Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on ottobre 27, 2016

Ecommerce e contrattualistica, Eventi

(No comments)

La 54esima sessione del Gruppo di lavoro sul Commercio elettronico della commissione delle Nazioni Unite sul diritto commerciale internazionale (UNCITRAL) si terrà a Vienna dal 31 ottobre al 4 novembre 20.

L’attività del gruppo di lavoro sarà nuovamente dedicata agli “electronic transferable records” con particolare attenzione alla definizione della bozza di legge internazionale in materia.

Nel corso degli incontri operativi saranno deliberate importanti decisioni ed entro la fine della sessione verrà finalizzato un rapporto dettagliato.

Ulteriori informazioni sulla pagina dell’UNCITRAL dedicata al IV Gruppo di lavoro sul Commercio Elettronico.

Presentiamo qui l’intervista a Giusella Finocchiaro pubblicata sul numero 39/2016 del settimanale Vanity Fair.

Che leggi abbiamo per tutelarci?

«Moltissime. In entrambe le vicende recenti, per esempio, c’è una serie di illeciti civili, dalla violazione della disciplina sulla privacy a quella dei diritti fondamentali della persona. In sede penale si possono configurare ipotesi di vari reati come istigazione al suicidio, interferenze illegali nella vita privata, trattamento di materiale pedopornografico».

Chi denunciare? E con quale efficacia?

«I soggetti contro cui agire sono gli autori, le persone che hanno messo i video online. Poi, naturalmente, si può agire anche contro i provider, le aziende che forniscono l’accesso alla rete, ma a certe condizioni: non hanno l’obbligo di controllare preventivamente ciò che viene messo online, ma sono tenuti per legge a rimuovere contenuti, se c’è un provvedimento dell’autorità giudiziaria o delle autorità competenti».

Ma si riesce a oscurare tutto e per sempre?

«Non si può escludere che il video sia stato scaricato da altri e continui a girare. Naturalmente questi altri compiono a loro volta un illecito. Nei fatti, è una continua rincorsa: nella dimensione digitale, fare molte copie, anche di un messaggio, è facilissimo».

I provider dovrebbero essere più responsabilizzati?

«Sicuramente, ma non con il sistema del controllo, perché è molto difficoltoso. Servirebbe un meccanismo che metta in contatto utente e provider. Perché questo, ricevendo la richiesta di una persona, verifichi e rimuova in tempi molto veloci un contenuto».

Un consiglio per usare bene la rete?

«Non dimenticate mai che entrando in rete si lascia la dimensione strettamente privata e si entra in una di carattere pubblico».

Una recente sentenza della Corte di Giustizia Europea che gli indirizzi IP possono essere considerati come dati personali perché possono essere impiegati per individuare un utente attraverso il ricorso alle autorità o agli ISP provider.

La questione è stata posta nell’ambito di una controversia tra il sig. Patrick Breyer e la Bundesrepublik Deutschland (Repubblica federale di Germania) in merito alla registrazione e alla conservazione dell’indirizzo IP del sig. Breyer in occasione della consultazione di vari siti Internet dei servizi federali tedeschi.

Al fine di contrastare attacchi e identificare i «pirati informatici», nei siti governativi tedeschi gli accessi sono registrati e, al termine della sessione di consultazione, vengono memorizzati dati quali il nome del sito o del file consultato, le parole inserite nei campi di ricerca, la data e l’ora della consultazione, il volume dei dati trasferiti, il messaggio relativo all’esito della consultazione e l’indirizzo IP del computer a partire dal quale è stato effettuato l’accesso.

Il sig. Breyer si è rivolto ai giudici amministrativi tedeschi, chiedendo che alla Repubblica federale di Germania sia vietato conservare gli indirizzi IP. La richiesta è stata rigettata in primo grado ma il giudice di appello ha parzialmente accolto l’istanza condannando la Repubblica federale di Germania ad astenersi dal conservare gli indirizzi IP qualora essi vengano memorizzati unitamente alla data della sessione di consultazione e qualora gli utenti abbiano rivelato la propria identità durante la sessione, anche sotto forma di un indirizzo elettronico.

