadini non può essere subordinata alla provenienza geografica delle persone che consultano i risultati delle ricerche.

Google ha annunciato che ricorrerà in appello contro il provvedimento.

Schermata 2016-03-20 alle 19.44.42Il Garante per la protezione dei dati personali ha predisposto una versione aggiornata della scheda informativa sulla figura del Responsabile della protezione dei dati personali (Data Protection Officer) modificata in base al Regolamento Generale sulla Protezione dei Dati, di cui si attende a breve la pubblicazione nella Gazzetta Ufficiale dell’Unione europea.

Come già riportato su questo blog, il Regolamento europeo di prossima emanazione conferma la figura del Data Protection Officer (già previsto, a livello europeo, dal Regolamento UE n. 44/2001) che dovrà essere designato in tutti i casi in cui il trattamento venga svolto da una pubblica autorità, richieda un regolare e sistematico monitoraggio degli interessati su larga scala o, ancora, abbia ad oggetto dati sensibili.

Il Responsabile della protezione dei dati personali, impiegato sulla base di un contratto con il titolare del trattamento o dal responsabile del trattamento, dovrà essere una figura che possa operare in assenza di conflitti di interesse.

Il Data Protection Officer ha il compito di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi normativi e verificare l’attuazione e l’applicazione del Regolamento e delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati e alle politiche del titolare o del responsabile del trattamento in materia di privacy. Se richiesto, potrà fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti.  Il suo ruolo, inoltre, prevede che possa essere il punto di contatto non solo per il Garante ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti.

Il testo normativo relativo al Data Protection Officer si fonda sulla proposta di Regolamento COM(2012)11 concernente la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, come successivamente modificata a seguito degli emendamenti di Parlamento europeo e Consiglio Ue.

La scheda del Garante è disponibile QUI.

Garante privacy ha espresso un cauto parere positivo sullo schema di decreto legislativo recante il riordino della disciplina sugli obblighi di pubblicità, trasparenza e informazioni da parte della pubbliche amministrazioni, ma chiede maggiori tutele per i diritti dei cittadini.

Il Garante ha sottolineato che l’applicazione delle disposizioni sulla trasparenza da parte della PA necessita di un approccio equilibrato per salvaguardare l’equilibrio fra privacy e pubblica utilità. Devono essere quindi attentamente valutati i rischi per la vita privata che possono derivare da obblighi di pubblicazione sul web di dati personali non sempre indispensabili a fini di trasparenza. Rischi che emergono ancora di più in considerazione della delicatezza di alcune informazioni e della loro facile reperibilità grazie ai motori di ricerca.

A questo proposito, l’Authority chiede di sviluppare alcuni criteri che possano razionalizzare e rimodulare gli obblighi di pubblicazione in funzione di tre aspetti essenziali: grado di esposizione dei singoli titolari di funzioni pubbliche al rischio di corruzione, funzionalità del dato da pubblicare rispetto alla effettiva necessità di conoscenza da parte dei cittadini e bilanciamento delle esigenze di trasparenza con il diritto alla protezione dei dati.

L’Autority ha poi sottolineato come sia irragionevole estendere automaticamente gli obblighi di trasparenza (come il mantenimento sul web per cinque anni, l’obbligo di indicizzazione, la vigilanza dell’Anac) e le relative sanzioni a tutti i dati, documenti, e informazioni resi pubblici sulla base di obblighi giuridici regolati da specifiche norme di settore, come ad esempio le pubblicazioni matrimoniali, aventi spesso finalità notevolmente diverse.

Alcune modifiche sono state suggerite anche in relazione alla disciplina dell’accesso alle informazioni che, salvo alcune eccezioni, sancisce il diritto di chiunque di accedere a dati e documenti detenuti dalle pubbliche amministrazioni, anche senza motivazione. Nel caso di accesso a dati personali, il Garante propone di accogliere l’istanza solo se funzionale a un interesse ritenuto prevalente rispetto al diritto alla riservatezza, ovvero oscurando i dati personali presenti. L’Autorità suggerisce poi di istituire un regolamento attuativo per l’individuazione delle categorie di dati e documenti suscettibili e propone di escludere l’accesso a dati sensibili, giudiziari o di minori.

