Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on maggio 19, 2017

Tutela dei minori in rete

(No comments)

La Camera dei deputati ha approvato in via definitiva – senza ulteriori modifiche – la proposta di legge A.C. 3139-B, che detta disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo.

Il provvedimento introduce misure di carattere educativo e formativo, allo scopo di favorire una maggior consapevolezza tra i giovani del disvalore di comportamenti persecutori che, generando spesso isolamento ed emarginazione, possono portare a conseguenze anche molto gravi su vittime in situazione di particolare fragilità.

In particolare la disposizione prevede che i minorenni vittime di cyber-bullismo (e chi esercita la responsabilità genitoriale nei loro riguardi) possano rivolgersi al gestore del sito Internet o del social media o, comunque, al titolare del trattamento per ottenere provvedimenti inibitori e prescrittivi a loro tutela (oscuramento, rimozione, blocco di qualsiasi altro dato personale del minore diffuso su Internet, con conservazione dei dati originali). Dal canto suo, il titolare del trattamento o il gestore del sito o del social media deve comunicare, entro 24 ore dall’istanza, di avere assunto l’incarico e deve provvedere sulla richiesta nelle successive 48 ore. In caso contrario l’interessato può rivolgere analoga richiesta, mediante segnalazione o reclamo, al Garante per la protezione dei dati personali che deve provvedere, in base alla normativa vigente, entro le successive 48 ore;

Il provvedimento istituisce inoltre un tavolo tecnico per la prevenzione ed il contrasto del cyberbullismo e prevede l’adozione, da parte del MIUR, sentito il Ministero della giustizia, di apposite linee di orientamento – da aggiornare ogni due anni – che dovranno indicare una specifica formazione del personale scolastico, la promozione di un ruolo attivo degli studenti e la previsione di misure di sostegno e rieducazione dei minori coinvolti;

È prevista la designazione, in ogni istituto scolastico, di un docente referente per le iniziative contro il cyberbullismo che dovrà collaborare con le Forze di polizia, e con le associazioni e con i centri di aggregazione giovanile presenti sul territorio.

In caso di episodi di cyberbullismo in ambito scolastico, si prevede inoltre l’obbligo da parte del dirigente responsabile dell’istituto di informare tempestivamente i genitori (o i tutori) dei minori coinvolti e di attivare adeguate azioni educative.

Come già avviene per il reato di stalking, anche sul cyberbullismo il provvedimento applica la disciplina sull’ammonimento del questore: fino a quando non sia stata proposta querela o presentata denuncia per i reati di ingiuria, diffamazione, minaccia o trattamento illecito di dati personali commessi online da minorenni ultraquattordicenni nei confronti di altro minorenne, il questore – assunte se necessario informazioni dagli organi investigativi e sentite le persone informate dei fatti – potrà convocare il minore responsabile ammonendolo oralmente ed invitandolo a tenere una condotta conforme alla legge.

La proposta di legge contiene inoltre di disposizioni per il finanziamento di progetti e la promozione dell’uso consapevole di internet.

Il provvedimento era stato già  approvato dal Senato, in prima lettura, il 20 maggio 2015, poi modificato dalla Camera il 20 settembre 2016 e, quindi, nuovamente approvato dal Senato, con modificazioni, il 31 gennaio 2017.

Le modifiche apportate nell’ultimo passaggio al Senato hanno dato una nuova impostazione  all’intervento normativo basata esclusivamente su strumenti preventivi di carattere educativo, nei confronti dei minori (vittime e autori del bullismo sul web) da attuare in ambito scolastico. Ciò in contrasto rispetto all’impostazione dell’ultimo testo-Camera che agli interventi educativi affiancava anche strumenti di natura penale. Inoltre, il testo trasmesso dal Senato si riferisce a prevenzione e contrasto del solo cyberbullismo, risultando soppresso ogni riferimento al bullismo.

Le autorità europee per la protezione dei dati del gruppo Article 29 Working Party hanno pubblicato un report relativo alle consultazioni avvenute in seno al Gruppo su aspetti controversi del Regolamento privacy, in particolare sul concetto di “consenso”, sull’adempimento relativo alla notificazione di data breach e sull’attività di profilazione.

