Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Arriva nelle scuole secondarie di primo e secondo grado il “Decalogo anti-bufale”, che punta a fornire ad oltre 4,2 milioni di student gli strumenti per difendersi dalle “fake news”.

Far circolare notizie non verificate o false può creare rischi per la società o diventare pericoloso per le persone per questo è importante diffondere gli strumenti per risalire alla fonte delle notizie e distinguere le informazioni corrette da quelle scorrette.  L’iniziativa – presentata dalla ministra dell’Istruzione Valeria Fedeli e dalla presidente della Camera Laura Boldrini – è accompagnata dalla campagna #Bastabufale e fa parte di un più ampio pacchetto di azioni che il Miur sta mettendo in campo per la prima volta sul tema del controllo delle fonti e per l’educazione civica digitale. Fra i partner del progetto ci sono la Rai, la Federazione degli editori (Fieg), Confindustria, ma anche le piattaforme su cui circolano le false notizie, come Facebook e Google.

“Condividi solo notizie che hai verificato, usa gli strumenti di Internet per verificare le notizie, chiedi le fonti e le prove, chiedi aiuto a una persona esperta o a un ente davvero competente, ricorda che anche Internet e i social sono manipolabili”,  queste sono alcuni degli otto punti del decalogo che sarà completato dagli studenti con i due mancanti, attraverso uno strumento di scrittura cooperativa che il Miur metterà a disposizione delle scuole sul proprio sito.

Per gli insegnanti è invece previsto un pacchetto di materiali didattici legati all’iniziativa. “I giovani di oggi sono nativi digitali, ma non devono essere consumatori passivi di tecnologia, quanto piuttosto consumatori critici e produttori consapevoli di informazione e conoscenza. È un principio cardine anche del nostro Piano nazionale per la scuola digitale..

Grazie ad un accordo con la Camera, nelle scuole è già stata inviata la Dichiarazione dei diritti in Internet, per promuovere una corretta educazione civica digitale. Il Miur ha stipulato anche altri accordi-chiave, come quello siglato il 18 ottobre con la Federazione Nazionale della Stampa, che mette al centro la cultura dell’informazione e della correttezza delle fonti, in chiave anche di contrasto all’illegalità.

Il Parlamento Europeo ha approvato l’apertura dei negoziati da parte del Parlamento europeo nei confronti del Consiglio relativamente al procedimento di adozione della proposta di Regolamento per la privacy nelle comunicazioni elettroniche.

L’attuale direttiva sulla e-privacy è stata aggiornata l’ultima volta nel 2009. La proposta di una revisione, presentata il 10 gennaio 2017, sostituisce la direttiva con un Regolamento che completa il quadro dell’UE in materia di protezione dei dati allineandole al Regolamento sulla Protezione dei dati che entrerà in vigore nel maggio 2018.

Il regolamento sulla riservatezza e le comunicazioni elettroniche proposto dalla Commissione garantirà una maggiore tutela della vita privata delle persone e schiuderà nuove opportunità commerciali. Le misure presentate sono volte ad aggiornare le norme attuali, estendendone il campo di applicazione a tutti i fornitori di servizi di comunicazione. Le norme in materia di riservatezza si applicheranno d’ora in poi anche ai nuovi operatori che forniscono servizi di comunicazione elettronica – ad esempio WhatsApp, Facebook Messenger, Skype, Gmail, iMessage, Viber. Sarà quindi aggiornata la vigente direttiva ePrivacy che si applica unicamente agli operatori di telecomunicazioni tradizionali.

L’obiettivo è quello di rafforzare la fiducia e la sicurezza nel mercato unico digitale creando un giusto equilibrio tra elevata protezione dei consumatori e possibilità di innovazione per le imprese. La proposta inoltre prevede che il trattamento dei dati personali ad opera delle istituzioni e degli organismi dell’UE garantisca lo stesso livello di tutela della riservatezza previsto negli Stati membri, così come disposto dal regolamento generale sulla protezione dei dati, e definisce un approccio strategico alle questioni concernenti i trasferimenti internazionali dei dati personali.

