Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 18 luglio 2017 ha pubblicato un’analisi di Giusella Finocchiaro sulle implicazioni giuridiche correlate alla pubblicazione online non autorizzata di foto reperite da una casella email.

Non è possibile e non è corretto commentare sotto il profilo tecnico-giuridico una sentenza di cui non si conoscono le motivazioni, che saranno depositate entro 90 giorni.

Per questo dobbiamo attendere. Si legge che il Tribunale di Milano avrebbe assolto tre blogger accusati dalla Procura di avere abusivamente sottratto fotografie della festa di George Clooney ed Elisabetta Canalis dall’account di posta elettronica di una delle invitate all’evento. Ma non conosciamo in dettaglio i fatti. I reati contestati erano in particolare l’accesso abusivo al sistema informatico, l’intercettazione illecita di comunicazioni e la violazione di corrispondenza. Si è letto dalle prime indiscrezioni di stampa che il giudice avrebbe in parte disposto l’assoluzione perché il fatto non sussiste e in parte qualificato la condotta nel reato meno grave di rivelazione di corrispondenza altrui assolvendo gli imputati perché, in mancanza di querela delle parti offese, il reato non sarebbe procedibile. DUNQUE, in parte, essenzialmente motivazioni tecniche. Non conosciamo neppure le prove che sono state prodotte in giudizio e la produzione di prove telematiche nel processo costituisce un terreno ancora in piena esplorazione. Certo una considerazione di carattere generale deve essere fatta: Internet non è il Far West e le regole valgono tutte anche online. Comprese le regole processuali. Le stesse norme che si applicano fuori dalla Rete si applicano nella Rete, con le difficoltà che a volte questo comporta (basti ricordare il caso di Tiziana Cantone). Dunque se i giudici hanno assolto non possiamo che ritenere che ci siano argomentazioni tecnicogiuridiche adeguate. Ma certamente la diffusione non autorizzata di foto o la violazione di corrispondenza, adeguatamente provate in giudizio, sono illeciti dentro e fuori da Internet.

Vi proponiamo qui l’articolo di Giusella Finocchiaro, pubblicato su Agenda Digitale il 14 luglio 2017.

Si parla sempre di più del cosiddetto GDPR (General Data Protection Regulation) cioè del nuovo Regolamento europeo n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Ma non abbastanza del nuovo approccio alla sicurezza che caratterizza il Regolamento, ribaltando la precedente concezione.

Come è noto, il Regolamento sarà applicabile dal 25 maggio 2018, data in cui la direttiva 95/46/CE – che dettava il quadro normativo precedente – cesserà di aver effetto. Alla base della spinta riformatrice la volontà (e la necessità) di uniformazione del diritto tra gli Stati membri, nonché l’aspirazione, ancora una volta ribadita, alla creazione di un mercato unico digitale europeo.

Il Regolamento ha innovato l’assetto normativo in materia di protezione dei dati personali, cercando di adeguarsi alle esigenze di una realtà digitale e interconnessa. D’altronde, il modello normativo precedente si è rivelato obsoleto, giacché individuava un’unica tipologia di scambio di dati: dall’interessato al titolare del trattamento. Al contrario, oggi il modello è quello di condivisione e di cogestione di dati e di informazioni e questo ha imposto una revisione del paradigma non solo organizzativo ma, appunto, regolatore.

Trasparenza del trattamento, ripartizione delle responsabilità, maggiori diritti per gli interessati, inasprimento del profilo sanzionatorio (le sanzioni arriveranno fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo): sono questi alcuni punti focali della riformata disciplina in materia di privacy che il Regolamento rende più stringente.

