Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il 24 marzo 2016 il Gruppo di Alto livello della Commission’s Scientific Advice Mechanism (SAM) dell’Unione Europea ha pubblicato un’opinione sulla cybersicurezza con raccomandazioni su come migliorare la sicurezza degli accessi online per privati e aziende europee.

In considerazione dell’aumento dei cyber-attacchi e della crescente complessità che mettono in atto, il tema della cyber-sicurezza è diventato cruciale per il Mercato Unico Digitale. In quest’ottica lo studio scientifico indipendente offre contenuti di supporto per progettare le future azioni legislative.

Il documento risponde alla necessità di rendere più sicuri i sistemi di sicurezza, dare più potere agli utenti e rafforzare l’industria della sicurezza informatica europea e migliorare il coordinamento delle azioni di contrasto agli incidenti informatici. Si auspica una governance globale in materia di cybersicurezza in cui l’Unione Europea possa giocare un ruolo di guida.

Il documento è disponibile sulla pagina Ricerca e Innovazione del sito web della Comunità Europea.

posted by admin on marzo 27, 2017

Miscellanee

(No comments)


siae
Segnaliamo che è stato pubblicato in Gazzetta Ufficiale il d.lgs. 15 marzo 2017, n. 35 di attuazione della direttiva 2014/26/UE sulla gestione collettiva dei diritti d’autore e dei diritti connessi e sulla concessione di licenze multiterritoriali per i diritti su opere musicali per l’uso online nel mercato interno.

Il decreto stabilisce i requisiti necessari per garantire il buon funzionamento della gestione dei diritti d’autore e dei diritti connessi da parte degli organismi di gestione collettiva e delle entità di gestione indipendente, nonché i requisiti per la concessione di licenze multiterritoriali da parte di organismi di gestione collettiva dei diritti d’autore per l’uso online di opere musicali nel mercato interno.

Il provvedimento entrerà in vigore in data 11/04/2017. QUI il link alla Gazzetta Ufficiale.

Dal confronto e lavoro di analisi portato avanti dai protagonisti del Cantiere Documenti digitali nel corso del 2016, nasce il report “Documenti: definire e sostenere il digitale“.

Il tavolo di lavoro, coordinato da Massimo Laurenzi, con la supervisione scientifica della Prof.ssa Giusella Finocchiaro, ha visto la partecipazione di dirigenti, referenti per i progetti di dematerializzazione e responsabili della gestione documentale della PA centrale e locale, esponenti del mondo dell’accademia e della ricerca, rappresentanti delle associazioni professionali della conservazione e dell’archivistica e dell’azienda partner del cantiere.

Il gruppo ha dato vita ad un ricco e articolato dibattito, che ha ovviamente preso le mosse dall’impatto del nuovo Codice dell’amministrazione digitale sulle PA italiane, dal punto di vista normativo, tecnologico e organizzativo, focalizzandosi in particolare su alcuni dei punti più controversi della riforma.

Seguono poi alcune riflessioni sugli aspetti legati alle modalità di ricezione e spedizione dei documenti nelle comunicazioni tra PA e cittadini e sulla rivisitazione dei manuali di gestione delle amministrazioni pubbliche, partendo dall’analisi di alcune best practice. Per ciascun ambito vengono proposte alcune raccomandazioni prioritarie che FPA offre al decisore politico e ai responsabili di questa complessa policy.

Il volume è gratuito, è necessario essere iscritti alla community di FPA, per scaricarlo CLICCARE QUI. In caso di estrazione e utilizzo di parti della ricerca si prega di citare la FONTE: Documenti: definire e sostenere il digitale – dicembre 2016, Edizioni ForumPA

Recentemente la Corte di Cassazione si è trovata ad affrontare il tema della qualificazione della causale di bonifico come dato sensibile ove indichi indennizzi elargiti per malattia o invalidità, esplicitati della dicitura “assegno ex l. 210/1992”, legge che riconosce le indennità a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazioni di sangue o, in caso di decesso, in favore dei congiunti delle vittime.

