Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on marzo 27, 2017

Miscellanee

(No comments)


siae
Segnaliamo che è stato pubblicato in Gazzetta Ufficiale il d.lgs. 15 marzo 2017, n. 35 di attuazione della direttiva 2014/26/UE sulla gestione collettiva dei diritti d’autore e dei diritti connessi e sulla concessione di licenze multiterritoriali per i diritti su opere musicali per l’uso online nel mercato interno.

Il decreto stabilisce i requisiti necessari per garantire il buon funzionamento della gestione dei diritti d’autore e dei diritti connessi da parte degli organismi di gestione collettiva e delle entità di gestione indipendente, nonché i requisiti per la concessione di licenze multiterritoriali da parte di organismi di gestione collettiva dei diritti d’autore per l’uso online di opere musicali nel mercato interno.

Il provvedimento entrerà in vigore in data 11/04/2017. QUI il link alla Gazzetta Ufficiale.

Dal confronto e lavoro di analisi portato avanti dai protagonisti del Cantiere Documenti digitali nel corso del 2016, nasce il report “Documenti: definire e sostenere il digitale“.

Il tavolo di lavoro, coordinato da Massimo Laurenzi, con la supervisione scientifica della Prof.ssa Giusella Finocchiaro, ha visto la partecipazione di dirigenti, referenti per i progetti di dematerializzazione e responsabili della gestione documentale della PA centrale e locale, esponenti del mondo dell’accademia e della ricerca, rappresentanti delle associazioni professionali della conservazione e dell’archivistica e dell’azienda partner del cantiere.

Il gruppo ha dato vita ad un ricco e articolato dibattito, che ha ovviamente preso le mosse dall’impatto del nuovo Codice dell’amministrazione digitale sulle PA italiane, dal punto di vista normativo, tecnologico e organizzativo, focalizzandosi in particolare su alcuni dei punti più controversi della riforma.

Seguono poi alcune riflessioni sugli aspetti legati alle modalità di ricezione e spedizione dei documenti nelle comunicazioni tra PA e cittadini e sulla rivisitazione dei manuali di gestione delle amministrazioni pubbliche, partendo dall’analisi di alcune best practice. Per ciascun ambito vengono proposte alcune raccomandazioni prioritarie che FPA offre al decisore politico e ai responsabili di questa complessa policy.

Il volume è gratuito, è necessario essere iscritti alla community di FPA, per scaricarlo CLICCARE QUI. In caso di estrazione e utilizzo di parti della ricerca si prega di citare la FONTE: Documenti: definire e sostenere il digitale – dicembre 2016, Edizioni ForumPA

posted by admin on marzo 10, 2017

Miscellanee

(No comments)

euro-76019_640Il Garante Privacy ha sanzionato al pagamento di oltre 11 milioni di euro cinque società di money transfer che per aggirare la normativa antiriciclaggio utilizzavano  in modo illecito i dati personali di più di mille utenti .

Le società raccoglievano e trasferivano in Cina somme di denaro riconducibili a imprenditori cinesi, in violazione non solo della normativa antiriciclaggio, ma anche di quella sulla protezione dei dati personali. Attraverso la tecnica del frazionamento (dividendo cioè le somme di denaro in più operazioni sotto la soglia prevista dalla normativa antiriciclaggio) attribuivano i trasferimenti di denaro a più di mille clienti del tutto ignari, utilizzando illecitamente i loro dati.

Le gravi violazioni sono emerse nel corso di un’indagine della Procura di Roma. Il Nucleo di polizia valutaria della Guardia di finanza su delega della magistratura ha infatti accertato che i nominativi ai quali erano intestati i trasferimenti di denaro non corrispondevano ai reali mittenti e, in alcuni casi, i moduli risultavano compilati da persone decedute o inesistenti, oppure non firmati. I dati personali utilizzati erano tratti da fotocopie di documenti di identità, conservati in appostiti raccoglitori da utilizzare all’occorrenza, e gli invii di denaro venivano effettuati a pochi secondi l’uno dall’altro, per importi appena sotto la soglia e indirizzati allo stesso destinatario.