La protezione dei dati personali si aggiunge alla lunga lista di diritti che sono stati fortemente colpiti dalla rivoluzione digitale. Quotidianamente, riversiamo i nostri dati personali, più o meno consciamente, all’interno del world wide web. Questa massa di informazioni personali viaggia indisturbata attraverso le reti telematiche per essere poi utilizzata per le finalità più disparate, non sempre nel rispetto dei presupposti (per esempio il consenso dell’interessato) che il nostro Codice privacy impone ai fini di un legittimo trattamento. In queste circostanze, al fine di tutelare l’interessato in maniera particolarmente rafforzata, il Codice privacy prevede all’art. 167 una specifica fattispecie di illecito volto a punire coloro che, per trarne un profitto o per recare danno, procedono al trattamento dei dati personali in assenza di quelle basilari condizioni grazie alle quali possa essere ritenuto legittimo.

Nel caso un messaggio diffamatorio sia diffuso in Rete e, oltre al contenuto di per sé offensivo indirizzato ad una determinata persona, porti, come spesso accade, alla divulgazione di dati personali della persona offesa, la giurisprudenza si è chiesta se possa configurarsi un concorso tra il reato di diffamazione aggravata e l’illecito trattamento di dati personali.

Con la sentenza n. 44390, pubblicata il 26 settembre 2017, la Corte di Cassazione penale risponde in maniera negativa. Nel caso di specie, l’imputato era stato condannato sia per diffamazione aggravata in quanto, in qualità di redattore, aveva pubblicato sul web due articoli diffamatori, sia per illecito trattamento di dati personali perché, con gli stessi articoli, aveva pubblicato dati personali dei soggetti offesi. La Corte di Cassazione, sulla base del ricorso presentato, delinea il suo ragionamento in due fasi. Innanzitutto la Corte rileva come l’art. 167 del Codice privacy contenga la clausola di sussidiarietà espressa “salvo che il fatto costituisca più grave reato”. La formula comporterebbe dunque l’assorbimento della fattispecie di minor gravità entro quella dell’illecito più gravoso. In secondo luogo, la Corte procede accertando quale tra i reati di diffamazione e illecito trattamento dei dati personali possa ritenersi più grave. In contrasto con l’orientamento che prevede che la gravita? del reato debba stabilirsi avendo riguardo alla pena massima in astratto comminata dai due reati, la Corte ritiene che “la maggiore gravita? del reato, comportando l’assorbimento di una fattispecie nell’altra in considerazione del suo effettivo minor disvalore dell’una a fronte dell’effettivo maggior disvalore dell’altra, va necessariamente valutata avendo riguardo alla pena in concreto irrogabile, e quindi tenendo anche conto delle circostanze in concreto ritenute e dell’esito dell’eventuale bilanciamento tra esse”. Nel caso di specie, alla luce delle pene concretamente inflitte, la Corte conclude che il reato di illecito trattamento di dati personali sia assorbito da quello di diffamazione aggravata.

In conclusione, si può quindi affermare come in materia di protezione degli individui negli ambienti online, la giurisprudenza si stia al momento rivelando il miglior alleato del legislatore. Infatti, l’opera interpretativa dei giudici permette di estendere alle attività effettuate in Rete la disciplina dettata in origine per i soli comportamenti offline, senza la necessità di creare una normativa specifica per il settore digitale. È evidente che date le peculiari caratteristiche di Internet, sono auspicabili alcuni aggiustamenti di stampo normativo. Tuttavia, in generale, il messaggio che è bene far passare è che le norme attualmente previste si applicano indipendentemente dal mezzo, o meglio dal “luogo”, in cui i comportamenti vengono messi in atto. Ciò che accade in Rete è soggetto alle medesime regole previste per ciò che accade fuori dalla Rete.

posted by Maria Chiara Meneghetti on ottobre 24, 2017

Diffamazione

(No comments)

La diffamazione di personaggi pubblici, datori di lavoro o ex fidanzate ha raggiunto con la Rete un nuovo livello di offensività, determinato dalla facilità di condivisione e dall’ampiezza del raggio di diffusione del messaggio lesivo. La necessità di colpire le condotte illecite degli utenti online alla pari di quelle realizzate nel mondo fisico impone il più delle volte una non facile interpretazione normativa, volta ad estendere le attuali fattispecie delittuose alle peculiari caratteristiche della realtà digitale.