Com’è noto il Regolamento europeo 679/2016 sul trattamento dei dati personali, già in vigore dal 24 maggio 2016, sarà pienamente efficace dal 25 maggio 2018. Allo scopo di intervenire tempestivamente con implementazioni e modifiche il gruppo Article 29 Working Party  ha organizzato alcuni workshop volti a costruire un confronto con partecipanti provenienti dal settore industriale europeo, dalle università, dal mondo associativo e dalla società civile. All’ultimo workshop, tenutosi in aprile a Bruxelles sono intervenuti 90 partecipanti che hanno dialogato con i Garanti privacy Europei su particolari aspetti del Regolamento Europeo.

Sul tema del “consenso”, che costituisce la principale base legale del trattamento dei dati, è emerso che in alcuni casi la definizione di consenso contenuta nel Regolamento potrebbe non rappresentare una base affidabile per l’utilizzo dei dati. Particolare preoccupazione desta il trattamento di dati relativi ad un minore perché attualmente non c’è un modo si verificare l’età di chi presta un consenso online né è possibile verificare l’identità di colui che dichiara online di detenere la responsabilità genitoriale.

Per quanto riguarda il consenso al trattamento dei dati utilizzati per fini di ricerca, sono state sollevate delle perplessità riguardo l’utilizzo dei dati per fini secondari alla ricerca.

I partecipanti hanno anche espresso incertezza riguardo alla possibilità di ritiro di un consenso già accordato e alle possibili conseguenze che affronta chi non accorda il proprio consenso. Particolare perplessità sono state espresse in merito a quelle situazioni in cui chi non dà il consenso non può usufruire di un servizio.

Un altro tema su cui sono state espresse perplessità riguarda le notifiche dei “data breach”. Dai partecipanti è emersa la necessità di una maggiore flessibilità sul contenuto della notifica in considerazione del danno reputazionale che si profila per le compagnie vittime di attacchi.

Viene inoltre richiesta  maggiore chiarezza sui sulle modalità. In particolare, si richiedono chiarimenti sul destinatario della notifica nel caso di dati relativi a cittadini di diversi paesi. E’ necessario comunicare la notifica alle Authority di ogni stato coinvolto?

I partecipanti si sono inoltre confrontati sul tema della profilazione come particolare trattamento dei dati personali. Ci sono molte forme di profilazione che variano da settore a settore e non possono essere regolamentate da un’unica disposizione. È stata dunque richiesta la produzione di linee guida differenziate per tipologia. Inoltre le linee guida dovranno tenere conto delle finalità diverse per cui si fa profilazione. A questo proposito è emerso il dubbio se non ci debba essere una limitazione nelle tipologie di dati utilizzabili. In particolare per quanto riguarda dati di minori. I partecipanti hanno anche obiettato che attualmente non c’è una chiara distinzione tra le profilazioni basate su intervento umano e quelle invece completamente automatizzate.

L’intero report dell’incontro è disponibile sulla pagina della Commissione Europea dedicata all’Article 29 Working Party.

posted by admin on maggio 11, 2017

Libertà di Internet

(No comments)

Sabato 29 aprile 2017 le autorità turche hanno bloccato l’accesso a Wikipedia dalle utenze del paese. Ciò ha comportato la perdita di accesso per la popolazione a una imponente quantità di informazioni storiche, culturali e scientifiche.

In seguito alle accuse di censura da parte della comunità internazionale, il Garante alle telecomunicazioni turco ha giustificato il blocco citando una legge del Paese (legge Nr. 5651 relativa alla regolamentazione di Internet nel paese) che permette di inibire l’accesso ai siti ritenuti osceni o che costituiscono minaccia per la sicurezza nazionale. In particolare, alcuni media turchi hanno fatto sapere che il blocco è stato attuato in risposta a delle voci di Wikipedia che accusavano la Turchia di collegamenti con gruppi islamici militanti.

Il primo Maggio 2017 il Tribunale di Ankara ha legittimato il blocco imposto dall’Authority per l’informazione e le tecnologie della comunicazione turca (BTK). Il capo dell’agenzia Turca delle comunicazioni, Omer Fatih Sayan, il 10 maggio ha dichiarato che l’inibizione all’accesso continuerà fino a quando Wikipedia non adempierà all’ordine del Tribunale di Ankara che impine di rimuovere i contenuti anti-governativi pubblicati sull’enciclopedia.

