Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 15 aprile 2017 ha pubblicato un commento a cura di Giusella Finocchiaro sul tema della privacy e dei minori.

Sono valide le iscrizioni a Facebook (e in generale ad un social network) di bambini e adolescenti? Se per concludere un contratto è necessario essere maggiorenni, perché non occorre esserlo per iscriversi ad un social? Insomma: quanti anni occorre avere per prestare un valido consenso al trattamento dei dati personali? Secondo Facebook tredici, secondo la legge italiana diciotto.

E allora come si spiega la presenza di così tanti bambini e adolescenti italiani sui social? Semplice: secondo la maggior parte dei contratti di iscrizione, non vale la legge italiana, ma quella del social network e quindi per Facebook quella degli Stati Uniti e della California.

Quale legge prevale? È il più classico dei problemi giuridici su Internet: quello della determinazione della legge applicabile e della giurisdizione. Il nuovo Regolamento europeo 679/2016 sul trattamento dei dati personali, che costituisce una nuova disciplina europea sulla privacy, direttamente applicabile dal maggio 2018, lo risolve con un parziale compromesso. Prevede che prevalga il diritto europeo e che bastino 16 anni (ma i singoli Stati membri possono stabilire un’età inferiore, purchè non al di sotto dei 13 anni). Se il minore ha un’età inferiore ai 16 anni, il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Secondo recenti sentenze italiane su casi analoghi (pubblicazioni di foto dei propri figli sui social), in questo caso occorrerebbe il consenso di entrambi i genitori. È evidente che non sarà molto difficile eludere questa norma. Ma, come prevede il Regolamento europeo, è il social che deve controllare, utilizzando la tecnologia disponibile.

Il Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 10 aprile 2017 ha pubblicato oggi un’intervista a Giusella Finocchiaro sul tema della privacy e delle telefonate commerciali.

Il Registro delle opposizioni è stato un tentativo, ma non funziona. Per difenderci abbiamo tre strade giudiziarie. La segnalazione al Garante privacy, la denuncia penale o quella civile.

L’illecito trattamento dei dati è punito dal Codice Privacy con la reclusione dai sei ai diciotto mesi. Si arriva a 24 mesi quando ci sono di mezzo comunicazione e diffusione. Nei casi più gravi, per esempio in caso di violazione delle disposizioni sulle informazioni sensibili, è prevista la reclusione da uno a tre anni.

Il Garante fa un’istruttoria e commina una multa. Il problema è che è oberato di lavoro, i tempi non sono rapidi. Anche se le sanzioni erogate sono state parecchie. Il Garante può anche chiedere una tutela penale per il cittadino. Poi c’è la via civile: se il cittadino riceve disturbi, può chiedere il risarcimento. Alcune decisioni hanno riconosciuto un danno perché era stata turbata la vita di una persona.

Purtroppo per diventare vittime di violazioni della nostra privacy basta stipulare un qualunque contratto. Dovrebbero chiederci un consenso specifico per usare il nostro nome a fini di marketing. Supponiamo di comprare un bene su Internet. per la consegna a casa devo dare indirizzo e email. Sono informazioni necessarie, per legge non dovrebbero nemmeno chiedere il consenso privacy. Ma magari il fornitore vuole usare i miei dati anche per informarmi di altre offerte. Qui il consenso diventa necessario. Ma alcuni pensano che essere poco corretti sia vantaggioso e chiedono un unico sì per fare la consegna prima e il marketing poi. Di solito è scritto tra le righe dell’informativa privacy, ma nessuno la legge, è per addetti ai lavori. Questa cattiva pratica è abbastanza diffusa. Non sono così tanti quelli che si fanno un vanto di seguire le regole.

Ovviamente c’è una strada legale. Ci danno tutte le informazioni corrette, ci chiedono se siamo disponibili affinché i nostri dati vengano usati per fini di marketing. A questo punto le informazioni girano, e non è detto che lo facciano gratuitamente. Nomi numeri e abitudini commerciali hanno un valore. Sono frammenti della nostra personalità ma anche beni economicamente rilevanti. E passano magari da una società all’altra.