Per meglio chiarire il livello di rischio, il Garante cita ad esempio l’accoglimento di una richiesta di accesso alla lista nominativa dei bambini iscritti a una scuola, o l’istanza di accesso a informazioni sulla salute o la vita sessuale dei singoli, detenuti da strutture ospedaliere e di cura.

posted by admin on marzo 9, 2016

Libertà di Internet

(No comments)

L’ICANN, l’ente no profit a supervisione statunitense che assegna gli indirizzi IP, ha proposto al governo degli Stati Uniti di decentralizzare alcune funzioni.

In occasione del suo 55esimo meeting, lInternet Corporation for Assigned Names and Numbers, il regolatore globale responsabile della convalida dei nomi dei domini web, ha approvato un piano sviluppato dalla comunità di Internet internazionale che consegnerà alla comunità globale alcuni dei principali poteri della governance sulla rete, finora appannaggio degli States.

Il processo di “decentramento” delle funzioni di DNS (il Domain Name System di Internet) è stato avviato nel 1998, ma negli anni è stato rallentato dalle preoccupazioni espresse dal Congresso degli Stati Uniti riguardo alla possibilità che Icann potesse diventare l’ostaggio di governi totalitari e repressivi che avrebbero potuto mettere a rischio la liberà di Internet. La nuova proposta, una volta approvata, diventerà operativa a fine settembre.

Internet Corporation for Assigned Names and Numbers (ICANN) Board Chair Dr. Stephen D. Crocker today submitted to the U.S. Government a plan developed by the international Internet community that, if approved, will lead to global stewardship of some key technical Internet functions.
“This plan is a testament to the hard work of the global Internet community and the strength of the multistakeholder model,” said Crocker, who transmitted the plan on behalf of the global community. “The plan has now been sent to the U.S. Government for its review, and assuming it meets the necessary criteria, we will have reached an historic moment in the history of the Internet.”
The plan provides a comprehensive package to transition the U.S. Government’s stewardship of these technical functions, called the IANA (Internet Assigned Numbers Authority), which are critical to the Internet’s smooth operation. It also proposes ways to enhance ICANN’s accountability as a fully independent organization. The transition is the final step in the long-anticipated privatization of the Internet’s Domain Name System (DNS), first outlined when ICANN was incorporated in 1998.
The ICANN Board received the package from the community during its 55th public meeting in Morocco, and today transmitted it to the U.S. National Telecommunication and Information Administration (NTIA).
On 14 March 2014, NTIA announced its desire to transition its stewardship of the IANA functions to the global multistakeholder community. The package is the result of an inclusive, global discussion amongst representatives from government, large and small business, technical experts, civil society, researchers, academics and end users.
“The Internet community has exhibited remarkable dedication to the IANA stewardship transition because we know just how important it is to complete,” said Alissa Cooper, Chair of the IANA Stewardship Transition Coordination Group (ICG) that coordinated the development of the transition proposal. “Internet users the world over stand to benefit from its stability, security, and accountability enhancements to Internet governance once the proposal takes effect.”
The global Internet community has worked tirelessly to develop a plan that meets NTIA’s criteria, logging more than 600 meetings and calls, more than 32,000 mailing list exchanges and more than 800 working hours.
The package combines the technical requirements of a transition coordinated by the IANA Stewardship Transition Group (ICG) and enhancements to ICANN’s accountability identified by the Cross Community Working Group on Enhancing ICANN Accountability (CCWG-Accountability). The two groups were composed of volunteers representing a broad range of interests from the wider multistakeholder Internet community.
“This plan enjoys the broadest possible support from this very diverse community and I’m confident it will meet NTIA’s criteria,” said Thomas Rickert, one of the CCWG-Accountability co-Chairs. “The work of this group shows just how well the inclusive multistakeholder approach is working.”
The U.S. Government will now review the package to ensure that it meets NTIA’s criteria. If approved, implementation of the plan is expected to be completed prior to the expiration of the contract between NTIA and ICANN in September 2016.

“Questo documento è un attestato del duro lavoro della comunità globale di Internet e della forza del modello multi-stakeholder” ha dichiarato Stephen D. Crocker, Presidente dell’ICANN. ”La proposta è stata inviata al governo degli Stati Uniti per revisione e, contando sul fatto che soddisfi i criteri necessari, abbiamo raggiunto un momento cruciale nella storia di Internet”.