L’undici maggio 2017 Ahmet Arslan il ministro dei trasporti turco, in una dichiarazione all’emittente NTV, riferendosi a Wikipedia ha detto: “Ci sono molte questioni che ci disturbano ma soprattutto siamo molto irritati dal fatto che la Turchia è menzionata insieme a organizzazioni terroristiche e dal fatto che le loro pubblicazioni includono contenuti parziali che danno la percezione che la Turchia supporti queste organizzazioni”. Dopo aver sottolineato che Wikipedia ha rifiutato di correggere le “informazioni sbagliate” con le “informazioni precise” inviatele dal governo, il ministro ha aggiunto dichiarazioni di scontento riguardo alla situazione fiscale di Wikipedia in Turchia: “Vogliamo avere un interlocutore locale e vogliamo che Wikipedia paghi le giuste tasse alla Turchia secondo la nostra legislazione fiscale aprendo un ufficio fisico. Loro hanno dei ricavi dalle loro pubblicazioni in Turchia quindi noi vogliamo che siano soggetti al pagamento di tasse grazie all’apertura di un ufficio nel paese.”

Il ministro non ha citato il fatto che Wikipedia è un’organizzazione no-profit e non ha aggiunto particolari a supporto della sua dichiarazione su un supposto guadagno da parte di Wikipedia.

Contro il blocco all’accesso il 9 maggio Wikipedia ha presentato ricorso presso la Corte Costituzionale turca dopo il rifiuto da parte di un tribunale ordinario del Paese. Il giudice che ha rigettato l’appello contro il blocco ha dichiarato che sebbene la libertà di espressione è un diritto fondamentale  può essere limitato in casi di “necessità di regolazione”.

La Guida traccia un quadro generale delle principali innovazioni introdotte dal Regolamento e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa in materia di protezione dei dati personali.

Il Regolamento UE 2016/679, già in vigore dal 24 maggio 2016, sarà pienamente efficace dal 25 maggio 2018. La Guida vuole essere un primo “strumento” di ausilio ai soggetti pubblici e alle imprese che stanno affrontando il passaggio alla nuova normativa privacy e vuole contribuire a diffondere la consapevolezza sulle garanzie rafforzate e sui nuovi diritti che il Regolamento riconosce alle persone.

Il testo della Guida è articolato in 6 sezioni che illustrano in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all’attuale disciplina del trattamento dei dati personali, aggiungendo raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento. Il testo potrà subire modifiche e integrazioni, allo scopo di offrire sempre nuovi contenuti e garantire un adeguamento costante all’evoluzione della prassi interpretativa e applicativa della normativa.

La guida è disponibile sul sito del Garante in formato ipertestuale navigabile.

Palazzo ONU NY BandiereGiusella Finocchiaro è stata rieletta all’unanimità presidente del Gruppo di Lavoro IV sul Commercio elettronico della Commissione delle Nazioni Unite per il diritto commerciale internazionale (UNCITRAL).

L’elezione è avvenuta nel corso della 55esima sessione del Gruppo di lavoro, che si svolge a New York dal 24 al 28 aprile 2017. Contestualmente, il Working Group ha avviato i lavori sul tema dell’identità digitale e dei servizi fiduciari (identity management and trust services).

Sotto la presidenza di Giusella Finocchiaro il gruppo di esperti dovrà elaborare le prime bozze di lavoro, che riguarderanno i sistemi di Identificazione Digitale, sia con pluralità di soggetti sia bilaterali, e dovrà considerare l’identità sia delle persona fisiche che di quelle giuridiche, senza escludere al momento gli oggetti digitali. Il mandato della Commissione riguarda anche i “trust services” che saranno presi in considerazione fin dalle prime sessioni per quanto concerne l’elaborazione delle definizioni.

È possibile seguire l’andamento dei lavori sulla pagina del sito dell’UNCITRAL dedicata al Gruppo di lavoro.

Pubblicato per Giappichelli editore il commento al regolamento UE 910/2014 a cura di Giusella Finocchiaro e Francesco Delfini.

Il Regolamento eIDAS si inserisce nella strategia europea volta a rafforzare la fiducia nelle transazioni elettroniche e, quindi, a potenziare la realizzazione di un mercato unico digitale. “Identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, commento al regolamento UE 910/2014” è un commentario diretto all’analisi delle innovazioni introdotte nel panorama giuridico europeo dal regolamento e-IDAS.

Il regolamento, che a partire dal 1° luglio 2016 è direttamente applicabile, mira alla creazione di un regime di interoperabilità dei sistemi di identificazione elettronica e dei servizi fiduciari, tra i rispettivi Stati membri.