Il punto di partenza della violazione è comunque sempre un consenso che non c’è o è mischiato. Poi le liste continuano a viaggiare. I rimedi per opporsi sulla carta ci sono, lo abbiamo verificato. Il problema è che sono parzialmente efficaci. E su internet si vedono anche identità digitali complete.


Presentiamo qui un estratto dell’articolo di Giusella Finocchiaro pubblicato sul magazine online “Cantieri della PA digitale” in data 8 marzo 2017.

Il 2016 è stato un anno decisivo per il consolidamento del processo di digitalizzazione sia a livello europeo, sia a livello nazionale. La recente riforma del Codice dell’Amministrazione digitale rappresenta il primo segno di recepimento di quelle spinte europee che ormai da tempo promuovono e sostengono l’ambizioso progetto di un’evoluzione full digital in diversi settori. La dematerializzazione dei processi documentali e conservativi, interni ed esterni alle pubbliche amministrazioni, si inserisce in questo articolato percorso di digitalizzazione, percorso che in Italia è stato fino ad oggi frenato a causa delle incertezze normative e dalle lentezze burocratiche.

Nella ridefinizione del quadro normativo italiano ha giocato un ruolo fondamentale l’opera di coordinamento con il Regolamento e-IDAS sull’identificazione digitale e sulle firme elettroniche.

Innanzitutto, muta la definizione di documento informatico e viene assegnato un nuovo valore giuridico al documento con firma elettronica.

Viene rafforzato l’approccio digital first, finalizzato al definitivo passaggio dal cartaceo al digitale dell’intero ciclo di vita del documento, dalla creazione, alla gestione e infine alla conservazione.

Ancora, lo SPID, il sistema di identificazione digitale, assume un ruolo fondamentale nella formazione di atti giuridici in quanto nuovo strumento di acquisizione della volontà dell’utente.

Sebbene sia ancora presto per valutare l’adeguatezza delle modifiche apportate, ciò che già da adesso appare necessario è un cambiamento che non sia circoscritto al testo della norma, ma che riguardi lo stesso approccio alla materia. Un approccio che ridefinisca i paradigmi e modelli di gestione e non si limiti solo a tradurre in digitale strumenti analogici e documenti cartacei.

Sono molte, infatti, le questioni ancora aperte che porteranno a una riflessione nel corso del 2017.

Continua su “Cantieri della PA digitale”.

Presentiamo qui un estratto dell’articolo di Giusella Finocchiaro pubblicato sul magazine online Forum PA il 21 settembre 2016.

Come cambia la disciplina delle firme elettroniche nel nuovo CAD? Come si sa, si tratta di un percorso lungo e complesso, cominciato nel ’97, che ha visto tante modifiche e aggiustamenti e oggi le riformulazioni che in parte sono riconducibili al Regolamento eIDAS. Nel nuovo CAD sono state soppresse le definizioni di firma elettronica, firma elettronica avanzata e firma qualificata che sono invece contenute nel Regolamento eIDAS cui si rinvia all’art. 1, comma 1- bis. Resta, invece, la definizione di firma digitale, benché corretta, tutta italiana.

Il cambiamento più significativo interessa l’art. 21 dedicato al documento informatico sottoscritto con firma elettronica. Il nuovo 1° comma dispone che “il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta e sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità”.

Per l’articolo completo si rimanda al sito di Forum PA.

ISchermata 08-2457630 alle 09.02.14l web non è sempre esistito. Tantomeno Internet. Quando ricordo questi fatti evidenti ogni anno, all’inizio del mio corso di Diritto di Internet, alcuni studenti mi guardano stupiti. Quando pensiamo che 25 o 27 anni fa (a seconda delle ricostruzioni: di Facebook che ha lanciato l’idea del venticinquesimo compleanno e dell’inventore del web, Tim Berners-Lee, citato dal Post, che ha autorevolmente corretto) non c’era il web e nemmeno Google, Facebook, i social network e gli smart phone, sembra davvero che si tratti di un’altra era geologica.