Tuttavia, poco si parla ancora del nuovo approccio alla sicurezza che viene sostanzialmente ribaltato. Il nuovo Regolamento non detta più un elenco di specifiche misure da adottare. In questo ambito, a regole dettagliate e circostanziate il Regolamento preferisce un approccio di largo respiro che ben possa applicarsi anche alle future e innovative misure di sicurezza che gli sviluppi tecnologici in costante evoluzione saranno in grado di realizzare. Per tale ragione, il Regolamento lascia al titolare del trattamento ampia discrezionalità in sede di determinazione di tali misure. Un unico vincolo: la valutazione dei rischi unitamente alla considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento.

In altre parole, il titolare deve procedere all’individuazione delle misure di sicurezza sulla base delle specificità del trattamento che si appresta ad effettuare. Vero è infatti che i rischi cui son esposti i dati sono intrinsecamente correlati alle caratteristiche del trattamento: il trattamento di dati dei dipendenti di una impresa a conduzione familiare non è paragonabile al trattamento sistematico di dati sensibili effettuato da una struttura sanitaria pubblica operante a livello nazionale.

Si tratta, dunque, di una valutazione case-by-case, cui si aggiunge un ulteriore requisito: la valutazione deve essere preliminare rispetto al trattamento stesso. Occorre cioè effettuare in primo luogo un’analisi dei flussi informativi e una valutazione dei rischi che incombono su di essi, per decidere poi quali misure adottare. La scelta delle misure di sicurezza interverrà dunque solo a seguito dell’analisi della tipologia di dati oggetto del trattamento e della valutazione dell’impatto delle operazioni su di essi.

Continua su Agenda Digitale.it.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su ICT4Executive il 10 luglio 2017.

Il Regolamento europeo sulla privacy (General Data Protection Regulation) che entrerà in vigore l’anno prossimo introduce la possibilità per il responsabile del trattamento di nominare un altro responsabile in caso di relazioni contrattuali “multilivello” sottostanti al trattamento di dati personali.

25 maggio 2018: data in cui sarà direttamente applicabile il Regolamento europeo n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, ormai comunemente noto come “GDPR” (General Data Protection Regulation).

Concepito nel contesto di una realtà ove condivisione e interconnessione sono i nuovi pilastri fondanti del modello di scambio delle informazioni, il Regolamento non poteva che – tra le altre innovazioni – recepire anche i mutamenti connessi alla crescente tendenza alla differenziazione organizzativa. In altre parole, lo sviluppo di catene di prestazioni di servizi e il ricorso al subappalto o all’esternalizzazione delle attività portano al coinvolgimento di più soggetti e alla creazione di molteplici relazioni. Il Regolamento ha dunque colto la complessità delle relazioni contrattuali “multilivello” sottostanti al trattamento di dati personali, introducendo l’inedita figura del sub-responsabile. Il legislatore europeo prevede così la possibilità per il responsabile del trattamento di nominare un altro responsabile “previa autorizzazione scritta, specifica o generale, del titolare”.

Un potere da sempre proprio del titolare (la designazione dei responsabili) diventa oggetto di possibile delega, a conferma di una nuova ripartizione delle responsabilità prevista dal Regolamento. Il titolare mantiene però il potere di opporsi alle modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento ad opera del responsabile iniziale. A tal fine, il Regolamento stabilisce un rilevante onere informativo a carico di quest’ultimo che sarà quindi tenuto a comunicare adeguatamente al titolare le eventuali modifiche.

Se la fonte dell’investitura formale (cioè della designazione) muta, resta invece invariato il rapporto di subordinazione nei confronti del titolare. Il sub-responsabile risulterà infatti legato al titolare e al trattamento da un contratto o da un altro atto giuridico, che riprodurrà gli obblighi contenuti nell’atto di designazione con cui il titolare ha nominato a suo tempo il responsabile iniziale. Il sub-responsabile dovrà quindi eseguire le attività e le operazioni di trattamento per conto del titolare, nonché agire in via strumentale rispetto alle finalità dal medesimo determinate.