Secondo la Corte di appello tedesca, dunque, un indirizzo IP dinamico, associato alla data della consultazione, è da considerarsi un dato personale solo nel caso in cui l’utente abbia rivelato la propria identità durante la navigazione, mentre  se un utente non indica la propria identità durante una sessione di consultazione l’indirizzo IP non sarebbe un dato personale perché solamente l’Internet Service Provider può ricollegare l’indirizzo IP al nome di un abbonato.

Opponendosi alla decisione del giudice di appello si sono rivolti al Bundesgerichtshof (Corte federale di giustizia) sia la Repubblica federale di Germania che il sig. Breyer. Quest’ultimo puntava ad un accoglimento integrale della sua domanda inibitoria mentre lo Stato ne chiedeva il rigetto.

Il giudice del rinvio ha precisato che la qualificazione degli indirizzi IP come dati «personali» dipenderebbe dalla possibilità o meno di identificare l’utente e ha posto una controversia dottrinale riguardo alla scelta di un criterio «oggettivo» oppure di un criterio «relativo» per stabilire se una persona sia identificabile. Applicando un criterio «oggettivo», dati come gli indirizzi IP potrebbero essere considerati dati personali anche qualora solamente un terzo sia in grado di determinare l’identità della persona interessata, terzo che, in questo caso, sarebbe il fornitore di accesso a Internet. Secondo un criterio «relativo», invece, questi dati potrebbero essere qualificati come dati personali solo in relazione ad un particolare soggetto, come il fornitore di accesso a Internet, in grado di risalire alla precisa identificazione dell’utente. Di contro, non potrebbero essere considerati dati personali nei confronti di altri organismi, come i gestori di siti Internet, dato che questi non disporrebbero delle informazioni necessarie all’identificazione senza ricorrere a fonti esterne, tranne nel caso in cui l’utente non abbia rivelato la propria identità nel corso della navigazione.

La corte di Giustizia Europea ha innanzitutto rilevato che un indirizzo IP dinamico non costituisce un’informazione riferita a una «persona fisica identificata», dal momento che non rivela direttamente l’identità del proprietario del computer collegato a un sito Internet, né quella di un’altra persona che potrebbe utilizzare detto computer. Tuttavia, ha sottolineato la corte, dalla formulazione dell’articolo 2, lettera a), della direttiva 95/46 risulta che si considera identificabile una persona che può essere identificata non solo direttamente, ma anche indirettamente. Inoltre, il considerando 26 della direttiva 95/46 enuncia che, per determinare se una persona sia identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona.

Secondo la Corte, il fatto che le informazioni aggiuntive necessarie per identificare gli utenti non siano detenute direttamente dai gestori dei siti, ma dal fornitore di accesso a Internet, non pare sufficiente ad escludere che gli indirizzi IP dinamici possano essere considerati dati personali ai sensi dell’articolo 2, lettera a), della direttiva 95/46. Infatti, occorre determinare se la possibilità di combinare un indirizzo IP dinamico con i nominativi detenuti dai fornitori di accesso a Internet costituisca un mezzo accessibile ai gestori di siti. Un’eventualità che non sarebbe ipotizzabile se l’identificazione della persona interessata fosse vietata dalla legge o praticamente irrealizzabile, per esempio a causa del fatto che implicherebbe uno dispendio di tempo, di costo e di manodopera.

Nonostante il diritto nazionale tedesco non consenta agli ISP di trasmettere direttamente le informazioni per identificare una persona a partire da un indirizzo IP, la Corte ha rilevato che esistono strumenti giuridici che consentono ai gestori di siti, in particolare in caso di attacchi cibernetici, di rivolgersi alle autorità affinché queste ottengano tali informazioni dal fornitore di accesso a Internet e per avviare procedimenti penali. Pertanto ne deriva che esistono mezzi che possono essere ragionevolmente utilizzati per identificare, con l’aiuto di altri soggetti, una persona sulla base del suo indirizzo IP.

