Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 18 luglio 2017 ha pubblicato un’analisi di Giusella Finocchiaro sulle implicazioni giuridiche correlate alla pubblicazione online non autorizzata di foto reperite da una casella email.

Non è possibile e non è corretto commentare sotto il profilo tecnico-giuridico una sentenza di cui non si conoscono le motivazioni, che saranno depositate entro 90 giorni.

Per questo dobbiamo attendere. Si legge che il Tribunale di Milano avrebbe assolto tre blogger accusati dalla Procura di avere abusivamente sottratto fotografie della festa di George Clooney ed Elisabetta Canalis dall’account di posta elettronica di una delle invitate all’evento. Ma non conosciamo in dettaglio i fatti. I reati contestati erano in particolare l’accesso abusivo al sistema informatico, l’intercettazione illecita di comunicazioni e la violazione di corrispondenza. Si è letto dalle prime indiscrezioni di stampa che il giudice avrebbe in parte disposto l’assoluzione perché il fatto non sussiste e in parte qualificato la condotta nel reato meno grave di rivelazione di corrispondenza altrui assolvendo gli imputati perché, in mancanza di querela delle parti offese, il reato non sarebbe procedibile. DUNQUE, in parte, essenzialmente motivazioni tecniche. Non conosciamo neppure le prove che sono state prodotte in giudizio e la produzione di prove telematiche nel processo costituisce un terreno ancora in piena esplorazione. Certo una considerazione di carattere generale deve essere fatta: Internet non è il Far West e le regole valgono tutte anche online. Comprese le regole processuali. Le stesse norme che si applicano fuori dalla Rete si applicano nella Rete, con le difficoltà che a volte questo comporta (basti ricordare il caso di Tiziana Cantone). Dunque se i giudici hanno assolto non possiamo che ritenere che ci siano argomentazioni tecnicogiuridiche adeguate. Ma certamente la diffusione non autorizzata di foto o la violazione di corrispondenza, adeguatamente provate in giudizio, sono illeciti dentro e fuori da Internet.

Il 22 luglio 2017 il Sole 24 Ore ha pubblicato un’analisi di Giusella Finocchiaro e Max Bergami sulle implicazioni in materia di responsabilità sulla sicurezza in capo alle imprese introdotte dal nuovo regolamento europeo sulla privacy.

La protezione dei dati personali basata sulla valutazione del rischio e sui concetti di «Privacy by design and by default» è ora legge. È quanto prescrive il cosiddetto Gdpr (General data protection regulation) cioè il nuovo regolamento europeo in materia di protezione dei dati personali (n. 679/2016) che sarà applicato da tutti gli stati membri dell’Unione europea a partire dal 25 maggio 2018.

A differenza delle direttive, i regolamenti non richiedono provvedimenti legislativi da parte degli stati membri. Le infrazioni saranno sanzionate pesantemente, potendo raggiungere ammende fino a 20 milioni di euro o fino al 4 per cento del fatturato annuale. Si tratta di una rivoluzione di grande portata perché ribalta completamente l’approccio alla sicurezza rispetto alla normativa attuale. Il Gdpr non prescrive quali siano le misure da adottare, dettando un elenco di adempimenti; al contrario, lascia all’impresa o all’ente titolare del trattamento, la valutazione dei rischi, del valore dei dati, della loro criticità e, dunque, la scelta delle misure di sicurezza da adottare per proteggerli; queste misure andranno poi sottoposte a un continuo monitoraggio.

La definizione di dati personali della direttiva è molto ampia e include «ogni informazione relativa a un individuo che riguardi la sua vita privata, professionale o pubblica. Può essere qualunque cosa, da un nome, una foto, un indirizzo email, informazioni bancarie, i post sui social network, le informazioni mediche a un indirizzo Ip di un computer».

Si tratta di una riforma che unifica le regole degli stati europei, superando inutili norme burocratiche, oggi diverse da paese a paese, la cui applicazione ha un costo stimato in circa 2,3 miliardi di euro all’anno. Le imprese e gli altri enti saranno ritenuti direttamente responsabili per la gestione dei dati. Tra i vantaggi, ogni organizzazione avrà relazioni con un’unica autorità nazionale per la protezione dei dati, nel paese in cui ha il centro dei propri interessi, anche per le attività svolte all’estero e per i dati riguardanti i cittadini degli altri paesi; si tratta di una norma che si applica anche ai soggetti extra-europei che operano nell’Unione europea.

Sostanzialmente viene rinforzato il concetto secondo cui i proprietari dei dati sono gli individui che possono in questo modo avere maggiore trasparenza e chiedere di trasferire i propri dati o di cancellarli più agevolmente.