Tuttavia, analogo rapporto gerarchico potrebbe rilevarsi anche nei confronti del responsabile iniziale: a norma del Regolamento, questi dovrà infatti rispondere al titolare dell’eventuale inadempimento del sub-responsabile. Dunque, il Regolamento pone indirettamente a carico del responsabile iniziale una responsabilità per culpa in eligendo e per culpa in vigilando che legittimano implicitamente la possibilità per quest’ultimo di impartire istruzioni al sub-responsabile, purché conformi a quelle del titolare e strumentali alle finalità di trattamento.

In conclusione, il Regolamento ha introdotto un’ipotesi di designazione diretta tra responsabili la cui attuazione non tarderà a rivelare la propria efficacia. D’altronde le relazioni fattuali della società contemporanea risentivano da tempo di una normativa lacunosa che non riconosceva sulla carta ciò che ormai era prassi comune. Tuttavia, l’opera di adeguamento non pare ancora conclusa: occorre implementare il riconosciuto schema relazionale tra responsabili in tutti i contesti del trattamento dei dati personali. In ambito di flusso transfrontaliero di dati, ad esempio, è auspicabile che le ipotesi di trasferimento di dati all’estero tra responsabile e sub-responsabile vengano normativamente regolate o, perlomeno, che possano essere impiegate anche in tale contesto clausole contrattuali standard, analoghe a quelle già previste per le ipotesi di trasferimento di dati tra titolare e responsabile.

Giusella Finocchiaro

Laura Greco

Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 28 giugno 2017 ha pubblicato un’analisi di Giusella Finocchiaro sulle implicazioni giuridiche correlate al predominio di Google sul reperimento delle informazioni.

Google ha visto infliggersi una sanzione di 2.4 miliardi di euro, per abuso di posizione dominante, dalla Commissione europea.

Il servizio Google Shopping, infatti, sarebbe favorito nel ranking di ricerca, rispetto ad analoghi servizi dei concorrenti. Secondo l’argomento della Commissione, ad esempio, e l’esempio è di fantasia, se si vuole comprare un iphone e si digita su Google “compra iphone”, il servizio Google Shopping è quello che risulta al primo posto, anche prima dell’annuncio a pagamento effettuato su Google dalla stessa Apple.

Secondo la Commissione, Google avrebbe impedito alle altre società di competere sul mercato, sottraendo ai consumatori europei la possibilità di scegliere liberamente tra i diversi servizi offerti e di beneficiare pienamente dell’innovazione.

Ora, in questo caso, il tema è squisitamente commerciale.

Ma lo scenario muta radicalmente se si sostituisce l’iphone dell’esempio ad un’informazione non commerciale, dal momento che “l’accessibilità universale delle informazioni su Internet dipende dai motori di ricerca, dato che trovare informazioni rilevanti senza di essi sarebbe troppo complicato e difficile e produrrebbe risultati limitati”, come affermava l’avvocato generale della Corte di giustizia dell’Unione europea nella sentenza Google Spain che ha sancito il cosiddetto “diritto all’oblio”. In pratica, oggi se cerchiamo un’informazione su Internet ci serviamo dei motori di ricerca. Ma questo crea le condizioni per un naturale predominio dei motori di ricerca sulle informazioni e non è difficile immaginare scenari che vanno dalla censura alle fake news. Tutto dipende dal punto di vista e il motore di ricerca fornisce un punto di vista che ovviamente è relativo: se non c’è su Internet, allora non esiste. D’altronde, “se un albero cade in una foresta e nessuno lo sente, fa rumore?”

Si parla sempre di più del cosiddetto GDPR (General Data Protection Regulation) cioè del nuovo Regolamento europeo in materia di protezione dei dati personali, n. 679/2016, applicabile dal 25 maggio 2018.

Poco si dice, però, sul nuovo approccio alla sicurezza che viene sostanzialmente ribaltato. Il nuovo regolamento non prescrive le misure da adottare, dettandone l’elenco. Al contrario, lascia al titolare del trattamento la valutazione dei rischi, del valore dei dati, della loro criticità e la scelta delle misure di sicurezza da adottare.