La Corte di Giustizia Europea ha quindi stabilito che l’articolo 2, lettera a), della direttiva 95/46 dev’essere interpretato nel senso che un indirizzo IP dinamico registrato da un sito costituisce, nei confronti del gestore del sito, un dato personale, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata attraverso il ricorso all’Internet service provider dell’utente.

La sentenza della Corte di Giustizia è disponibile QUI.

posted by admin on ottobre 18, 2016

Miscellanee

(No comments)

Vanity FairPresentiamo un estratto all’intervista di Vanity Fair a Giusella Finocchiaro. La Professoressa è stata invitata a chiarire alcuni aspetti giuridici che sottendono ad alcuni fatti di cronaca legati al tema della privacy online.

I social permettono di scegliere il grado di visibilità dei post, per gli usi come quello del video circolato illegalmente serve il giudice. Spiega come Giusella Finocchiaro, avvocato e prima in Italia a insegnare diritto di internet.

Due casi nelle cronache in appena 24 ore. Il suicidio di una 31enne un cui video hard girava da oltre un anno illecitamente sul web e la vicenda di una 17enne le cui amiche hanno girato e postato un video mentre la ragazza veniva stuprata in una discoteca. Due casi che portano a chiedersi quasi siano i limiti della privacy su internet. Il garante Antonello Soro ha parlato di «gogna cui la rete rischia di esporci in mancanza di una adeguata consapevolezza, da parte degli utenti, della natura di spazio non circoscritto e degli effetti lesivi che può avere una comunicazione violenta o la ferocia nella irrisione degli altri»

Non ha parlato di mancanza di leggi, ma della necessità di «procedure di risposta più tempestive da parte delle diverse piattaforme» e di un altro bisogno fondamentale: «far crescere il rispetto delle persone in rete». L’investimento in educazione digitale è fondamentale anche secondo Giusella Finocchiaro, avvocato e docente a Bologna di diritto privato e diritto di internet, prima cattedra in Italia in questa materia. Perché le leggi ci sono e la via seguita da Tiziana Cantone è quella corretta, ma i tempi restano lunghi e e non tutti ancora sanno come proteggersi.

L’articolo continua su Vanity Fair.it.

posted by admin on ottobre 15, 2016

identità digitale

(No comments)

Accogliendo le richieste di Assoprovider, Confcommercio e Assintel, la Terza Sezione del Tar Lazio ha annullato il regolamento dell’Agenzia per l’Italia Digitale sui requisiti di accreditamento dei Gestori di identità digitale basati sui requisiti di capitale e sull’entità delle polizze assicurative.

Con sentenza n. 10214/2016 il Tar Lazio si è pronunciato sulla richiesta di annullamento del regolamento Agid che definiscele caratteristiche del sistema SPID (sistema pubblico di identità digitale). Il Tar ha accolto parzialmente il ricorso rispetto al tetto di capitale sociale minimo e alla stipula di polizza assicurativa richiesta per l’accreditamento dei gestori di identità digitale.

Per quanto riguarda il capitale sociale minimo l’annullamento del TAR non avrà un impatto specifico in quanto il regolamento non fa alcun riferimento preciso al capitale sociale ma si limita a richiamare i principi contenuti nell’art.10comma 3 DPCM del 24/10/2014 già annullato il 24 marzo 2016 da una sentenza del Consiglio di Stato.