Articolo per articolo, il volume indaga le questioni giuridiche emergenti dalla nuova disciplina analizzando temi quali l’identificazione elettronica, le firme e i sigilli elettronici, nonché le novità in ambito di servizi fiduciari e dei loro prestatori, anche attraverso un confronto con la previgente normativa europea e l’attuale Codice dell’Amministrazione digitale.

Il volume rappresenta quindi un utile strumento di lavoro per i professionisti interessati ad uno studio approfondito della materia.

È possibile acquistare il volume, anche in formato digitale, collegandosi alla pagina di Giappichelli editore.

posted by admin on aprile 13, 2017

Computer Crimes, data breach

(No comments)

Security_cybercrimePubblicato in Gazzetta Ufficiale il Decreto del Presidente del Consiglio dei Ministri del 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali”.

Il decreto definisce il workflow istituzionale dedicato alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica, indicando i compiti affidati a ciascuna componente ed i meccanismi e le procedure da seguire ai fini della riduzione delle vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi.

Con il nuovo decreto che sostituisce il il DPCM 24 gennaio 2013 recante “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”, il Comitato interministeriale per la Sicurezza della Repubblica (Cisr) ha lanciato un programma nazionale per la cyber-security in più fasi.

Il nuovo provvedimento, recependo la direttiva europea Nis (Network and Information Security), rafforza il ruolo del Cisr che emanerà direttive con l’obiettivo di innalzare il livello della sicurezza informatica del Paese, e si avvarrà in questa attività del supporto del coordinamento interministeriale del cosiddetto Cisr tecnico e del Dipartimento delle informazioni per la sicurezza (Dis).

Il nuovo decreto attribuisce al direttore generale del Dis il compito di definire le  linee di azione che dovranno portare ad assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, sia pubblici che privati, verificandone ed eliminandone le vulnerabilità.

Per la realizzazione di queste iniziative è previsto il coinvolgimento del mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, così come una diffusa collaborazione con le imprese di settore.

A livello operativo, il Nucleo sicurezza cibernetica (Nsc), ricondotto all’interno del Dis, assicurerà la risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei ministeri competenti in materia.

Il Decreto è consultabile a QUESTO link.

Facebook ha annunciato l’introduzione di nuovi strumenti per impedire la diffusione online di immagini intime di persone non consenzienti, una forma di vendetta sempre più diffusa, non solo fra gli adolescenti.

Per le vittime di “revenge porn” le conseguenze, sia psicologiche che sociali, sono spesso devastanti. È tristemente noto, non solo in Italia, il caso di Tiziana, la donna di 31 anni che nel settembre 2016 morta suicida in seguito alla diffusione incontrollata di un video intimo pubblicato da un suo ex-partner per vendetta.

Si tratta di un crimine di difficile contrasto perché la condivisione incontrollata del contenuto non permette la cancellazione dalla memoria della rete.

Nell’ottobre 2016 In Irlanda un giudice della corte suprema di Belfast aveva respinto il tentativo di Facebook di evitare il tribunale nel caso di una 14enne, che nonostante vari tentativi di rimozione, non era riuscita a rimuovere una sua foto intima in una “pagina della vergogna” su social perché altri utenti continuavano a condividerla L’azienda californiana si era difesa spiegando di aver rimosso la foto a ogni segnalazione, ma secondo i legali della minorenne Facebook avrebbe avuto il potere di prevenire ogni ripubblicazione usando un sistema di identificazione dell’immagine.

In quest’ottica, il social network ha studiato un meccanismo che possa evitare tempestivamente la condivisione di un contenuto segnalato.

Funziona così: gli utenti possono segnalare le foto con uno speciale contrassegno che allerta il personale tecnico specializzato per una revisione dell’immagine che possa stabilire se il contenuto viola gli standard della community. In caso di accertata violazione l’immagine viene rimossa e, grazie alla tecnologia di foto-matching, individuata anche sulle bacheche di altri utenti che possono averla già condivisa.

Questo intervento non riguarda solo i post su Facebook, anche Messenger e Instagram sono coinvolti nel sistema di segnalazione e rimozione. Per ora però l’innovazione non riguarda WhatsApp.