A prima vista questo regolamento potrebbe esser visto come un inasprimento delle norme per le imprese, mentre in realtà rappresenta una grande semplificazione e soprattutto un’opportunità per strutturare meglio le proprie attività in questo settore e costruire solide relazioni di fiducia con i propri clienti. Forse non servirebbe neppure ricordare che la rapida diffusione delle tecnologie digitali, dalla manifattura ai servizi, dall’education alla sanità, dalla comunicazione alla mobilità, pone i dati in una posizione centrale nella società contemporanea. Così come è avvenuto per la globalizzazione, anche in questo caso non si tratta più di un dibattito ideologico tra chi è favorevole o contrario, ma semplicemente un fatto da affrontare con lungimiranza, senso etico e illuminato pragmatismo.

Il principio di «Privacy by design and by default» prevede che la tutela della privacy sia incorporata nella progettazione dei processi aziendali, considerando le implicazioni per l’utente non come fatto accessorio, ma a partire dalle modalità con cui vengono concepiti i servizi o le modalità di utilizzo dei prodotti. Le organizzazioni saranno chiamate ad analizzare i rischi, decidere come affrontarli mediante processi affidabili che dovranno poi essere implementati, presidiati e monitorati.

Evidentemente ci sarà molto lavoro da fare, ma soprattutto sarà necessario immaginare un nuovo approccio interdisciplinare che riesca a coniugare competenze di business, organizzative, tecnologiche e giuridiche. Si tratta di una sfida per le imprese, per le pubbliche amministrazioni e per le organizzazioni no profit, soprattutto per quelle che non hanno per Dna una cultura avanzata della sicurezza. Infatti, questa attività non potrà coinvolgere solo chi si occupa di Ict, legale e compliance, ma anche chi gestisce il core business.

Per quanto la normativa europea possa introdurre elementi nuovi, gli operatori di grandi dimensioni sono tendenzialmente più attrezzati, mentre quelli di dimensioni medie o piccole si troveranno generalmente di fronte a nuove attività che potrebbero però consentire anche il perseguimento di un nuovo vantaggio competitivo, nella misura in cui non saranno viste come adempimenti, ma come modalità di consolidamento organizzativo e potenziamento della propria posizione sul mercato.

Servono nuovi percorsi formativi che consentano di affrontare questo tema in modo rotondo e offrano anche la possibilità di apprendere dal confronto con esperienze diverse. In questa prospettiva, sono particolarmente efficaci i percorsi anticonvenzionali e collaborativi che aiutino a rinforzare la competitività del sistema produttivo, in modo che intelligenza artificiale e intelligenza umana facciano squadra per migliorare la società contemporanea.

Vi proponiamo qui l’articolo di Giusella Finocchiaro, pubblicato su Agenda Digitale il 14 luglio 2017.

Si parla sempre di più del cosiddetto GDPR (General Data Protection Regulation) cioè del nuovo Regolamento europeo n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Ma non abbastanza del nuovo approccio alla sicurezza che caratterizza il Regolamento, ribaltando la precedente concezione.

Come è noto, il Regolamento sarà applicabile dal 25 maggio 2018, data in cui la direttiva 95/46/CE – che dettava il quadro normativo precedente – cesserà di aver effetto. Alla base della spinta riformatrice la volontà (e la necessità) di uniformazione del diritto tra gli Stati membri, nonché l’aspirazione, ancora una volta ribadita, alla creazione di un mercato unico digitale europeo.

Il Regolamento ha innovato l’assetto normativo in materia di protezione dei dati personali, cercando di adeguarsi alle esigenze di una realtà digitale e interconnessa. D’altronde, il modello normativo precedente si è rivelato obsoleto, giacché individuava un’unica tipologia di scambio di dati: dall’interessato al titolare del trattamento. Al contrario, oggi il modello è quello di condivisione e di cogestione di dati e di informazioni e questo ha imposto una revisione del paradigma non solo organizzativo ma, appunto, regolatore.

Trasparenza del trattamento, ripartizione delle responsabilità, maggiori diritti per gli interessati, inasprimento del profilo sanzionatorio (le sanzioni arriveranno fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo): sono questi alcuni punti focali della riformata disciplina in materia di privacy che il Regolamento rende più stringente.

Tuttavia, poco si parla ancora del nuovo approccio alla sicurezza che viene sostanzialmente ribaltato. Il nuovo Regolamento non detta più un elenco di specifiche misure da adottare. In questo ambito, a regole dettagliate e circostanziate il Regolamento preferisce un approccio di largo respiro che ben possa applicarsi anche alle future e innovative misure di sicurezza che gli sviluppi tecnologici in costante evoluzione saranno in grado di realizzare. Per tale ragione, il Regolamento lascia al titolare del trattamento ampia discrezionalità in sede di determinazione di tali misure. Un unico vincolo: la valutazione dei rischi unitamente alla considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento.