Internet ha da tempo superato i confini che lo relegavano a mero mezzo di comunicazione tra persone, paragonabile alla televisione o al telefono, per acquisire i connotati di una vera e propria dimensione sociale. Si parla non a caso di “ciberspazio” per fare riferimento a quel luogo, privo di confini fisici e di limitazioni temporali, che è oggi contenitore e fornitore del più grande numero di dati e informazioni diversificate che la storia abbia mai visto.

Uno dei caratteri più interessanti della realtà digitale è la messa a disposizione di nuovi modi e nuove forme di espressione e condivisione della propria personalità. Ciò avviene, soprattutto per i c.d. nativi digitali, cioè coloro che sono nati e cresciuti in corrispondenza della diffusione delle tecnologie informatiche, attraverso l’utilizzo di piattaforme social che permettono con un tweet, un post o un video di condividere i propri pensieri con un vasto pubblico di internauti, amici o solo visitatori di passaggio. La Rete diventa uno spazio condiviso di espressione e sviluppo della personalità e al tempo stesso, grazie al suo carattere ubiquitario e alla sua facile accessibilità, uno strumento grazie a cui le informazioni condivise riescono a raggiungere una diffusione impensabile nel mondo fisico.

Tutto ciò, se dal punto di vista sociale e tecnologico è frutto di crescente entusiasmo, dal punto di vista giuridico pone il legislatore di fronte a nuove sfide. Da un lato, infatti, è sempre più sentita la necessità di tutelare questa nuova forma di espressione della persona e questo immenso bagaglio di cultura digitale da tutte quelle azioni che ne potrebbero illegittimamente ostacolare l’utilizzo. Dall’altro lato, cresce l’esigenza di trasporre le regole che governano il vivere civile offline anche nel mondo digitale, soprattutto alla luce della dilagante percezione che ciò che accade online, in quanto virtuale, sia immune da reali conseguenze legali.

In materia di diffamazione a mezzo Internet è stata particolarmente importante l’opera interpretativa della giurisprudenza, che negli ultimi anni ha adottato un corposo numero di decisioni sulle questioni più controverse.

La Corte di Cassazione ha ormai fugato ogni dubbio sulla qualificazione della condotta diffamatoria in Rete. Recenti sentenze hanno infatti confermato che, anche la diffusione di un messaggio diffamatorio attraverso l’uso di una bacheca Facebook o di un forum integra un’ipotesi di diffamazione aggravata ai sensi dell’art. 595, comma 3° c.p. poiché le modalità di comunicazione offerte da queste piattaforme virtuali hanno la capacita? di raggiungere un numero indeterminato di persone (v. Cass. pen. Sez. V, 23/01/2017, n. 8482 e Cass. pen. Sez. V, Sent., 20/01/2016, n. 2333). Lo stesso ragionamento è stato inoltre applicato alla condivisione di video offensivi attraverso un sistema peer-to-peer. La Corte ha rilevato infatti che la circostanza per cui la condivisione di materiali sia tecnicamente possibile solo tra due utenti per volta, non esclude le potenzialità diffusive e lesive dello strumento (v. Cass. pen. Sez. V, 19/03/2015, n. 41276).

La giurisprudenza non si è limita ad analizzare unicamente i profili di inquadramento giuridico della materia ma ha ampliato il suo campo di indagine anche agli aspetti concernenti la responsabilità e la competenza territoriale. Con riferimento al primo profilo, i giudici hanno avuto modo di affermare la responsabilità a livello concorsuale del gestore di un sito che, pur essendo a conoscenza del contenuto diffamatorio del messaggio caricato da un utente, non si era attivato per la sua immediata rimozione (v. Cass. pen. Sez. V, 14/07/2016, n. 54946). La sentenza si colloca sulla scia dell’orientamento giurisprudenziale europeo e nazionale che, pur non ponendo in capo agli Internet Service Provider un dovere di puntuale vigilanza su tutti i contenuti pubblicati dai propri utenti, ne sancisce la responsabilità ogni qual volta non provvedano ad eliminare un contenuto lesivo da loro conosciuto.