La violazione della normativa sulla privacy ha determinando l’intervento del Garante che, tenuto conto della gravità delle violazioni commesse dalle società, del numero delle persone coinvolte i cui dati sono stati trattati senza consenso e della rilevanza della banca dati, ha inflitto una sanzione di 5.880.000 euro alla multinazionale, e di  1.590.000, 1.430.000, 1.260.00 e 850.000 euro rispettivamente ad ognuna delle altre quattro società, per un totale che supera gli 11 milioni.

posted by admin on marzo 6, 2017

Eventi

(No comments)

Schermata 2017-03-09 alle 13.36.12Nella cornice della II edizione Master di II Livello “Internet ecosystem: governance e diritti” del Dipartimento di Giurisprudenza dell’Università di Pisa, venerdì 10 marzo dalle ore 14,30 alle 9,15 Giusella Finocchiaro terrà la lezione “Privacy and data protection. Profili giuridici e applicazioni pratiche”.

Con un approccio interdisciplinare a Internet, il master intende formare operatori in grado di affrontarne in modo critico le problematiche giuridiche, economiche, sociali e tecniche. Tre sono gli obiettivi di fondo del corso: interconnessione delle conoscenze, acquisite in studi universitari di diverso orientamento o in pregresse esperienze lavorative; sviluppo delle capacità critiche riferite alla rete nella sua globalità, sul presupposto che la complessità di Internet sfugge a un inquadramento fondato sulle competenze acquisibili nei singoli corsi universitari; specializzazione sulle problematiche innescate dalla rete e dal suo sviluppo, grazie all’approfondimento dei singoli temi proposti.

L’approccio interdisciplinare e la presenza dei più qualificati docenti di varie aree esperti della Rete nonché di professionisti del settore mirano all’emersione di una piattaforma di conoscenze condivise tra i partecipanti di diversa formazione.

Il Master è convenzionato con la Fondazione Scuola Forense Alto Tirreno per il riconoscimento delle attività di tirocinio svolte negli studi professionali iscritti agli Ordini di: Pisa, Lucca, Livorno, Massa Carrara e La Spezia.

Per ulteriori informazioni si rimanda alla pagina web del Master: internetecosystem.it

posted by admin on marzo 3, 2017

Eventi

(No comments)

Il 2 marzo si è tenuto a Roma il convegno “Autorità pubblica e Autodisciplina: gli strumenti di tutela nei “digital media”. Obiettivo dell’iniziativa: fare il punto sul quadro normativo per la tutela dei consumatori nel mercato della pubblicità online e in relazione ai messaggi pubblicitari del gioco d’azzardo via web.

Il convegno, organizzato dall’Autorità per le garanzie nelle comunicazioni e dall’Istituto dell’Autodisciplina Pubblicitaria, è stato l’occasione per un confronto sulle emergenze legate al mondo dell’informazione e degli operatori del web, sintetizzate dal Presidente dell’Agcom Angelo Marcello Cardani che ha dato l’avvio ai lavori: “Il dibattito sulle fake news è diventato planetario; la cybersicurezza, la profilazione dell’utente, le truffe informatiche, sono problemi che coinvolgono direttamente anche gli investitori e gli operatori della pubblicità in rete. Servono correttezza, trasparenza, autocontrollo. Ed il modello dell’ autoregolamentazione, adottato nella seconda metà degli anni ’60, può e deve giocare ancora oggi un ruolo decisivo sul fronte della pubblicità nei digital media”.

Importante quindi il ruolo dello Iap, l’Istituto di autodisciplina pubblicitaria, rappresentato al convegno dal suo Presidente Mario Barbuto e da Giusella Finocchiaro, Membro del Giurì, l’organismo che ha il compito di dirimere eventuali controversie con decisioni inappellabili in materia di pubblicità.

Sul tema della tutela della qualità dell’informazione online, Giusella Finocchiaro ha ricordato, oltre al tema delle Fake news, le nuove forme di advertising tra cui il “native advertising”, una nuova forma del classico “redazionale” che è necessario far riconoscere come messaggio commerciale, a tutela dell’informazione.