La proposta si concentra in particolare sulle funzioni di IANA (Internet Assigned Numbers Authority) che sono alla base del sistema della rete globale. La decisione è il risultato di una discussione internazionale che ha coinvolto un gruppo di lavoro formato da rappresentanti governativi, grandi e piccole imprese, esperti tecnici , società civile, ricercatori, accademici e semplici utenti.

Grazie alla nuova governance per ottenere un nuovo dominio di primo livello (ad esempio .org) non si dovrà più passare al solo vaglio americano ma a quello di una pluralità di soggetti internazionali.

C’è chi ha sottolineato che la proposta potrebbe essere nuovamente fermata dal Congresso americano. Di recente il candidato alle primarie repubblicane, Ted Cruz, insieme a due altri senatori, ha espresso serie preoccupazioni perché l’ente normativo vorrebbe approvare il registro dei domini Internet della Cina.

L’Icann ha avuto problemi con diversi altri Paesi nelle ultime settimane, a proposito del livello del controllo che questi dovrebbero avere sul suo operato. A mettere in allarme il Congresso americano, riporta il Financial Times, non sono soltanto Cina e Russia, ma anche Argentina, Brasile e Francia.

posted by admin on marzo 7, 2016

Eventi

(No comments)

Università LUISS Guido Carli e Università Europea di Roma organizzano il convegno inaugurale della IV edizione del Master Universitario di II livello in Diritto della Concorrenza e dell’Innovazione organizzato congiuntamente dalla LUISS School of Law e dall’Università Europea di Roma. Concorrono all’organizzazione dell’incontro LUISS DREAM, l’Autorità Garante della Concorrenza e del Mercato e l’Accademia Italiana del Codice di Internet.

Dopo i saluti di apertura da parte di Gustavo Ghidini (LUISS) e Alberto Maria Gambino (Presidente dell’Accademia Italiana del Codice di Internet) Michal Gal, direttore del Forum on Law and Markets at the Faculty of Law – Haifa University esporrà un intervento dal titolo ”Competition and innovation in the digital environment”.

L’argomento sarà discusso da Giusella Finocchiaro (Università di Bologna), Marco Gambaro (Università degli Studi di Milano), Antonio Matonti (Confindustria), Vittorio Ragonesi (Corte Suprema di Cassazione), Antonio Nicita (Sapienza Università di Roma), Vincenzo Valentini (Università degli Studi di Enna “Kore”).

Le conclusioni saranno a cura di Valeria Falce (Università Europea di Roma), Presiede e modera Gabriella Muscolo (Autorità Garante della Concorrenza e del Mercato).

Il convegno si terrà il giorno 11 marzo 2016, alle ore 14.00  presso l’Aula Nocco, via Parenzo 11, Roma. La partecipazione è gratuita e il convegno è accreditato presso l’Ordine degli Avvocati di Roma e presso l’Ordine dei Dottori Commercialisti e degli Esperti Contabili di Roma. Per maggiori informazioni ed iscrizioni si rimanda alla pagina dedicata al convegno.

L’Article 29 Working Party ha accolto la pubblicazione dei testi giuridici alla base del cosiddetto Privacy Shield, lo scudo UE-USA per la privacy.

I testi, presentati dalla Commissione europea lo scorso 29 febbraio, comprendono i principi che le imprese sono tenute a rispettare, nonché gli impegni scritti del governo degli Stati Uniti (che saranno pubblicati nel U.S. Federal Register) sull’applicazione dell’accordo, comprese assicurazioni sul rispetto delle garanzie e delle limitazioni in materia di accesso ai dati da parte delle autorità pubbliche.

In accordo con l’art. 30(1)(c) della Direttiva 95/46/CE, l’Article 29 Working Party ha annunciato che procederà con un’analisi molto accurata dei testi e della bozza di “adequacy-decision” della Commissione Europea per determinare il livello di protezione garantito dall’accordo USA-UE Privacy Shield. Il parere del Working Party, composto da rappresentanti degli Stati membri e le autorità europee per la protezione dei dati, sarà determinante per procedere con la decisione finale del collegio.