Dal punto di vista legislativo la “revenge pornography” è considerata un crimine in diverse giurisdizioni nazionali, come ad esempio in 34 stati degli USA, in Australia e nel Regno Unito. Attualmente in Italia non esiste una legge specifica e la casistica rientra nella fattispecie del reato di diffamazione e di violazione della privacy.

il 27 settembre del 2016 è stata presentata una proposta di legge per l’introduzione dell’articolo 612-ter del codice penale , concernente il reato che si manifesta attraverso la pubblicazione via internet di contenuti pornografici, sia fotografici che video, senza l’esplicito consenso dei soggetti interessati. La proposta prevede che la pubblicazione online di simili contenuti sia punita con la reclusione da uno a tre anni e la pena sia aumentata della metà se il fatto è commesso dal coniuge, anche separato o divorziato, o da persona che è o è stata legata da relazione affettiva alla persona offesa.

A seguito del reclamo presentato dalla madre di Tiziana Cantone, il Garante per la protezione dei dati personali ha avviato un’istruttoria chiedendo ai principali motori di ricerca?, ?Google e Yahoo?, ?di giustificare le ragioni per le quali sugli stessi risultino ancora indicizzate pagine sulle quali sono pubblicate immagini o video pornografici associati al nome della donna.

Anche se pubblicati con una modalità di privacy “elevata”,  i post su Facebook non possono essere ritenuti riservati ai soli “amici” pertanto, soprattutto per quanto riguarda le informazioni su minori, l’attenzione deve essere massima.

Con un recente provvedimento il Garante privacy ha ordinato a una donna di rimuovere dal proprio profilo Facebook due sentenze sulla cessazione degli effetti civili del matrimonio, che la donna aveva pubblicato in seguito alla sua separazione dal marito.L’Autorità è intervenuta su segnalazione dell’ex marito che lamentava una violazione del diritto alla riservatezza della figlia, citata nelle sentenze.

Il Garante ha effettivamente ritenuto che la divulgazione dei provvedimenti giurisdizionali in questione fosse incompatibile con quanto stabilito dal Codice privacy. Il Codice vieta infatti la pubblicazione “con qualsiasi mezzo” di notizie che consentano l’identificazione di un minore coinvolto in procedimenti giudiziari, nonché la diffusione di informazioni che possano rendere identificabili, anche indirettamente, i minori coinvolti.

Nel caso specifico, il Garante ha rilevato che le sentenze consentono di rendere identificabile la bambina nella cerchia di persone che condividono le informazioni “postate” dalla madre sul proprio profilo e contengono dettagli molto delicati, anche inerenti alla sfera sessuale, al vissuto familiare e a disagi personali della piccola.

L’Authority ha inoltre ritenuto che la violazione di diritti della persona, in questo caso per giunta minore di età, è aggravata dall’estrema pervasività della divulgazione su Internet. Il fatto che il post pubblicato sul profilo fosse accessibile ad una ristretta cerchia di ”amici” non può essere garanzia di riservatezza perché il profilo è facilmente modificabile, da “chiuso” ad “aperto”, in ogni momento da parte dell’utente. A questa eventualità si aggiunge quella in cui un “amico” condivida il post sulla propria pagina, rendendolo visibile ad altri iscritti “determinando così una possibile conoscibilità “dinamica”, più o meno ampia, del contenuto che può estendersi potenzialmente a tutti gli iscritti a Facebook”.

Il provvedimento ha disposto quindi la rimozione delle sentenze pubblicati dalla madre.

Il 24 marzo 2016 il Gruppo di Alto livello della Commission’s Scientific Advice Mechanism (SAM) dell’Unione Europea ha pubblicato un’opinione sulla cybersicurezza con raccomandazioni su come migliorare la sicurezza degli accessi online per privati e aziende europee.

In considerazione dell’aumento dei cyber-attacchi e della crescente complessità che mettono in atto, il tema della cyber-sicurezza è diventato cruciale per il Mercato Unico Digitale. In quest’ottica lo studio scientifico indipendente offre contenuti di supporto per progettare le future azioni legislative.

Il documento risponde alla necessità di rendere più sicuri i sistemi di sicurezza, dare più potere agli utenti e rafforzare l’industria della sicurezza informatica europea e migliorare il coordinamento delle azioni di contrasto agli incidenti informatici. Si auspica una governance globale in materia di cybersicurezza in cui l’Unione Europea possa giocare un ruolo di guida.

Il documento è disponibile sulla pagina Ricerca e Innovazione del sito web della Comunità Europea.