Il resoconto del convegno è disponibile sul magazine Key4Biz, a QUESTO LINK.

posted by admin on febbraio 24, 2017

Computer Crimes

(No comments)

L’ultimo rapporto del Clusit, Associazione Italiana per la Sicurezza Informatica ha delineato il 2016 come  l’anno peggiore di sempre in termini di evoluzione delle cyber minacce cyber e del relativo impatto. Il Comitato interministeriale per la Sicurezza presieduto dal premier Gentiloni ha già stabilito un programma nazionale per la cyber-security

Il Clusit ha posto l’accento è l’enorme aumento (+1.166%) degli attacchi compiuti con il phishing, attraverso cui truffatori fingendosi un ente affidabile ingannano le vittime via email convincendole a fornire dati personali, finanziari o codici di accesso, e il social engineering, ovvero le tecniche di studio del comportamento individuale delle persone al fine di carpire informazioni. In crescita anche  il comune “malware” (+116%), virus malevoli usati non solo per compiere attacchi di piccola entità ma anche contro bersagli importanti e con impatti significativi.

In forte crescita anche gli attacchi riferibili ad attività di “cyber warfare” (+117%), volti a crescere la pressione in ambito geopolitico o a manipolare l’opinione pubblica. In questo ambito rientrano, ad esempio, gli attacchi alle mail di un partito o di una istituzione, ma potenziali obiettivi sono anche le infrastrutture critiche come i servizi energetici, idrici, di comunicazioni e dei trasporti, verso i quali gli attacchi gravi sono aumentati del 15% rispetto allo scorso anno.

Il cosiddetto cybercrime – ovvero i reati compiuti con l’obiettivo di estorcere denaro alle vittime o di sottrarre informazioni per ricavarne denaro – è causa del 72% degli attacchi verificatisi nel 2016 a livello globale. Si tratta di un trend di crescita costante dal 2011, quando si attestava al 36% del totale. Il 32% degli attacchi viene sferrato con tecniche sconosciute, il 45% in più rispetto al 2015.

Il settore della sanità ha registrato il maggior aumento percentuale di attacchi gravi  (+102%), attraverso i ransomware (virus malevoli che criptano i dati dei dispositivi vittime e li rilasciano solo in cambio di un riscatto) o il furto di dati. Imponente anche la crescita di attacchi alla Grande Distribuzione Organizzata (+70%) e in ambito bancario e finanza (+64%).

A livello geografico, sono cresciti nel secondo semestre 2016 gli attacchi verso realtà basate in Europa (dal 13% al 16%) e in Asia (dal 15% al 16%), mentre sembrano diminuire leggermente le vittime negli Stati Uniti che però restano il paese più colpito dai cyber attacchi. Viene confermata la tendenza a colpire bersagli sempre più importanti, di natura transnazionale. Tra gli attacchi più significativi a livello globale c’è anche quello subito dalla Farnesina.

Con un nuovo decreto che sostituisce il il DPCM 24 gennaio 2013 recante “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”, il Comitato interministeriale per la Sicurezza della Repubblica (Cisr) ha lanciato un programma nazionale per la cyber-security in più fasi.

Il nuovo provvedimento, recependo la direttiva europea Nis (Network and Information Security), rafforza il ruolo del Cisr che emanerà direttive con l’obiettivo di innalzare il livello della sicurezza informatica del Paese, e si avvarrà in questa attività del supporto del coordinamento interministeriale del cosiddetto Cisr tecnico e del Dipartimento delle informazioni per la sicurezza (Dis).

Il nuovo decreto attribuisce al direttore generale del Dis il compito di definire linee di azione che dovranno portare ad assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, sia pubblici che privati, verificandone ed eliminandone le vulnerabilità. Per la realizzazione di queste iniziative è previsto il coinvolgimento del mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, così come una diffusa collaborazione con le imprese di settore.

A livello operativo, il Nucleo sicurezza cibernetica (Nsc),  ricondotto all’interno del Dis, assicurerà la risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei ministeri competenti in materia.