Scelta che poi va sottoposta a continuo monitoraggio.

Occorre, dunque, effettuare un’analisi dei flussi informativi e una valutazione dei rischi che incombono su di essi, per decidere poi quali misure adottare.

Dunque, analisi, scelta, proceduralizzazione, implementazione, monitoraggio e presidio.

Non istruzioni dettate dalla norma, ma autovalutazione e gestione. E ovviamente documentazione precisa delle scelte, motivate, e del processo.

Un approccio nuovo basato sulla accountability, che richiede necessariamente competenze integrate: tecnologiche, organizzative e giuridiche.

Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 22 maggio 2017 ha pubblicato un’analisi di Giusella Finocchiaro sulle implicazioni giuridiche correlate al fenomeno Blue Whale.

Le recenti notizie di suicidi di adolescenti indotti via Internet con il gioco Blue Whale sollevano ancora una volta il problema della responsabilità giuridica.

Chi è il responsabile? In questo caso, anche penalmente? Certamente chi è l’autore del reato, ma questi è spesso anonimo e difficilmente individuabile. Oltre a questo, anche il social network che ha diffuso la comunicazione? A differenza dell’autore del reato, infatti, i social network, così come i gestori del sito e di blog, sono più facilmente individuabili. Il tema della responsabilità del provider fu affrontato già alla fine degli anni ‘90, quando l’Unione Europea ha elaborato la direttiva sul commercio elettronico, poi approvata nel 2000. In quella direttiva fu affermato il principio in base al quale il provider non ha obbligo di controllo e sorveglianza preventivi. Allora come oggi gli elementi a favore della responsabilità del provider (ovviamente ulteriore, rispetto a quella dell’autore dell’illecito) erano: individuabilità e solvibilità del soggetto, possibilità per questi di effettuare un controllo. Dall’altro lato, gli argomenti contro erano: la difficoltà tecnica di effettuare un controllo preventivo , il condizionamento esercitato dal controllo preventivo (ad esempio sull’espressione di un’opinione libera) , il costo dell’attività di controllo.

Mentre è evidente che il provider o il social network siano nella migliore posizione per effettuare un controllo preventivo, meno evidenti sono i costi del controllo, sia sotto un profilo economico che sotto un profilo sociale. Il controllo, infatti, richiede risorse economiche e tecnologiche, mentre se esercitato da un soggetto economico quale il provider potrebbe portare ad una forma di censura privata. Si giunse quindi all’affermazione dell’assenza dell’obbligo di sorveglianza e controllo preventivi. In giurisprudenza si è affermata, talvolta, la responsabilità del gestore del sito o del provider per mancata collaborazione con l’autorità giudiziaria o per mancata rimozione del contenuto lesivo, quando richiesto. In tali casi il gestore o il provider potrebbero, secondo le circostanze, essere ritenuti concorrenti nell’illecito.

In altri casi i giudici hanno cercato di costruire una responsabilità per altra via: per esempio, attraverso la legge sulla protezione dei dati personali o attraverso la legge sul diritto d’autore. Così per esempio el caso di Google- Vividown. Secondo la recente legge sul cyberbullismo i gestori di piattaforme virtuali come i social network e, in generale, tutti i fornitori di contenuti du Internet possono essere destinatari di richieste di oscuramento o rimozione di contenuti lesivi.Oggi dunque il social network non è responsabile, salvo letture molto recenti della giurisprudenza come nel caso Cantone, che hanno portato il Tribunale di Napoli (3 novembre 2016) a stabilire la responsabilità del provider che ha l’obbligo di rimuovere i contenuti (nello specifico link a siti di terze parti pubblicati da utenti del social network) semplicemente su richiesta di un utente e senza attendere l’ordine di un’autorità giudiziaria.

Questo modello è attualmente in discussione e alcuni richiedono di configurare la responsabilità del provider e di eliminare l’anonimato.