Eppure, anche se a raccontarlo mi sento il “Numero Uno” di Alan Ford (per i più giovani non esperti di fumetti: riferimenti su wikipedia) c’era una volta un’epoca senza il www… Certamente è stata un’invenzione che ha cambiato il mondo e il modo di comunicare e di interagire con gli altri, con impatti di enorme rilevanza, di cui ancora osserviamo le conseguenze, nell’economia, nella politica e ovviamente nel diritto.

Internet, come è noto, e come ci ricorda anche il bel documentario di Herzog, Lo and Behold, è nato alla fine degli anni ‘60. Il world wide web, che non coincide con Internet, ma è uno dei più rilevanti servizi che utilizzano la Rete, molto più recentemente. I progenitori erano gli ipertesti, la cui idea innovativa era quella di collegare fra loro contenuti in un ordine non più necessariamente sequenziale, ma relazionale.

Nel 1969 l’uomo è andato sulla Luna e questo evento lo ricordano tutti. Pochi ricordano la contemporanea nascita di Internet, ma certo questo ha sconvolto molto di più la nostra quotidianità.

Le applicazioni commerciali di Internet si vedono negli Stati Uniti alla fine degli anni ‘90: da neolaureata approfondivo le mie ricerche sui contratti informatici. E negli spot pubblicitari non mancava l’indirizzo www del produttore, che ancora in Italia non si vedeva. E ancora, il primo acquisto on line: un portatile (grande come una valigetta) consegnato overnight.

Tutto questo è oggi la nostra quotidianità: non ha più senso nemmeno la distinzione reale/virtuale. È tutto reale e anzi la nostra realtà può essere aumentata. Ma quanto ne siamo davvero consapevoli? Quanto abbiamo davvero compreso che il nostro agire anche on line ha precise conseguenze nella vita nostra e degli altri e non è affatto al di fuori delle regole?

Il 6 aprile 2016, la Corte di Cassazione francese ha per la prima volta emesso una decisione avente ad oggetto la validità di una firma elettronica.

Nel caso in esame (si tratta della sentenza n. 15-10.732), il ricorrente negava di aver firmato il contratto di assicurazione online sulla base del quale era stato condannato dal Tribunale di Montpellier al pagamento di una somma di denaro in favore della compagnia assicuratrice.

La Cassazione francese ha respinto tuttavia il ricorso, ritenendo che il giudice di merito avesse correttamente giustificato la propria decisione stabilendo la validità della firma elettronica. La Suprema Corte francese ha dunque chiarito quali siano le condizioni che il giudice di merito è tenuto a verificare per affermare la validità della firma elettronica, ossia quelle stabilite agli artt. 1316-1 e 1316-4, 2° comma, 1° periodo del Codice civile francese. Secondo l’art. 1316-4, 2° comma, 1° periodo del Codice civile francese, la firma (cosiddetta “semplice”) è idonea a manifestare il consenso delle parti alle obbligazioni che derivano dall’atto firmato quando consiste nell’utilizzo di una procedura di identificazione affidabile, che garantisca il collegamento tra la firma e l’atto a cui questa è collegata. Quanto all’ammissibilità in giudizio e al valore giuridico di un atto firmato con firma elettronica, l’art. 1316-1 del Codice civile francese prevede l’equivalenza al documento cartaceo se può essere identificata la persona che ha formato il documento elettronico e se questo è stato creato e conservato in condizioni che ne garantiscano l’integrità.

Nel caso di specie, il Tribunale ha riscontrato tutte le citate condizioni. Infatti, era stata utilizzata una procedura affidabile per firmare, che assicurava il collegamento tra la firma e l’atto a cui questa si riferiva. La domanda di adesione, prodotta come prova in giudizio, conteneva l’indicazione dell’avvenuta consegna del documento, permettendo l’identificazione precisa dei firmatari. Infine, il Tribunale aveva verificato che la domanda di adesione al contratto fosse stata conservata in modo da garantire la sua integrità. La Corte di Cassazione francese ha dunque affermato che il Tribunale di merito ha correttamente giustificato la sua decisione circa la validità della firma elettronica e, ritenendola imputabile al ricorrente, ha respinto il ricorso.

Il testo completo della decisione è disponibile QUI.