Sul punto i giudici della Suprema Corte si sono espressi a più riprese con orientamenti contrastanti. In tutti i casi esaminati la questione concerneva i rapporti tra la Regione, erogatrice dell’indennizzo e ordinatrice del bonifico, e la banca del soggetto menomato o contagiato, ricevente il bonifico per conto del suo correntista.

Nella prima pronuncia risalente al 2014 (sentenza del 19 maggio 2014, n. 10947), la Corte ha ritenuto la causale di bonifico recante i menzionati riferimenti legislativi alla stregua di un dato sensibile, evidenziando l’illecito trattamento dei dati da parte della Regione e della banca posto che nel diffondere e conservare tali dati non avevano adottato idonee tecniche di cifratura o numeri di codici non identificabili, come prescritto dall’art. 22, 6° comma del Codice in materia di protezione dei dati personali.

Nella seconda pronuncia – più articolata della precedente – (sentenza del 20 maggio 2015, n. 10280) i giudici supremi hanno ribaltato l’orientamento seguendo un iter decisionale del tutto opposto. In primo luogo, hanno negato alla causale di bonifico così compilata la natura di dato sensibile, rilevando come la legge a cui si faceva riferimento prevedeva che beneficiari dell’indennizzo potessero essere, alternativamente, i soggetti direttamente colpiti o anche i loro familiari. Dal momento che l’elargizione dell’assegno non dipendeva dalla malattia del soggetto che materialmente riceveva il bonifico, i giudici concludevano che l’informazione non fosse sufficiente a rivelare lo stato di salute del beneficiario e, dunque, non fosse dato sensibile.

In secondo luogo, secondo la Corte di Cassazione, non poteva parlarsi di “diffusione” di dati da parte della Regione alla banca giacché tale – a norma dell’art. 4, lett. m) del Codice – può considerarsi solo la comunicazione a soggetti indeterminati, mentre nel caso di specie la comunicazione avveniva solo nei confronti della banca del correntista beneficiario dell’indennizzo.

I giudici hanno poi rilevato che il riferimento all’art. 22, 6° comma del Codice Privacy era privo di fondamento posto che, come correttamente riportato, l’adozione di tecniche di cifratura risulta applicabile solo a casi specifici ove i dati provengano da elenchi o registri e la finalità sia quella di gestione ed interrogazione degli stessi. Neppure la banca poteva essere considerata onerata dell’adozione di tali misure per tre ragioni: la disposizione in oggetto si applicava ai soli soggetti pubblici; in capo ai soggetti privati sorgeva l’obbligo di cifratura solo per i dati idonei a rivelare lo stato di salute e se trattati con strumenti elettronici, condizioni entrambi assenti nel caso di specie; la comunicazione al proprio cliente di dati personali riguardanti esso stesso non costituiva trattamento.

Secondo la Cassazione, infine, la banca operava come rappresentante del correntista che riceveva il pagamento della Regione per conto di quest’ultimo: l’imputazione del pagamento dunque valeva come compiuta dal debitore (Regione) direttamente al creditore (beneficiario dell’assegno).

La Suprema Corte ha così ritenuto legittime le condotte della Regione e della banca, non ravvisando alcun trattamento illecito di dati personali.

Il tema è tornato recentemente all’attenzione della Prima sezione civile della Corte di Cassazione, la quale con due ordinanze interlocutorie (rispettivamente nn. 3455 e 3456 depositate il 9 febbraio 2017) ha demandato alle Sezioni Unite il compito di sanare il contrasto giurisprudenziale in oggetto. In tale occasione, senza aderire all’uno o all’altro orientamento, la Cassazione si è solo espressa circa la qualificazione dell’indicazione dei riferimenti normativi nella causale del bonifico come “dato sensibile”, precisando che, sebbene il pagamento possa avvenire tanto nei confronti dei congiunti quanto del soggetto contagiato o menomato, solo verso quest’ultimo il pagamento sarebbe corrisposto in rate (mentre ai congiunti sarebbe corrisposta una somma una tantum). Tale forma di pagamento sarebbe dunque idonea a identificare inequivocabilmente il soggetto destinatario del pagamento come vittima di contagio o menomazione e, per tale motivo, l’indicazione del pagamento dei ratei costituirebbe dato sensibile.