In relazione invece alla competenza territoriale del giudice penale nei casi di diffamazione a mezzo Internet, si sono posti problemi di individuazione del luogo in cui l’azione criminosa poteva dirsi effettivamente consumata. Più in generale, in materia di reati informatici, mentre parte della giurisprudenza ritiene che competente per territorio sia il tribunale del luogo nel quale il soggetto, a mezzo del client, si è connesso alla Rete effettuando il collegamento abusivo; per altra parte deve invece individuarsi nel tribunale del luogo ove è fisicamente allocato il server che costituisce l’oggetto dell’intrusione. Recente giurisprudenza, in materia di upload di un articolo dal contenuto diffamatorio, ha ritenuto di privilegiare il primo dei due criteri. Dunque, ai fini dell’individuazione della competenza territoriale, ha stabilito doversi far riferimento non al luogo dove si trovava il server che conservava e rendeva disponibili i dati per l’accesso degli utenti, bensì il luogo in cui il caricamento del dato “informatico” era stato effettivamente eseguito (v. Cass. pen. Sez. V, 19/05/2015, n. 31677).

[continua]

posted by admin on ottobre 23, 2017

Miscellanee

(No comments)

In occasione del prossimo convegno del 3 novembre a Pechino, è stata annunciata la pubblicazione in Cina dell’analisi di Giusella Finocchiaro dal titolo “The European EIDAS Regulation”.

La pubblicazione del documento rappresenta un tassello importante del percorso di studio dei giuristi cinesi sulla regolamentazione dell’identificazione elettronica, del documento e delle firme elettroniche dell’Unione Europea.

Il documento è disponibile per la consultazione nella versione in inglese con traduzione a fronte in cinese cliccando QUI.



Ha preso il via la fase della consultazione pubblica sullo schema di decreto correttivo del Codice dell’Amministrazione digitale (Schema di decreto legislativo recante disposizioni integrative e correttive al decreto legislativo 26 agosto 2016, n. 179, recante “Modifiche e integrazioni al Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n 82), ai sensi dell’art. 1 della legge delega 124/2015, in materia di riorganizzazione delle amministrazioni pubbliche”, attivato dal Relatore della Commissione Affari Costituzionali della Camera dei Deputati, on. Paolo Coppola.

La legge 7 agosto 2015, n. 124 in materia di riorganizzazione delle amministrazioni pubbliche, ha delegato il Governo a intervenire sulla disciplina contenuta nel Codice dell’amministrazione digitale (CAD – decreto legislativo 7 marzo 2005, n. 82), per fornire un quadro giuridico idoneo a realizzare un’amministrazione digitale e aperta, coordinando la disciplina nazionale con quella di matrice europea.

Il d.lgs. del 26 agosto 2016, n. 179, aveva già modificato il CAD con importanti ammodernamenti.

Il regolamento (UE) 23 luglio 2014, n. 910, del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (eIdas) e il regolamento (UE) 27 aprile 2016, n. 679, del Parlamento europeo e delConsiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GDPR) impongono una nuova revisione.

Il nuovo schema di decreto legislativo di modifica e integrazione del CAD è stato approvato in via preliminare dal Consiglio dei ministri e ha ricevuto il parere della Conferenza Unificata e il parere del Consiglio di Stato. Per partecipare occorre accedere direttamente dalla piattaforma open.gov.it, punto di riferimento per la partecipazione della pubblica amministrazione italiana:

http://open.gov.it/partecipa/consultazioni-attive/consultazione-pubblica-cad-2017/

La scadenza per contribuire è il 4 novembre 2017.