La Presidenza del Consiglio dei Ministri aveva fatto ricorso al Consiglio di Stato dopo la bocciatura del Tar del Lazio, sul tema dell’elevato capitale sociale necessario per poter diventare “Identity Provider Spid”. Il Consiglio di Stato ha invece confermato la decisione del Tar del Lazio che aveva accolto i ricorsi delle Associazioni Assintel e Assoprovider, secondo cui l’applicazione del Decreto avrebbe impedito a molte imprese del settore ICT di concorrere per diventare fornitore del sistema di identificazione. Secondo i ricorrenti, il limite sarebbe stato in contrasto con la normativa antitrust e con il Regolamento Europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.

L’Agid ha sottolineato che comunque per i soggetti che intendono avviare l’attività di gestore dell’identità digitale il nuovo Codice dell’Amministrazione Digitale (CAD) prevede un tetto massimo di capitale sociale di cinque milioni di euro e una graduazione specifica in proporzione al livello di servizio offerto. Sarà compito dell’Agenzia fissare le nuove regole tecniche per l’accreditamento in base alle indicazioni fornite dal nuovo CAD.

Il Tar ha annullato anche il requisito delle “polizze assicurative di importo molto elevato, rapportato al numero di identità digitali gestite, quantomeno laddove non emergono in modo congruo e adeguato le ragioni che giustificano detti importi, in relazione ai rischi che in concreto si corrono con l’attività in esame e ai possibili danni a terzi già prevede l’adozione di rigorose norme di cautela”.

Anche a questo riguardo, tuttavia, l’Agid ha ricordato che per quanto riguarda la stipula di polizze previste per la copertura dei rischi che derivano dall’’attività di identity provider, il nuovo CAD prevede la definizione di una graduazione che possa assicurarne l’adeguatezza in proporzione al livello di servizio offerto dal gestore.

La sentenza del TAR non incide direttamente sugli accreditamenti fatti finora da AGID. I gestori accreditati continuano a svolgere le proprie attività di erogazione delle identità e i Pin rilasciati finora rimangono validi.  Resta inoltre immutata la disposizione della regolamentazione che prevede che i costi dell’accreditamento siano a carico sostanzialmente degli enti accreditati. Rimane concreta la possibilità di ricorso per le imprese che non hanno potuto partecipare alle procedure di accreditamento in virtù dei requisiti dichiarati poi illegittimi.

posted by admin on ottobre 13, 2016

Eventi

(No comments)

Schermata 2016-10-13 alle 15.44.33Il 27 ottobre 2016 l’Accademia delle scienze dell’Istituto di Bologna si terrà la seduta inaugurale dell’anno accademico 2016/2017.

Per l’occasione la Prof.ssa Giusella Finocchiaro terrà un discorso di prolusione inaugurale sulla memoria e l’oblio nel mondo digitale. L’evento sarà aperto da un saluto del Presidente dell’Accademia delle Scienze, Prof. Ferruccio Trifirò, e del Vice Presidente Prof. Giuseppe de Vergottini, non chè dal saluto del Magnifico Rettore dell’Università degli Studi di Bologna Prof. Francesco Ubertini e dal saluto del Segretario Perpetuo Prof. Lucio Cocco.

L’Accademia delle Scienze dell’Istituto di Bologna ha una storia di oltre tre secoli essendo stata fondata nel 1690. Grandi e famosi scienziati italiani e stranieri come Luigi Galvani, Guglielmo Marconi, Albert Einstein, Giovanni Pascoli, Marie Curie, sono stati soci dell’Accademia.

www.accademiascienzebologna.it

posted by admin on ottobre 12, 2016

Miscellanee, Professione forense

(No comments)

L’undici ottobre 2016 sono state pubblicate in Gazzetta Ufficiale le nuove condizioni essenziali e i massimali minimi delle polizze assicurative a copertura della responsabilità civile e degli infortuni derivanti dall’esercizio della professione di avvocato stabilite dal Decreto del ministero della Giustizia del 22 settembre 2016. Saranno operative tra un anno.

L’assicurazione dovrà coprire la responsabilità civile dell’avvocato per tutti i danni – patrimoniale, non patrimoniale, indiretto, permanente, temporaneo, futuro - che dovesse colposamente causare a terzi nello svolgimento dell’attività professionale.