Giusella Finocchiaro

Matilde Ratti

posted by Giusella Finocchiaro on aprile 8, 2016

Miscellanee

(No comments)

Schermata 2016-04-08 alle 15.21.02Proponiamo qui l’articolo di Giusella Finocchiaro pubblicato venerdì 8 aprile 2016, su Il Giorno, Il Resto del Carlino e La Nazione.

Negli ultimi giorni abbiamo spesso letto delle grandi multinazionali tecnologiche nelle prime pagine dei quotidiani. Ma non per un nuovo modello di smartphone, né per un nuovo servizio, bensì per vicende che hanno avuto luogo in aule giudiziarie. Apple contro FBI, Facebook contro il Quotidiano Nazionale. Due grandi fenomeni si possono leggere dietro questi eventi: la tecnologia che si fa diritto e la debolezza degli Stati nazionali.

Il primo. La contrapposizione fra Nomos e Téchne è antica. Oggi la tecnologia è in grado di veicolare regole di contenuto giuridico: la scelta del livello di protezione dei dati, il grado di condivisione delle informazioni, le nuove firme elettroniche. Il codice, inteso come raccolta di norme (codice civile, codice penale, ecc.) si confonde con il codice (codice sorgente, codice eseguibile, ecc.) nel senso di software, di insieme di istruzioni che sta alla base dei programmi informatici. Come insegna Lessig, i due ‘codici’ possono diventare una cosa sola e la tecnologia può creare un sistema di regole parallelo. Ma si pone il grande problema del controllo sulla tecnica. Chi controlla la tecnica? Chi stabilisce gli obiettivi (se non addirittura i valori)?

Per leggere la versione completa dell’archivio si rimanda a QUESTA pagina di QN.

Vi proponiamo qui l’articolo di Giusella Finocchiaro pubblicato il 15 febbraio 2016 su Forum PA. Questo articolo fa parte del dossier “Speciale CAD: Cad corrotto, Agenda digitale infetta”. Per la versione completa del dossier rimandiamo al sito di Forum PA.

Il 1° luglio 2016 entrerà in vigore il Regolamento europeo 910/2014, noto come e-IDAS, che comporterà alcune rilevanti innovazioni in materia di identità digitale, di firme elettroniche e di servizi fiduciari.

Trattandosi di Regolamento europeo, quindi direttamente applicabile, non era tecnicamente necessario revisionare il Codice dell’Amministrazione digitale. Non è una direttiva, ma un Regolamento. Non sono quindi necessari atti di recepimento, come invece accade per le direttive europee. Non è uno strumento di armonizzazione, ma uno strumento di uniformazione del diritto che crea un’identica normativa europea per i 28 Stati.

Certo la riforma del CAD avrebbe comunque potuto essere utile, per favorire il coordinamento con la nuova normativa europea. Tuttavia il legislatore, quanto meno nella bozza pubblicata, va oltre il Regolamento europeo e, in taluni casi, in conflitto. Ciò comporterà i costi dell’incertezza giuridica per le imprese italiane che avrebbero invece potuto godere del vantaggio dell’esperienza accumulata nell’ambito della digitalizzazione e confluita in gran parte nel Regolamento europeo.

Affronto qui soltanto il tema del documento informatico e delle firme, oggi disciplinati dagli artt. 20 e seguenti del CAD.

Il Regolamento europeo prevede un approccio a due livelli (two-tier approach): in estrema sintesi solo la firma qualificata è equivalente alla sottoscrizione autografa; per il resto vige il principio della non discriminazione, cioè il principio secondo il quale non può essere negato valore giuridico ad un documento informatico per il solo fatto che è in forma elettronica.

Il legislatore italiano ha applicato questo principio nel CAD attualmente vigente, disponendo che il documento informatico, con o senza firma elettronica, è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità.

La ratio della norma è che non conoscendo a priori quale sia in concreto la firma elettronica, la quale può andare da una password banale ad un sistema basato sulla biometria, conseguentemente con un livello di sicurezza assai variabile, è il giudice che valuta caso per caso quanto vale.

Nella vigente normativa, dunque, non conoscendo a priori di che firma in concreto si parla, si demanda al giudice l’individuazione del valore giuridico del documento cui essa è associata.