In altre parole, il titolare deve procedere all’individuazione delle misure di sicurezza sulla base delle specificità del trattamento che si appresta ad effettuare. Vero è infatti che i rischi cui son esposti i dati sono intrinsecamente correlati alle caratteristiche del trattamento: il trattamento di dati dei dipendenti di una impresa a conduzione familiare non è paragonabile al trattamento sistematico di dati sensibili effettuato da una struttura sanitaria pubblica operante a livello nazionale.

Si tratta, dunque, di una valutazione case-by-case, cui si aggiunge un ulteriore requisito: la valutazione deve essere preliminare rispetto al trattamento stesso. Occorre cioè effettuare in primo luogo un’analisi dei flussi informativi e una valutazione dei rischi che incombono su di essi, per decidere poi quali misure adottare. La scelta delle misure di sicurezza interverrà dunque solo a seguito dell’analisi della tipologia di dati oggetto del trattamento e della valutazione dell’impatto delle operazioni su di essi.

Continua su Agenda Digitale.it.

posted by admin on luglio 13, 2017

Ecommerce e contrattualistica

(No comments)

La Commissione Uncitral riunita per la cinquantesima sessione annuale (di cui ha celebrato l’anniversario) ha adottato il modello di legge sugli Electronic Transferable Records (in italiano: titoli di credito dematerializzati) frutto del lavoro del IV Working Group dedicato al Commercio Elettronico.

Il Model Law rappresenta un altro importante tassello nello sviluppo del commercio elettronico e rimuove gli ostacoli giuridici alla circolazione internazionale dei titoli di credito dematerializzati. È basato sui principi Uncitral della neutralità tecnologica e dell’equivalenza funzionale. Presidente del WG sul commercio elettronico che ha redatto il Model Law, la prof. Giusella Finocchiaro.

Il Working Group si è occupato del processo di definizione e regolamentazione degli electronic transferable records dal 2011 al 2016 quando, durante la sua 45esima sessione di lavoro, ha chiesto al Segretariato Uncitral di valutare il modello di legge e la documentazione allegata e di trasmettere questi testi alla Commissione,. Il 13 luglio 2017 la Commissione ha approvato e  adottato il modello di legge.

Il Comunicato Stampa ufficiale è pubblicato sul sito delle informazioni ufficiali delle Nazioni Unite.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su ICT4Executive il 10 luglio 2017.

Il Regolamento europeo sulla privacy (General Data Protection Regulation) che entrerà in vigore l’anno prossimo introduce la possibilità per il responsabile del trattamento di nominare un altro responsabile in caso di relazioni contrattuali “multilivello” sottostanti al trattamento di dati personali.

25 maggio 2018: data in cui sarà direttamente applicabile il Regolamento europeo n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, ormai comunemente noto come “GDPR” (General Data Protection Regulation).

Concepito nel contesto di una realtà ove condivisione e interconnessione sono i nuovi pilastri fondanti del modello di scambio delle informazioni, il Regolamento non poteva che – tra le altre innovazioni – recepire anche i mutamenti connessi alla crescente tendenza alla differenziazione organizzativa. In altre parole, lo sviluppo di catene di prestazioni di servizi e il ricorso al subappalto o all’esternalizzazione delle attività portano al coinvolgimento di più soggetti e alla creazione di molteplici relazioni. Il Regolamento ha dunque colto la complessità delle relazioni contrattuali “multilivello” sottostanti al trattamento di dati personali, introducendo l’inedita figura del sub-responsabile. Il legislatore europeo prevede così la possibilità per il responsabile del trattamento di nominare un altro responsabile “previa autorizzazione scritta, specifica o generale, del titolare”.

Un potere da sempre proprio del titolare (la designazione dei responsabili) diventa oggetto di possibile delega, a conferma di una nuova ripartizione delle responsabilità prevista dal Regolamento. Il titolare mantiene però il potere di opporsi alle modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento ad opera del responsabile iniziale. A tal fine, il Regolamento stabilisce un rilevante onere informativo a carico di quest’ultimo che sarà quindi tenuto a comunicare adeguatamente al titolare le eventuali modifiche.

Se la fonte dell’investitura formale (cioè della designazione) muta, resta invece invariato il rapporto di subordinazione nei confronti del titolare. Il sub-responsabile risulterà infatti legato al titolare e al trattamento da un contratto o da un altro atto giuridico, che riprodurrà gli obblighi contenuti nell’atto di designazione con cui il titolare ha nominato a suo tempo il responsabile iniziale. Il sub-responsabile dovrà quindi eseguire le attività e le operazioni di trattamento per conto del titolare, nonché agire in via strumentale rispetto alle finalità dal medesimo determinate.