Più di 20 relatori internazionali discuteranno di cybersecurity alla Conferenza accademica del 2017 della China-EU School of Law (CESL), tra questi Gao Hongbing, vicepresidente del gigante cinese di Internet Alibaba, e Giusella Finocchiaro.

Big data, big problems? Alla Conferenza Accademica “La protezione dei dati personali al tempo dei big data” (“Data Protection in Times of Big Data”, che si terrà a Pechino il 3 novembre 2017, giuristu e imprenditori provenienti dalla Cina e dall’Europa esamineranno le sfide legali che la massiccia raccolta dei dati pone per la protezione della privacy.

Nei corso degli interventi si cercherà di rispondere a domande quali: chi possiede i dati raccolti? Quanto sono sicuri i database? Come proteggere i dati personali? Quali dati possono essere analizzati? Quale quadro giuridico può regolare lo scambio internazionale? La legge cinese sulla sicurezza in materia di cybersecurity del 2017 e il regolamento generale sulla protezione dei dati del 2018 svolgeranno un ruolo chiave nel dibattito.

Apriranno la conferenza Zhang Fusen, ex ministro della giustizia della Repubblica popolare cinese e Hinrich Julius, professore di diritto e coordinatore di progetto dell’ufficio consorzio della scuola di diritto cinese-UE.

La conferenza avrà inizio alle 9 del mattino, finirà alle 5 del pomeriggio. La sede della conferenza è il Jingyi Hotel, n. 9 Dazhongsi East Road, quartiere Hai Dian, a Pechino.

L’uomo è solo nella stanza che ha devastato con le proprie mani nella inutile ricerca di una “cimice”. Suona il sassofono e probabilmente si sta congedando dal mondo: investigatore privato specializzato in intercettazioni, questa volta è stata la sua privacy a restare macinata dalla violenza intrusiva di uno spione. Finisce così La Conversazione (1974), film di Francis Ford Coppola il cui portato è fin troppo trasparente nella parabola della tecnologia che divora chi la pratica, e forse anche sé stessa.

Questo l’incipit della bella recensione del volume di Giusella Finocchiaro “Il Nuovo Regolamento Europeo sulla Privacy e sulla Protezione dei Dati Personali” (Zanichelli) pubblicata sulla rivista Italia Oggi il 16 ottobre 2017. La recensione, apparsa nella rubrica “Letture di diritto”, è firmata da Francesco Romano, che, nel definire l’opera un “bel commentario polifonico”, così la descrive:

[...] di quel Regolamento costituisce una puntuale esegesi esegesi, indispensabile per inquadrare i nuovi tipi di responsabilità”, le inedite figure aziendali, il principio di accountability e molto altro ancora. Così forse non saremo anche noi costretti a distruggere le nostre case per trovare quella “cimice” che ci toglie il sonno. Anche se di certezze ce ne sono davvero poche.

posted by admin on ottobre 15, 2017

Miscellanee

(No comments)

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Michele Colajanni, pubblicato su Nòva del Sole 24 Ore il 15 ottobre 2017.

Chi avrebbe mai pensato di trovare citate le tre leggi della robotica di Asimov in un testo normativo? Eppure si leggono nella “Risoluzione del Parlamento europeo del 16 febbraio 2017” che reca “raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica”.

Pur trattandosi di raccomandazioni e quindi di soft law, si affronta un tema che pochi anni fa sarebbe parso ai limiti della fantascienza: chi risponde dei danni causati da un robot o da un software a cui vengono delegate decisioni? Qualche anno fa si sarebbe risposto: è responsabile o sono responsabili alternativamente o cumulativamente chi ha scritto il programma, il produttore o il venditore. Ma oggi lo scenario è più complesso, la risposta giuridica più articolata e pertinente alla pervasività dell’informatica nella società e nell’industria.