In quest’ottica, i vari gruppi di lavoro del Working Party si mobiliteranno per soppesare i  livelli di garanzie dell’accordo, sia in considerazione degli aspetti commerciali, sia delle limitazioni alla sicurezza nazionale, all’interesse pubblico e dei processi di enforcement.

Il giudizio del Working Party terrà conto, inter alia, della sentenza della corte di giustizia dell’Unione Europea del 6 ottobre 2015 sul caso Schrems, della giurisprudenza europea sul tema dei diritti umani fondamentali, della lettera del 10 aprile 2014 sul Safe harbor inviata dal Working Party alla Commissione Europea e dei documenti del Working Party relativi ai trasferimenti di dati personali verso paesi terzi.

La bozza di parere del Working Party verrà presentata allla prossima assemblea plenaria del 12 e 13 aprile 2016.

Ultimo capitolo della nostra analisi sul testo dell’emanando Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”. Esaminiamo qui il tema, di grande attualità dei trasferimenti di dati all’estero.

La Proposta di regolamento subordina la legittimità dei trasferimenti di dati verso Paesi extra Ue ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato (art. 41). In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze (rispettivamente, artt. 42 e 44).

Con riguardo alla prima deroga, è la stessa Commissione europea ad aver adottato una serie di pacchetti di “clausole-tipo” sulla scorta dell’art. 26 della direttiva 95/46/CE: attraverso l’inserimento di tali clausole standard nel contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nella Direttiva anche nel Paese terzo importatore. In particolare, la Commissione si è resa promotrice dell’elaborazione di clausole contrattuali tipo attraverso quattro diverse decisioni (rispettivamente, del 15 giugno 2001, 27 dicembre 2001, 27 dicembre 2004 e 5 febbraio 2010) che rivestono una particola importanza nell’ottica di semplificare i rapporti internazionali.

L’adozione di clausole contrattuali tipo non è, tuttavia, l’unico strumento tramite il quale operare legittimamente un trasferimento di dati verso Paesi terzi: infatti, sebbene possano essere impiegate esclusivamente nell’ambito di trasferimenti di dati infra-gruppo, sempre più frequente è il ricorso alle cc.dd. binding corporate rules (BCR), una serie di clausole che stabiliscono principi vincolanti al cui rispetto sono tenute tutte le società appartenenti allo stesso gruppo d’impresa (corporate). In questo caso, le clausole incorporano i principi fondamentali in materia di protezione dei dati personali, come ad esempio i principi di correttezza e legittimità del trattamento, finalità, necessità e proporzionalità dei dati, l’obbligo del titolare di fornire l’informativa, e così via. Tali clausole traggono efficacia dall’autorizzazione del Garante al trasferimento dei dati personali verso Paesi terzi ex art. 44, lett. a) del d.lgs. 196/2003, la quale viene concessa solo a seguito dell’espletamento della procedura a livello europeo, che vede la cooperazione tra le Autorità Garanti dei diversi Stati membri che risultano coinvolti nel flusso transfrontaliero di dati.

Le stesse Autorità Garanti nazionali non possono, tuttavia, adottare provvedimenti contrari ad una decisione di adeguatezza dell’esecutivo europeo, sulla scorta di quanto stabilito dalla Corte di Giustizia europea nella recentissima sentenza Schrems del 6 ottobre 2015 (C-364/14): in altre parole, qualora la Commissione abbia già dichiarato legittimo il trasferimento di dati verso un determinato Paese terzo, l’Autorità Garante nazionale non potrà adottare provvedimenti interni di sospensione o di divieto di trasferimenti di dati nei confronti di quei sistemi terzi già reputati adeguati dalla Commissione.

Ciò non toglie che il Garante possa esaminare le doglianze dei cittadini che lamentino una mancanza di protezione dei propri dati trasferiti in un Paese terzo; in tal caso, qualora le domande risultino fondate, il Garante avrà il dovere di “agire in giustizia” (par. 63-65), ossia di proporre ricorso alle autorità giurisdizionali del proprio Stato membro ai fini di un rinvio pregiudiziale ai giudici europei che esamineranno la validità della decisione di adeguatezza della Commissione.

Per maggiori approfondimenti sul contenuto e sulla portata della decisione della Corte di giustizia sul caso Shrems si rimanda all’analisi di Giusella Finocchiaro.