Si rimane dunque in attesa di conoscere come le Sezioni Unite risolveranno il contrasto giurisprudenziale appena descritto e, in particolare, se daranno un’interpretazione estensiva o restrittiva al concetto di dato sensibile.

Presentiamo qui un estratto dell’articolo di Giusella Finocchiaro pubblicato sul magazine online “Cantieri della PA digitale” in data 8 marzo 2017.

Il 2016 è stato un anno decisivo per il consolidamento del processo di digitalizzazione sia a livello europeo, sia a livello nazionale. La recente riforma del Codice dell’Amministrazione digitale rappresenta il primo segno di recepimento di quelle spinte europee che ormai da tempo promuovono e sostengono l’ambizioso progetto di un’evoluzione full digital in diversi settori. La dematerializzazione dei processi documentali e conservativi, interni ed esterni alle pubbliche amministrazioni, si inserisce in questo articolato percorso di digitalizzazione, percorso che in Italia è stato fino ad oggi frenato a causa delle incertezze normative e dalle lentezze burocratiche.

Nella ridefinizione del quadro normativo italiano ha giocato un ruolo fondamentale l’opera di coordinamento con il Regolamento e-IDAS sull’identificazione digitale e sulle firme elettroniche.

Innanzitutto, muta la definizione di documento informatico e viene assegnato un nuovo valore giuridico al documento con firma elettronica.

Viene rafforzato l’approccio digital first, finalizzato al definitivo passaggio dal cartaceo al digitale dell’intero ciclo di vita del documento, dalla creazione, alla gestione e infine alla conservazione.

Ancora, lo SPID, il sistema di identificazione digitale, assume un ruolo fondamentale nella formazione di atti giuridici in quanto nuovo strumento di acquisizione della volontà dell’utente.

Sebbene sia ancora presto per valutare l’adeguatezza delle modifiche apportate, ciò che già da adesso appare necessario è un cambiamento che non sia circoscritto al testo della norma, ma che riguardi lo stesso approccio alla materia. Un approccio che ridefinisca i paradigmi e modelli di gestione e non si limiti solo a tradurre in digitale strumenti analogici e documenti cartacei.

Sono molte, infatti, le questioni ancora aperte che porteranno a una riflessione nel corso del 2017.

Continua su “Cantieri della PA digitale”.

posted by admin on marzo 10, 2017

Miscellanee

(No comments)

euro-76019_640Il Garante Privacy ha sanzionato al pagamento di oltre 11 milioni di euro cinque società di money transfer che per aggirare la normativa antiriciclaggio utilizzavano  in modo illecito i dati personali di più di mille utenti .

Le società raccoglievano e trasferivano in Cina somme di denaro riconducibili a imprenditori cinesi, in violazione non solo della normativa antiriciclaggio, ma anche di quella sulla protezione dei dati personali. Attraverso la tecnica del frazionamento (dividendo cioè le somme di denaro in più operazioni sotto la soglia prevista dalla normativa antiriciclaggio) attribuivano i trasferimenti di denaro a più di mille clienti del tutto ignari, utilizzando illecitamente i loro dati.

Le gravi violazioni sono emerse nel corso di un’indagine della Procura di Roma. Il Nucleo di polizia valutaria della Guardia di finanza su delega della magistratura ha infatti accertato che i nominativi ai quali erano intestati i trasferimenti di denaro non corrispondevano ai reali mittenti e, in alcuni casi, i moduli risultavano compilati da persone decedute o inesistenti, oppure non firmati. I dati personali utilizzati erano tratti da fotocopie di documenti di identità, conservati in appostiti raccoglitori da utilizzare all’occorrenza, e gli invii di denaro venivano effettuati a pochi secondi l’uno dall’altro, per importi appena sotto la soglia e indirizzati allo stesso destinatario.