Il nuovo art. 21 del CAD sarebbe il seguente:

“2. Fermo restando quanto previsto dai commi 2-bis e 2-ter, il documento informatico sottoscritto con firma elettronica, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”.

Secondo questa proposta, il documento sottoscritto con firma elettronica sarebbe idoneo a soddisfare il requisito della forma scritta e avrebbe l’efficacia probatoria prevista dall’art. 2702 c.c. Qualora la modifica apportata all’art. 21 fosse confermata, il documento recante una firma elettronica semplice sarebbe equiparato alla scrittura privata di cui all’art. 2702 c.c., se fosse idoneo a soddisfare le regole tecniche previste da un apposito regolamento.

Il regolamento, si immagina, dovrebbe cristallizzare le tipologie di firma elettronica oggi diffuse presumibilmente con un approccio analitico e casistico, di per sé inevitabilmente non esaustivo e fermo nel tempo. O invece, fare riferimento a principi generali e standard che non potrebbero che ricalcare altre tipologie di firma elettronica come, per esempio, la firma elettronica avanzata. Dunque un regolamento arduo da immaginare, che richiederà anni (3 anni si è atteso il regolamento sulla firma elettronica avanzata) e che nel frattempo bloccherà un mercato consolidato. Con quale vantaggio? Certo non si eviterà la consulenza tecnica d’ufficio, dal momento che il giudice si rivolgerà quasi certamente al CTU per verificare se le prescrizioni del regolamento sono rispettate nel caso concreto. Certo non si creerà maggiore certezza a priori, perché sarà comunque il giudice ex post a valutare se nella fattispecie si tratta di firma elettronica conforme al regolamento. Tutto questo con un vizio di fondo: tentare di rendere non neutra la firma elettronica, che è invece tecnologicamente neutra. Se questo approccio regolatorio è valido per la firma digitale che fa già nella definizione normativa riferimento ad una specifica tecnologia, non lo è per la firma elettronica che invece nasce tecnologicamente neutra.

Nulla cambierebbe invece nella disciplina relativa alla firma elettronica avanzata, qualificata e digitale, sempre che siano corretti alcuni errori, se interpreto correttamente l’intenzione del legislatore. Nell’attuale versione della proposta di riforma del CAD è infatti omesso il richiamo all’art. 2702 c.c. per i documenti che recano queste tipologie di firme, ed è anche omesso il richiamo alla presunzione di utilizzo del dispositivo di firma per i documenti con firma elettronica avanzata.

Forum PASi riporta qui l’articolo di Giusella Finocchiaro apparso sul magazine di Forum PA il 1 febbraio 2016.

Il Consiglio dei Ministri del 20 gennaio 2016 ha approvato, in esame preliminare, il decreto legislativo di modifica e integrazione del Codice dell’Amministrazione digitale (di seguito, per brevità “CAD”). Sperando di fornire un contributo costruttivo, esprimo alcune perplessità sulla nuova sistematizzazione della disciplina del documento informatico e delle firme elettroniche quale emerge dalla lettura della bozza.

Gli articoli rilevanti sul valore giuridico del documento informatico e sulla sua efficacia probatoria sono tre:

-l’art. 20 sul documento informatico senza firma;
-l’art. 21 sul documento informatico con firma elettronica, firma elettronica avanzata, firma elettronica qualificata e firma digitale;
-l’art. 23 quater sulle riproduzioni informatiche.

Nel CAD vigente l’art. 20, comma 1-bis dispone che:

“1-bis. L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità, fermo restando quanto disposto dall’articolo 21”.

Nel nuovo CAD l’art. 20, comma 1-bis suonerebbe:

“1-bis. L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità”.

Dunque su questo punto non si verificherebbero particolari cambiamenti. L’art. 21, invece, sarebbe radicalmente rivisto.

Di seguito il nuovo articolo 21

“2. Fermo restando quanto previsto dai commi 2-bis e 2-ter, il documento informatico sottoscritto con firma elettronica, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”.

“2-bis Salvo il caso di sottoscrizione autenticata le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, redatte su documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13), del codice civile redatti su documento informatico o formati attraverso procedimenti informatici sono sottoscritti, a pena di nullità, con firma elettronica avanzata, qualificata o digitale.