Allo stesso modo dovrà essere coperta la colpa grave del legale e la responsabilità per i pregiudizi causati, oltre ai clienti, anche a terzi, esclusi i collaboratori ed i familiari dell’assicurato, nonché la responsabilità civile derivante da fatti colposi o dolosi di collaboratori, praticanti, dipendenti, sostituti processuali.

Il decreto ha stabilito che per “attività professionale” deve intendersi l’attività di rappresentanza e difesa, gli atti ad essa relativi, la consulenza od assistenza stragiudiziali, la redazione di pareri o contratti e l’assistenza del cliente nello svolgimento delle attività di mediazione o di negoziazione assistita.

La polizza dovrà includere anche la previsione di una retroattività illimitata e un’ultrattività almeno decennale per gli avvocati che cessano l’attività nel periodo di vigenza dell’assicurazione.

I massimali della copertura assicurativa si differenziano per fascia di rischio partendo da 350mila euro e salendo in base al fatturato. In particolare, si segnala la suddivisione in 6 categorie di fasce di rischio (dalla A alla F), suddivise in base alla tipologia di attività (libero professionista, studio associato, società tra professionisti) e in base al fatturato riferito all’ultimo esercizio.

Il Decreto del 22 settembre entrerà in vigore il 12 ottobre 2017, decorso, ossia, un anno dalla relativa pubblicazione in Gazzetta.

Entro tale data, le eventuali polizze stipulate in epoca antecedente dovranno essere adeguate alle nuove disposizioni.

telefonoSecondo l’Authority gli attuali strumenti non sono in grado di tutelare adeguatamente gli abbonati da forme invasive e moleste di marketing telematico.

A seguito di innumerevoli interventi del Garante privacy, nonché della recente sentenza della Corte di Cassazione sulle c.d. telefonate mute, il Presidente del Garante privacy, Antonello Soro, ha nuovamente ribadito l’esigenza di tutelare in maniera più incisiva i cittadini nei confronti di pratiche commerciali telefoniche sempre più invasive della vita privata e della quiete domestica degli utenti. Il Registro delle Opposizioni, come strumento di contrasto alle telefonate indesiderate, non sembra infatti aver conseguito il risultato sperato. Pochi sono attualmente gli utenti iscritti rispetto al numero effettivo di utenze, limitate le condizioni di iscrizione (solo telefoni fissi presenti negli elenchi) e pressoché inesistenti le responsabilità in capo ai call center che, incuranti del Registro, continuano a contattare i numeri telefonici registrati.

Per rafforzare le tutele dei cittadini e responsabilizzare maggiormente i promotori di campagne pubblicitarie si prospettano due percorsi da seguire. Da un lato, il Garante puntualizza la necessità di riformulare la normativa in materia di telemarketing, ampliando il novero di utenze iscrivibili nel Registro delle Opposizioni, includendo tutta la telefonia fissa o mobile, anche se non iscritta negli elenchi. Ritiene inoltre auspicabile l’introduzione di un chiaro regime di responsabilità tra il soggetto che materialmente chiama il cittadino (di solito il call center) e l’azienda per conto della quale viene effettuata la chiamata. Dall’altro lato, sembra essenziale promuovere misure che aumentino il grado di consapevolezza degli utenti sulla gestione dei propri dati, sensibilizzando al contempo le stesse imprese, anche attraverso la previsione di piani di incentivazione a favore delle società “diligenti”.

Da ultimo il Garante evidenzia che una riforma delle regole di settore gioverebbe peraltro gli stessi call center. Infatti, incoraggiando i committenti di campagne pubblicitarie a selezionare call center qualificati e affidabili, si eviterebbe di penalizzare quanti nel settore operano correttamente, portando ad una generale riqualificazione dello stesso lavoro degli operatori.