Il problema è, come sempre, chi debba dettare le regole, e anche il legislatore europeo ha un campo di azione limitato. Come per il fenomeno delle fake news, i grandi operatori propongono un sistema di autoregolamentazione. Ma ovviamente, mai come in questo caso, trattandosi di un fenomeno in corso di stabilizzazione, dettare le regole significa esercitare il potere.

Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 15 aprile 2017 ha pubblicato un commento a cura di Giusella Finocchiaro sul tema della privacy e dei minori.

Sono valide le iscrizioni a Facebook (e in generale ad un social network) di bambini e adolescenti? Se per concludere un contratto è necessario essere maggiorenni, perché non occorre esserlo per iscriversi ad un social? Insomma: quanti anni occorre avere per prestare un valido consenso al trattamento dei dati personali? Secondo Facebook tredici, secondo la legge italiana diciotto.

E allora come si spiega la presenza di così tanti bambini e adolescenti italiani sui social? Semplice: secondo la maggior parte dei contratti di iscrizione, non vale la legge italiana, ma quella del social network e quindi per Facebook quella degli Stati Uniti e della California.

Quale legge prevale? È il più classico dei problemi giuridici su Internet: quello della determinazione della legge applicabile e della giurisdizione. Il nuovo Regolamento europeo 679/2016 sul trattamento dei dati personali, che costituisce una nuova disciplina europea sulla privacy, direttamente applicabile dal maggio 2018, lo risolve con un parziale compromesso. Prevede che prevalga il diritto europeo e che bastino 16 anni (ma i singoli Stati membri possono stabilire un’età inferiore, purchè non al di sotto dei 13 anni). Se il minore ha un’età inferiore ai 16 anni, il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Secondo recenti sentenze italiane su casi analoghi (pubblicazioni di foto dei propri figli sui social), in questo caso occorrerebbe il consenso di entrambi i genitori. È evidente che non sarà molto difficile eludere questa norma. Ma, come prevede il Regolamento europeo, è il social che deve controllare, utilizzando la tecnologia disponibile.

Il Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 10 aprile 2017 ha pubblicato oggi un’intervista a Giusella Finocchiaro sul tema della privacy e delle telefonate commerciali.

Il Registro delle opposizioni è stato un tentativo, ma non funziona. Per difenderci abbiamo tre strade giudiziarie. La segnalazione al Garante privacy, la denuncia penale o quella civile.

L’illecito trattamento dei dati è punito dal Codice Privacy con la reclusione dai sei ai diciotto mesi. Si arriva a 24 mesi quando ci sono di mezzo comunicazione e diffusione. Nei casi più gravi, per esempio in caso di violazione delle disposizioni sulle informazioni sensibili, è prevista la reclusione da uno a tre anni.

Il Garante fa un’istruttoria e commina una multa. Il problema è che è oberato di lavoro, i tempi non sono rapidi. Anche se le sanzioni erogate sono state parecchie. Il Garante può anche chiedere una tutela penale per il cittadino. Poi c’è la via civile: se il cittadino riceve disturbi, può chiedere il risarcimento. Alcune decisioni hanno riconosciuto un danno perché era stata turbata la vita di una persona.

Purtroppo per diventare vittime di violazioni della nostra privacy basta stipulare un qualunque contratto. Dovrebbero chiederci un consenso specifico per usare il nostro nome a fini di marketing. Supponiamo di comprare un bene su Internet. per la consegna a casa devo dare indirizzo e email. Sono informazioni necessarie, per legge non dovrebbero nemmeno chiedere il consenso privacy. Ma magari il fornitore vuole usare i miei dati anche per informarmi di altre offerte. Qui il consenso diventa necessario. Ma alcuni pensano che essere poco corretti sia vantaggioso e chiedono un unico sì per fare la consegna prima e il marketing poi. Di solito è scritto tra le righe dell’informativa privacy, ma nessuno la legge, è per addetti ai lavori. Questa cattiva pratica è abbastanza diffusa. Non sono così tanti quelli che si fanno un vanto di seguire le regole.