Il Garante privacy che ha vietato a una società l’uso delle utenze telefoniche reperite on line a fini promozionali in base al mancato consenso degli interessati.

Il fatto che alcuni numeri di telefono presenti in Internet siano liberamente accessibili a chiunque non significa che possano essere legittimamente usati per finalità che, come il marketing, sono diverse da quelle per cui sono stati pubblicati. Con questa motivazione il Garante ha vietato l’uso dei numeri di telefono raccolti da una società che per acquisire nuovi clienti e promuovere i propri prodotti contattava telefonicamente utenze di liberi professionisti e imprese individuali presenti nell’area “contatti” dei siti. Un trattamento non in linea con la disciplina di protezione dei dati personali perché effettuato senza aver prima acquisito il consenso informato dei destinatari e in violazione del principio di finalità.

Tra i clienti che non hanno potuto manifestare il libero e specifico consenso per l’invio di comunicazioni automatizzate promozionali, oltre a imprese individuali e liberi professionisti, vi erano anche numerose persone giuridiche, che in base all’art. 130 del Codice, continuano ad essere tutelate riguardo alle comunicazioni promozionali automatizzate (e-mail, telefonate, sms).

L’Autorità si è riservata di valutare l’applicazione delle sanzioni amministrative previste dal Codice per le violazioni rilevate.

I datori di lavoro non possono accedere in maniera indiscriminata alle email o ai dati contenuti negli smartphone in dotazione ai loro dipendenti. Lo ha ribadito il Garante privacy vietando a una multinazionale l’utilizzo dei dati personali trattati in violazione di legge.

L’Autorità ha affermato che il datore di lavoro, pur avendo la facoltà di verificare lo svolgimento delle attività professionali e le modalità di utilizzo degli strumenti aziendali, deve in ogni caso dare priorità alla salvaguardia della libertà e della dignità dei lavoratori. Quest’ultimi devono essere sempre informati in modo esauriente sulle modalità di utilizzo degli strumenti di lavoro ed eventuali verifiche da parte dei superiori. La disciplina di settore in materia di controlli a distanza, inoltre, vieta di effettuare attività di controllo massivo, anche indiretto, prolungato e indiscriminato dell’attività del lavoratore.

Il Garante è intervenuto sul tema in seguito al reclamo di un ex-dipendente di una multinazionale, che lamentava che l’azienda per cui lavorava avrebbe acquisito informazioni anche private contenute nella e-mail e nel telefono aziendale, sia durante il rapporto professionale sia dopo il suo licenziamento.

L’Autorità ha effettivamente constatato che la società non aveva adeguatamente informato i lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative al trattamento dei dati. Inoltre, il sistema di posta elettronica aziendale era configurato in modo da conservare copia di tutta la corrispondenza per dieci anni, un tempo non proporzionato allo scopo della raccolta. Esisteva anche una procedura che consentiva ai datori di lavoro di accedere al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere anche carattere privato. È inoltre emerso che la società continuava a mantenere attive le caselle email fino a sei mesi dopo la cessazione del contratto, senza però dare agli ex dipendenti la possibilità di consultarle o, comunque, senza informare i mittenti che le lettere non sarebbero state visionate dai legittimi destinatari ma da altri soggetti.

Nel corso dell’istruttoria è stato accertato inoltre, che il titolare poteva accedere da remoto – non solo per attività di manutenzione – alle informazioni contenute negli smartphone in dotazione ai dipendenti (anche privatissime e non attinenti allo svolgimento dell’attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.

Il Garante ha disposto l’apertura di un autonomo procedimento per verificare l’applicazione di eventuali sanzioni amministrative.

ratingBlackMirror

Il rating reputazionale rappresentato nell'episodio "Nosedive" della serie Tv "Black Mirror"

Il progetto per la misurazione del “rating reputazionale” viola le norme del Codice sulla protezione dei dati personali e incide negativamente sulla dignità delle persone, lo ha stabilito il Garante per la protezione dei dati personali.