La progressiva delega della competenza decisionale dall’uomo al software ci porterà dall’Industria 4.0 all’Impresa 5.0 in modo progressivo e solo apparentemente non dirompente. Già oggi esistono algoritmi in grado di apprendere in modo autonomo e di prendere decisioni senza che le relazioni causa-effetto siano necessariamente comprese dall’uomo. Colpisce l’affermazione del capo progetto del software Libratus che ha stracciato i migliori giocatori mondiali del poker professionistico: “Noi non abbiamo insegnato a Libratus come giocare a poker. Gli abbiamo dato le regole del poker e detto: adesso impara da solo”.

Certo, un gioco complesso a informazione imperfetta non è assimilabile alla vita reale dove non è detto che tutti rispettino le regole, ma d’altro canto la coabitazione che ci attende è molto più complessa del previsto scenario: robot che rispetta le regole, uomo imprevedibile. Dovremo considerare aspetti relativi alla co-esistenza di robot che operano con software contenente errori (essendo un prodotto umano, è fallace per definizione), robot che saranno informaticamente violati, ma anche robot che implementeranno regole basate su princìpi della propria cultura e della contingenza, in quanto nessuno ha mai potuto definire a livello universale le categorie assolute e dualistiche del giusto e dell’errato, da cui la necessità del Parlamento europeo di ricorrere alle meta-leggi della robotica di Asimov. Sotto il profilo giuridico ciò che rileva è proprio che la decisione o il comportamento assunti dai robot non sono sempre prevedibili.

Quali soluzioni sono prospettabili in alternativa o in aggiunta alle soluzioni tradizionali?

Continua su Nòva.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Digital4Executive il 10 ottobre 2017.

Le violazioni della sicurezza dei dati personali non riguardano solo la privacy. Gli adempimenti sono particolarmente rilevanti nel settore finance, chiamato a rispondere su più fronti: servizi fiduciari, tutela di network e sistemi informativi, sicurezza informatica. Con comunicazioni al Garante per la Privacy, all’organismo di vigilanza, al CSIRT e a Banca d’Italia o BCE. Oltre a eventuali notifiche ai soggetti direttamente interessati.

“Data breach” è termine ormai consueto nel linguaggio quotidiano di imprese e operatori: indica ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali. Questa è la definizione offerta dal GDPR, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che dal 25 maggio 2018 abrogherà la direttiva 95/46/CE e detterà la nuova disciplina in materia di privacy.

Il termine però non è nuovo e gli adempimenti successivi al data breach (come, ad esempio, la notifica) nemmeno: già il nostro Codice in materia di protezione dei dati personali (il d.lgs. 30 giugno 2003, n. 196) menziona e disciplina l’eventualità di “incidenti” della sicurezza unitamente agli adempimenti ad essi conseguenti.

L’attenzione rivolta a questi ultimi è recentemente aumentata proprio per il nuovo Regolamento europeo, che ha dettato una disciplina comune a tutti i titolari del trattamento (quella del Codice è riservata ai soli fornitori di servizi di comunicazione elettronica), specificando le modalità di notifica del data breach all’autorità di controllo, e di comunicazione all’interessato a cui i dati oggetto di violazione si riferiscono.

Occorre però specificare che si tratta di adempimenti non sempre obbligatori, a cui è necessario procedere solo se la violazione costituisce un rischio elevato per i diritti e le libertà delle persone fisiche. A prescindere dal grado di rischio, invece, il Regolamento prevede che, a determinate condizioni, la banca-titolare del trattamento possa essere esonerata dalla comunicazione all’interessato, come nel caso in cui siano state adottate misure tecniche e organizzative idonee a rendere i dati personali incomprensibili, quali ad esempio la cifratura.

Tuttavia non si può considerare il data breach soltanto alla luce della regolamentazione in materia di privacy. L’occorsa violazione della sicurezza è infatti oggetto di diverse discipline di settore e, per la peculiarità e la sensibilità delle informazioni coinvolte, risulta particolarmente rilevante nell’ambito bancario. In caso di data breach, le banche sono quindi tenute ad agire su più fronti per garantire una piena osservanza delle normative a cui sono assoggettate. Di seguito l’elenco.

Continua su DIGITAL4EXECUTIVE

Giusella Finocchiaro

Laura Greco