La violazione della normativa sulla privacy ha determinando l’intervento del Garante che, tenuto conto della gravità delle violazioni commesse dalle società, del numero delle persone coinvolte i cui dati sono stati trattati senza consenso e della rilevanza della banca dati, ha inflitto una sanzione di 5.880.000 euro alla multinazionale, e di  1.590.000, 1.430.000, 1.260.00 e 850.000 euro rispettivamente ad ognuna delle altre quattro società, per un totale che supera gli 11 milioni.

posted by admin on marzo 6, 2017

Eventi

(No comments)

Schermata 2017-03-09 alle 13.36.12Nella cornice della II edizione Master di II Livello “Internet ecosystem: governance e diritti” del Dipartimento di Giurisprudenza dell’Università di Pisa, venerdì 10 marzo dalle ore 14,30 alle 9,15 Giusella Finocchiaro terrà la lezione “Privacy and data protection. Profili giuridici e applicazioni pratiche”.

Con un approccio interdisciplinare a Internet, il master intende formare operatori in grado di affrontarne in modo critico le problematiche giuridiche, economiche, sociali e tecniche. Tre sono gli obiettivi di fondo del corso: interconnessione delle conoscenze, acquisite in studi universitari di diverso orientamento o in pregresse esperienze lavorative; sviluppo delle capacità critiche riferite alla rete nella sua globalità, sul presupposto che la complessità di Internet sfugge a un inquadramento fondato sulle competenze acquisibili nei singoli corsi universitari; specializzazione sulle problematiche innescate dalla rete e dal suo sviluppo, grazie all’approfondimento dei singoli temi proposti.

L’approccio interdisciplinare e la presenza dei più qualificati docenti di varie aree esperti della Rete nonché di professionisti del settore mirano all’emersione di una piattaforma di conoscenze condivise tra i partecipanti di diversa formazione.

Il Master è convenzionato con la Fondazione Scuola Forense Alto Tirreno per il riconoscimento delle attività di tirocinio svolte negli studi professionali iscritti agli Ordini di: Pisa, Lucca, Livorno, Massa Carrara e La Spezia.

Per ulteriori informazioni si rimanda alla pagina web del Master: internetecosystem.it

posted by admin on marzo 3, 2017

Eventi

(No comments)

Il 2 marzo si è tenuto a Roma il convegno “Autorità pubblica e Autodisciplina: gli strumenti di tutela nei “digital media”. Obiettivo dell’iniziativa: fare il punto sul quadro normativo per la tutela dei consumatori nel mercato della pubblicità online e in relazione ai messaggi pubblicitari del gioco d’azzardo via web.

Il convegno, organizzato dall’Autorità per le garanzie nelle comunicazioni e dall’Istituto dell’Autodisciplina Pubblicitaria, è stato l’occasione per un confronto sulle emergenze legate al mondo dell’informazione e degli operatori del web, sintetizzate dal Presidente dell’Agcom Angelo Marcello Cardani che ha dato l’avvio ai lavori: “Il dibattito sulle fake news è diventato planetario; la cybersicurezza, la profilazione dell’utente, le truffe informatiche, sono problemi che coinvolgono direttamente anche gli investitori e gli operatori della pubblicità in rete. Servono correttezza, trasparenza, autocontrollo. Ed il modello dell’ autoregolamentazione, adottato nella seconda metà degli anni ’60, può e deve giocare ancora oggi un ruolo decisivo sul fronte della pubblicità nei digital media”.

Importante quindi il ruolo dello Iap, l’Istituto di autodisciplina pubblicitaria, rappresentato al convegno dal suo Presidente Mario Barbuto e da Giusella Finocchiaro, Membro del Giurì, l’organismo che ha il compito di dirimere eventuali controversie con decisioni inappellabili in materia di pubblicità.

Sul tema della tutela della qualità dell’informazione online, Giusella Finocchiaro ha ricordato, oltre al tema delle Fake news, le nuove forme di advertising tra cui il “native advertising”, una nuova forma del classico “redazionale” che è necessario far riconoscere come messaggio commerciale, a tutela dell’informazione.

Il resoconto del convegno è disponibile sul magazine Key4Biz, a QUESTO LINK.