Tuttavia, analogo rapporto gerarchico potrebbe rilevarsi anche nei confronti del responsabile iniziale: a norma del Regolamento, questi dovrà infatti rispondere al titolare dell’eventuale inadempimento del sub-responsabile. Dunque, il Regolamento pone indirettamente a carico del responsabile iniziale una responsabilità per culpa in eligendo e per culpa in vigilando che legittimano implicitamente la possibilità per quest’ultimo di impartire istruzioni al sub-responsabile, purché conformi a quelle del titolare e strumentali alle finalità di trattamento.

In conclusione, il Regolamento ha introdotto un’ipotesi di designazione diretta tra responsabili la cui attuazione non tarderà a rivelare la propria efficacia. D’altronde le relazioni fattuali della società contemporanea risentivano da tempo di una normativa lacunosa che non riconosceva sulla carta ciò che ormai era prassi comune. Tuttavia, l’opera di adeguamento non pare ancora conclusa: occorre implementare il riconosciuto schema relazionale tra responsabili in tutti i contesti del trattamento dei dati personali. In ambito di flusso transfrontaliero di dati, ad esempio, è auspicabile che le ipotesi di trasferimento di dati all’estero tra responsabile e sub-responsabile vengano normativamente regolate o, perlomeno, che possano essere impiegate anche in tale contesto clausole contrattuali standard, analoghe a quelle già previste per le ipotesi di trasferimento di dati tra titolare e responsabile.

Giusella Finocchiaro

Laura Greco

L’Istituto dell’Autodisciplina Pubblicitaria ha pubblicato le nuove regole per le forme pubblicitarie innovative e non-convenzionali.

Negli ultimi anni si è assistito ad una notevole crescita di investimenti nell’“online advertising”. La comunicazione commerciale digitale adotta varie tipologie di format che vengono fruite dagli utenti attraverso una molteplicità di “device”. Sono mezzi di comunicazione complessi, che consentono una condivisione di opinioni, commenti sia tra i consumatori, sia tra i consumatori e le aziende, sicché di frequente profili promozionali risultano convivere con contenuti non promozionali.

Per distinguere le varie forme di comunicazione dalle inserzioni a pagamento lo IAP ha appena pubblicato la seconda edizione della “Digital Chart IAP”, la lista che ha l’obiettivo di fissare per le principali tipologie di comunicazione digitale (come l’endorsement da parte di influencer e celebrity, la pubblicità native, i social network, i siti di content sharing, l’in app advertising e l’advergame) le modalità da adottare per rendere esplicito ai consumatori il fine promozionale dei contenuti diffusi sul web, utilizzando formule comprensibili quali, tra le altre, “#pubblicità” o “promosso da…”.

L’evoluzione del settore e la maggiore consapevolezza degli operatori dell’importanza di avere regole aggiornate e certe hanno reso opportuna questa nuova versione della Digital Chart, allineata alle “best practices” internazionali, come quelle della Federal Trade Commission.

L’Istituto dell’Autodisciplina Pubblicitaria persegue l’obiettivo di tutelare una comunicazione commerciale onesta, veritiera e corretta. Attraverso una sottoscrizione vincolante, impegna gli aderenti a inserire nei propri contratti una speciale clausola di accettazione delle norme del Codice IAP e delle decisioni autodisciplinari. Il codice è rivolto alle aziende che investono in comunicazione, alle agenzie, ai consulenti, ai mezzi di diffusione e alle concessionarie e coinvolge la larga generalità della comunicazione commerciale italiana.

Dal 3 al 21 luglio 2017 si terrà a Vienna la cinquantesima sessione annuale della Commissione UNCITRAL. Nel corso della sessione la Commissione esaminerà le deliberazioni e le decisioni che riguardano la progettazione del modello di Legge sugli Electronic Transferable Records, messo a punto dal IV Working Grupo dedicato al Commercio Elettronico.

Nel 2011, la Commissione ha delegato al Gruppo di Lavoro il processo di definizione e regolamentazione degli electronic transferable records. Il Working Group si è occupato della materia dal 2011 al 2016 quando, durante la sua 45esima sessione di lavoro, ha chiesto al Segretariato di valutare il modello di legge messo a punto e la documentazione allegata e di trasmettere questi testi alla Commissione per la valutazione finale.

Allo stesso tempo, nel 2016 la Commissione ha assegnato al Gruppo di Lavoro sul commercio elettronico il compito di lavorare in tema di identity management nei servizi fiduciari e cloud computing, senza assegnare una priorità preventiva. Durante la sessione di lavoro varrà ascoltato il primo report sul tema, grazie al quale si potrà procedere alla definizione di un ordine di attuazione. L’intenzione annunciata è quella di basare la priorità su necessità pratiche piuttosto che sull’interesse delle tematiche o sulla fattibilità di una eventuale regolamentazione.