Elaborato da un’associazione e e da una società preposta alla gestione dell’iniziativa, il progetto consiste in una piattaforma web e un archivio informatico che raccoglie grande quantità informazioni personali su diversi tipi di individui (candidati, imprenditori, liberi professionisti ma anche privati cittadini) caricate dagli utenti o provenienti dal web. Attraverso un algoritmo, il sistema sarebbe poi in grado di misurare in modo oggettivo l’affidabilità delle persone in campo economico e professionale, attribuendo un punteggio (rating) alla loro reputazione online.

Il Garante ha rilevato che il sistema comporta rilevanti problematiche per la privacy a causa della delicatezza delle informazioni, del pervasivo impatto sugli interessati e delle modalità di trattamento. Infatti, il progetto presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di migliaia di cittadini. Il “rating reputazionale” elaborato potrebbe ripercuotersi sulla vita delle persone censite, influenzando le scelte altrui e condizionando l’ammissione degli interessati a prestazioni, servizi o benefici.

L’Autorità ha espresso dubbi anche in merito all’asserita oggettività delle valutazioni, sottolineando che la società non è stata in grado di dimostrare l’efficacia dell’algoritmo che regolerebbe la determinazione dei “rating” al quale dovrebbe essere rimessa, senza possibilità di contestazione, la valutazione dei soggetti censiti. Vista la difficoltà di misurare situazioni e variabili non facilmente classificabili, la valutazione potrebbe basarsi su documenti e certificati incompleti o viziati, con il rischio di creare profili inesatti e non rispondenti alla identità sociale delle persone censite.

Da un punto di vista generale, il Garante ha inoltre manifestato perplessità sull’opportunità di rimettere ad un sistema automatizzato ogni decisione su aspetti così delicati e complessi come quelli connessi alla reputazione.

Anche le misure di sicurezza del sistema, basate, prevalentemente, su sistemi di autenticazione “debole” (user id e password) e su meccanismi di cifratura dei soli dati giudiziari, sono state definite “davvero inadeguate” dall’Autorità Ulteriori criticità, infine, sono state ravvisate nei tempi di conservazione dei dati e nell’informativa da rendere agli interessati.

Il Garante ha pertanto disposto il divieto di qualunque operazione di trattamento presente e futura per il progetto di rating reputazionale.

posted by admin on febbraio 1, 2017

Diffamazione

(No comments)

Facebook non può essere equiparato alla stampa, pertanto l’utilizzo del social network non può costituire un’aggravante per il reato di diffamazione.

Con sentenza n. 4873 depositata il 1° febbraio 2017, la Quinta Sezione della Cassazione ha stabilito che in caso di diffamazione attraverso Facebook, non può ritenersi applicabile l’aggravante “a mezzo stampa” di cui all’articolo 13 della Legge 47/1948 sulla stampa. Facebook, infatti, differisce dalla stampa in quanto è un servizio di rete sociale, “basato su una piattaforma software scritta in vari linguaggi di programmazione, che offre messaggistica privata ed instaura una trama di relazioni tra più persone dello stesso sistema”.

Il caso è stato portato davanti alla Corte Suprema su richiesta del procuratore della Repubblica di Imperia che aveva impugnato per «abnormità» l’ordinanza con cui il Gip locale aveva qualificato come diffamazione aggravata dal solo «mezzo di pubblicità» un reato relativo ad alcune offese pubblicate su Facebook da un imputato catanese 60enne nei confronti di un terzo, fatto avvenuto a Diano Marina nell’estate del 2013.

Il giudice preliminare ha qualificato il reato come una diffamazione aggravata dalla sola circostanza dell’offesa recata mediante l’attribuzione di un fatto determinato con un qualunque mezzo di pubblicità (articolo 595, commi 2 e 3, del Codice penale), pertanto nella valutazione del reato non ha trovato applicazione la Legge sulla stampa, che avrebbe raddoppiato la pena edittale (da un massimo di 3 a un massimo di 6 anni) e, come conseguenza, avrebbe determinato processualmente la citazione diretta a giudizio.