Ovviamente c’è una strada legale. Ci danno tutte le informazioni corrette, ci chiedono se siamo disponibili affinché i nostri dati vengano usati per fini di marketing. A questo punto le informazioni girano, e non è detto che lo facciano gratuitamente. Nomi numeri e abitudini commerciali hanno un valore. Sono frammenti della nostra personalità ma anche beni economicamente rilevanti. E passano magari da una società all’altra.

Il punto di partenza della violazione è comunque sempre un consenso che non c’è o è mischiato. Poi le liste continuano a viaggiare. I rimedi per opporsi sulla carta ci sono, lo abbiamo verificato. Il problema è che sono parzialmente efficaci. E su internet si vedono anche identità digitali complete.


Presentiamo qui un estratto dell’articolo di Giusella Finocchiaro pubblicato sul magazine online “Cantieri della PA digitale” in data 8 marzo 2017.

Il 2016 è stato un anno decisivo per il consolidamento del processo di digitalizzazione sia a livello europeo, sia a livello nazionale. La recente riforma del Codice dell’Amministrazione digitale rappresenta il primo segno di recepimento di quelle spinte europee che ormai da tempo promuovono e sostengono l’ambizioso progetto di un’evoluzione full digital in diversi settori. La dematerializzazione dei processi documentali e conservativi, interni ed esterni alle pubbliche amministrazioni, si inserisce in questo articolato percorso di digitalizzazione, percorso che in Italia è stato fino ad oggi frenato a causa delle incertezze normative e dalle lentezze burocratiche.

Nella ridefinizione del quadro normativo italiano ha giocato un ruolo fondamentale l’opera di coordinamento con il Regolamento e-IDAS sull’identificazione digitale e sulle firme elettroniche.

Innanzitutto, muta la definizione di documento informatico e viene assegnato un nuovo valore giuridico al documento con firma elettronica.

Viene rafforzato l’approccio digital first, finalizzato al definitivo passaggio dal cartaceo al digitale dell’intero ciclo di vita del documento, dalla creazione, alla gestione e infine alla conservazione.

Ancora, lo SPID, il sistema di identificazione digitale, assume un ruolo fondamentale nella formazione di atti giuridici in quanto nuovo strumento di acquisizione della volontà dell’utente.

Sebbene sia ancora presto per valutare l’adeguatezza delle modifiche apportate, ciò che già da adesso appare necessario è un cambiamento che non sia circoscritto al testo della norma, ma che riguardi lo stesso approccio alla materia. Un approccio che ridefinisca i paradigmi e modelli di gestione e non si limiti solo a tradurre in digitale strumenti analogici e documenti cartacei.

Sono molte, infatti, le questioni ancora aperte che porteranno a una riflessione nel corso del 2017.

Continua su “Cantieri della PA digitale”.

Presentiamo qui un estratto dell’articolo di Giusella Finocchiaro pubblicato sul magazine online Forum PA il 21 settembre 2016.

Come cambia la disciplina delle firme elettroniche nel nuovo CAD? Come si sa, si tratta di un percorso lungo e complesso, cominciato nel ’97, che ha visto tante modifiche e aggiustamenti e oggi le riformulazioni che in parte sono riconducibili al Regolamento eIDAS. Nel nuovo CAD sono state soppresse le definizioni di firma elettronica, firma elettronica avanzata e firma qualificata che sono invece contenute nel Regolamento eIDAS cui si rinvia all’art. 1, comma 1- bis. Resta, invece, la definizione di firma digitale, benché corretta, tutta italiana.

Il cambiamento più significativo interessa l’art. 21 dedicato al documento informatico sottoscritto con firma elettronica. Il nuovo 1° comma dispone che “il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta e sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità”.

Per l’articolo completo si rimanda al sito di Forum PA.