NOTA: Il magazine canadese Nymity, specializzato in diritto di Internet e privacy ha pubblicato uno speciale sulla sentenza della Corte di Cassazione italiana numero 2196 del 4 febbraio 2016 sul tema delle cosiddette “telefonate mute” le telefonate automatiche inoltrate dai sistemi computerizzati di telemarketing. Lo speciale è accompagnato da un’intervista a Giusella Finocchiaro che contestualizza il fenomeno da un punto di vista giuridico e ne analizza i risvolti in tema di privacy e sicurezza.

Una panoramica del tema è stata precedentemente pubblicata in QUESTO POST.

Lo speciale di Nymity è disponibile QUI. Cliccando QUI è possibile scaricare il pdf con l’intervista a Giusella Finocchiaro. Entrambi i documenti sono in lingua inglese.

whatsappIl Garante per la protezione dei dati personali ha avviato un’istruttoria a seguito della modifica della privacy policy effettuata da WhatsApp a fine agosto.

La nuova informativa privacy di Whatsapp non sfugge al vaglio dell’Autorità Garante. A seguito dell’acquisizione della società di messaggistica da parte di Facebook, è stata infatti disposta la condivisione dei dati personali degli utenti con il noto social network per finalità presumibilmente di marketing.

Il problema non risiede nello scambio di dati tra le due società appartenenti al medesimo gruppo imprenditoriale, possibilità tra l’altro prevista sia dalla direttiva 96/46/CE in materia di protezione dei dati personali sia dal recente Regolamento generale europeo n. 679/2016 ove vengono espressamente definiti le regole e i limiti per il trasferimento di dati infragruppo.

Ciò che preoccupa il Garante è la profilazione che scaturirebbe dall’associazione dei dati degli utenti di Whatsapp (come ad esempio il numero di telefono) con quelli di Facebook. Una tale correlazione permetterebbe infatti non solo di inviare pubblicità e annunci mirati in relazione agli interessi degli utenti, ma anche di individuare più facilmente gli utenti stessi e la rispettiva cerchia di contatti. Sotto il profilo strettamente operativo, l’effetto di tale associazione di dati potrebbe essere quello di rendere vane talune misure volte a garantire ad esempio la non rintracciabilità dei soggetti, come l’uso di pseudonimi ovvero la scelta di non rendere visibile il proprio profilo.

A ciò si aggiunge la vaghezza dell’informativa – rilevata dal Garante – che non risulta evidenziare in modo chiaro quale siano le finalità del trattamento e la tipologia di dati comunicati. Inoltre, il Garante si riserva di esaminare le modalità di acquisizione del consenso degli utenti alla comunicazione dei dati dal momento che attualmente Whatsapp propone solo una scelta preselezionata di accettazione delle nuove condizioni.

Oggetto dell’istruttoria del Garante saranno, infine, anche le misure volte a garantire l’esercizio dei diritti degli utenti, considerato che – come si legge nel comunicato stampa dell’Autorità – “dall’avviso inviato sui singoli device la revoca del consenso e il diritto di opposizione sembrano poter essere esercitati in un arco di tempo limitato”.

La quinta edizione del salone europeo della ricerca scientifica e tecnologica ha registrato numeri record, con una presenza che, secondo gli organizzatori, ha superato i 50mila visitatori.

Grande riscontro di pubblico anche per il convegno dal titolo “Il diritto digitale: la nuova circolazione dei beni” che ha visto la partecipazione dei massimi esperti della materia quali Giusella Finocchiaro, docente di Diritto privato e di Diritto di internet, Università di Bologna; Alberto Maria Gambino, Prorettore Università Europea di Roma e presidente IAIC-Italian Academy of the Internet Code; Dianora Poletti, docente di Diritto privato e di Diritto dell’Informatica, Università di Pisa, con l’introduzione e la moderazione di Fabio Padovini, docente di Diritto civile, Università di Trieste.

Il resoconto del convegno è disponibile sul sito di Diritto Mercato e Tecnologia.