(omissis)”

Non va poi dimenticato l’art. 23-quater sulle riproduzioni informatiche il quale dispone che “All’articolo 2712 del codice civile dopo le parole: ‘riproduzioni fotografiche’ è inserita la seguente: ‘informatiche’” che rimarrebbe invariato.

Sul commento dell’art. 23-quater non posso intrattenermi qui per ragioni di necessaria brevità, ma ricordo la contraddizione fra questa norma e l’art. 20 nell’ormai ampia interpretazione giurisprudenziale.

Dunque il sistema che emergerebbe sarebbe il seguente:

- il documento informatico senza firma sarebbe valutabile in giudizio dal giudice, sotto ogni profilo;
- il documento informatico con firma elettronica soddisferebbe il requisito della forma scritta (ad substantiam, cioè per la validità dell’atto?) e avrebbe l’efficacia prevista dall’articolo 2702 del codice civile cioè quella della scrittura privata;
- il documento informatico con firma elettronica qualificata o digitale si suppone avrebbe l’efficacia probatoria della scrittura privata ma ciò non è espressamente disposto;
- al documento informatico con firma elettronica qualificata o digitale sarebbe applicabile la nota presunzione di utilizzo del dispositivo da parte del titolare dello stesso;
- il documento informatico con firma elettronica qualificata o digitale soddisferebbe tout court il requisito della forma scritta ad substantiam;
- il documento informatico con firma elettronica avanzata soddisferebbe il requisito della forma scritta ad substantiam soltanto nei casi indicati dall’art. 1350, primo comma, n. 13 del codice civile cioè per gli atti non aventi ad oggetto beni immobili.

Dunque, in estrema sintesi, non cambierebbe la disciplina sul documento informatico con firma elettronica avanzata, qualificata e digitale (anche se il testo novellato presenta già segnalati problemi di drafting); cambierebbe invece quella concernente il documento con firma elettronica.

Qui, dalla valutazione caso per caso del giudice, si passerebbe all’affermazione del soddisfacimento del requisito della forma scritta e dell’efficacia della scrittura privata.

Sia detto a margine, occorrerebbe chiarire se la forma scritta di cui si parla in relazione al documento informatico con firma elettronica è quella ad substantiam. Ma soprattutto occorre sottolineare che fino ad oggi il documento informatico con firma elettronica era valutabile caso per caso dal giudice, dal momento che a priori non si conosce quale sia in concreto la firma elettronica, la quale può andare da una password banale ad un sistema basato sulla biometria, con un conseguente livello di sicurezza assai variabile.

Nella vigente normativa, dunque, non conoscendo a priori di che firma in concreto si parla, si demanda al giudice l’individuazione del valore del documento cui essa è associata.

Nel nuovo CAD, invece, si affermerebbe che il documento con firma elettronica soddisfa comunque il requisito della forma scritta ed è scrittura privata. Dunque ad un documento con una firma non definita a priori si associano il valore giuridico e l’efficacia probatoria della scrittura privata. Il che non è richiesto affatto dalla normativa europea (né da quella attualmente vigente, né dal regolamento EIDAS che entrerà in vigore il prossimo 1° luglio), la quale anzi prevede soltanto il principio della non discriminazione del documento informatico: cioè che ad un documento informatico non può essere negato valore giuridico soltanto per la sua forma elettronica.

Con la formulazione del nuovo art. 21 pare volersi andare oltre, disponendo che un documento informatico ha l’efficacia della scrittura privata e dunque soddisfa il requisito della forma scritta ad substantiam.

Il giudice dovrebbe peraltro valutare il documento informatico con firma elettronica alla luce di regole tecniche il cui contenuto appare assai difficile da immaginare, dal momento che esse potrebbero oscillare fra i due estremi della casistica analitica (con i rischi connessi ad un’elencazione inevitabilmente incompleta e necessariamente sottoposta ad un continuo aggiornamento) e i principi generali già statuiti in precedenza per il documento informatico e per lo stesso documento informatico con firma elettronica (sicurezza, qualità, immodificabilità, integrità).

Se lo scopo è quello di evitare la consulenza tecnica d’ufficio o di dare più certezza giuridica al documento informatico con firma elettronica, difficilmente esso sarà raggiunto, perché comunque le regole tecniche (ardue da immaginare) dovranno sempre presentare ampli spazi di adattamento alla tecnologia e quindi di interpretazione. E non è affatto improbabile che il giudice comunque ricorra alla CTU.

In compenso ci si sarà allontanati dalla normativa europea per creare nuova confusione.

Il punto è che si sta cercando di rendere quadrato ciò che è nato tondo: cioè di rendere “non neutra” la firma elettronica, che come tutti sanno è tecnologicamente neutra. E questa operazione sarebbe portata a termine attraverso le redigende regole tecniche le quali dovrebbero modificare la natura della firma elettronica. Il regolamento europeo non va in questa direzione e neppure i testi internazionali (come la Convenzione Uncitral sulle comunicazioni elettroniche e il Model Law in materia di firme elettroniche).

Se si vogliono evitare i rischi della neutralità tecnologica, si può utilizzare la firma digitale.

Se si vogliono i vantaggi della neutralità tecnologica, si può utilizzare la firma elettronica.

Se si confondono i due approcci sistematici, dopo almeno vent’anni di elaborazione giuridica su questi temi, quando finalmente il mercato si è assestato, non si crea certezza giuridica, ma al contrario, incertezza. E il mercato, che ormai ha assorbito queste tematiche, non ha certo bisogno di nuovi dubbi né di attendere ulteriori improbabili regole tecniche.

In data 18 dicembre 2015 il COREPER ha approvato il testo del compromesso finale del Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, frutto dei negoziati in forma di trilogo tra il Consiglio, il Parlamento europeo e la Commissione.

Prende così vita la tanto attesa riforma in materia di protezione dei dati personali, i cui primi passi risalgono alla Proposta della Commissione europea di Gennaio 2012. Da allora sono trascorsi quattro anni di intenso lavoro delle istituzioni europee, determinate a conservare il ruolo di prim’ordine conquistato dall’Unione in tale ambito, attraverso l’elaborazione di una normativa al passo con gli sviluppi tecnologici finalizzata a rafforzare i diritti fondamentali dei cittadini nell’era digitale. Il nuovo Regolamento europeo andrà ad aggiornare e modernizzare i principi in materia di tutela dei dati personali sanciti dalla Direttiva 95/46/CE, secondo un quadro coerente e armonizzato valido per tutto il territorio europeo che consentirà, tra l’altro, di porre fine alla corrente frammentazione normativa in materia.

In attesa dell’approvazione definitiva, è interessante esaminare i capisaldi che il Regolamento pone a tutela della protezione dei dati personali contestualizzata nell’ambiente di Internet.

Particolare attenzione è dedicata ai diritti degli interessati in un’ottica di rafforzamento e conferimento di un maggior potere di controllo sui propri dati personali circolanti nella Rete: sono da segnalare il diritto di rettifica dei dati, il diritto all’oblio, il diritto a restringere il campo del trattamento al ricorrere di determinate evenienze, il diritto alla portabilità dei dati e il diritto ad opporsi a determinati trattamenti.

I controllers (titolari del trattamento) vengono maggiormente responsabilizzati, dovendo predisporre misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento e dovendo obbligatoriamente comunicare alle autorità e agli interessati i c.d. data breaches, ossia le violazioni dei dati avvenute durante tali operazioni.

Un secondo ordine di controlli viene affidato alle figure del Data Protection Officer (già previsto, a livello europeo, dal Reg. UE n. 44/2001) e di una supervisory authority indipendente a livello nazionale, poste a presidio del rispetto dei diritti dei cittadini e a garanzia della conformità delle operazioni di trattamento alle disposizioni del Regolamento. Al fine di coordinare l’azione delle Autorità di vigilanza nazionali sarà poi istituito il Comitato europeo per la protezione dei dati, che assicurerà a sua volta il funzionamento di meccanismi di mutua assistenza.

Infine, la legittimità dei trasferimenti di dati verso Paesi extra-UE sarà subordinata ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato. In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze.

Giusella Finocchiaro

Laura Greco