Si parla sempre di più del cosiddetto GDPR (General Data Protection Regulation) cioè del nuovo Regolamento europeo in materia di protezione dei dati personali, n. 679/2016, applicabile dal 25 maggio 2018.
Poco si dice, però, sul nuovo approccio alla sicurezza che viene sostanzialmente ribaltato. Il nuovo regolamento non prescrive le misure da adottare, dettandone l’elenco. Al contrario, lascia al titolare del trattamento la valutazione dei rischi, del valore dei dati, della loro criticità e la scelta delle misure di sicurezza da adottare.
Scelta che poi va sottoposta a continuo monitoraggio.
Occorre, dunque, effettuare un’analisi dei flussi informativi e una valutazione dei rischi che incombono su di essi, per decidere poi quali misure adottare.
Dunque, analisi, scelta, proceduralizzazione, implementazione, monitoraggio e presidio.
Non istruzioni dettate dalla norma, ma autovalutazione e gestione. E ovviamente documentazione precisa delle scelte, motivate, e del processo.
Un approccio nuovo basato sulla accountability, che richiede necessariamente competenze integrate: tecnologiche, organizzative e giuridiche.
Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 22 maggio 2017 ha pubblicato un’analisi di Giusella Finocchiaro sulle implicazioni giuridiche correlate al fenomeno Blue Whale.
Le recenti notizie di suicidi di adolescenti indotti via Internet con il gioco Blue Whale sollevano ancora una volta il problema della responsabilità giuridica.
Chi è il responsabile? In questo caso, anche penalmente? Certamente chi è l’autore del reato, ma questi è spesso anonimo e difficilmente individuabile. Oltre a questo, anche il social network che ha diffuso la comunicazione? A differenza dell’autore del reato, infatti, i social network, così come i gestori del sito e di blog, sono più facilmente individuabili. Il tema della responsabilità del provider fu affrontato già alla fine degli anni ‘90, quando l’Unione Europea ha elaborato la direttiva sul commercio elettronico, poi approvata nel 2000. In quella direttiva fu affermato il principio in base al quale il provider non ha obbligo di controllo e sorveglianza preventivi. Allora come oggi gli elementi a favore della responsabilità del provider (ovviamente ulteriore, rispetto a quella dell’autore dell’illecito) erano: individuabilità e solvibilità del soggetto, possibilità per questi di effettuare un controllo. Dall’altro lato, gli argomenti contro erano: la difficoltà tecnica di effettuare un controllo preventivo , il condizionamento esercitato dal controllo preventivo (ad esempio sull’espressione di un’opinione libera) , il costo dell’attività di controllo.
Mentre è evidente che il provider o il social network siano nella migliore posizione per effettuare un controllo preventivo, meno evidenti sono i costi del controllo, sia sotto un profilo economico che sotto un profilo sociale. Il controllo, infatti, richiede risorse economiche e tecnologiche, mentre se esercitato da un soggetto economico quale il provider potrebbe portare ad una forma di censura privata. Si giunse quindi all’affermazione dell’assenza dell’obbligo di sorveglianza e controllo preventivi. In giurisprudenza si è affermata, talvolta, la responsabilità del gestore del sito o del provider per mancata collaborazione con l’autorità giudiziaria o per mancata rimozione del contenuto lesivo, quando richiesto. In tali casi il gestore o il provider potrebbero, secondo le circostanze, essere ritenuti concorrenti nell’illecito.
In altri casi i giudici hanno cercato di costruire una responsabilità per altra via: per esempio, attraverso la legge sulla protezione dei dati personali o attraverso la legge sul diritto d’autore. Così per esempio el caso di Google- Vividown. Secondo la recente legge sul cyberbullismo i gestori di piattaforme virtuali come i social network e, in generale, tutti i fornitori di contenuti du Internet possono essere destinatari di richieste di oscuramento o rimozione di contenuti lesivi.Oggi dunque il social network non è responsabile, salvo letture molto recenti della giurisprudenza come nel caso Cantone, che hanno portato il Tribunale di Napoli (3 novembre 2016) a stabilire la responsabilità del provider che ha l’obbligo di rimuovere i contenuti (nello specifico link a siti di terze parti pubblicati da utenti del social network) semplicemente su richiesta di un utente e senza attendere l’ordine di un’autorità giudiziaria.
Questo modello è attualmente in discussione e alcuni richiedono di configurare la responsabilità del provider e di eliminare l’anonimato.
Il problema è, come sempre, chi debba dettare le regole, e anche il legislatore europeo ha un campo di azione limitato. Come per il fenomeno delle fake news, i grandi operatori propongono un sistema di autoregolamentazione. Ma ovviamente, mai come in questo caso, trattandosi di un fenomeno in corso di stabilizzazione, dettare le regole significa esercitare il potere.
Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 15 aprile 2017 ha pubblicato un commento a cura di Giusella Finocchiaro sul tema della privacy e dei minori.
Sono valide le iscrizioni a Facebook (e in generale ad un social network) di bambini e adolescenti? Se per concludere un contratto è necessario essere maggiorenni, perché non occorre esserlo per iscriversi ad un social? Insomma: quanti anni occorre avere per prestare un valido consenso al trattamento dei dati personali? Secondo Facebook tredici, secondo la legge italiana diciotto.
E allora come si spiega la presenza di così tanti bambini e adolescenti italiani sui social? Semplice: secondo la maggior parte dei contratti di iscrizione, non vale la legge italiana, ma quella del social network e quindi per Facebook quella degli Stati Uniti e della California.
Quale legge prevale? È il più classico dei problemi giuridici su Internet: quello della determinazione della legge applicabile e della giurisdizione. Il nuovo Regolamento europeo 679/2016 sul trattamento dei dati personali, che costituisce una nuova disciplina europea sulla privacy, direttamente applicabile dal maggio 2018, lo risolve con un parziale compromesso. Prevede che prevalga il diritto europeo e che bastino 16 anni (ma i singoli Stati membri possono stabilire un’età inferiore, purchè non al di sotto dei 13 anni). Se il minore ha un’età inferiore ai 16 anni, il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.
Secondo recenti sentenze italiane su casi analoghi (pubblicazioni di foto dei propri figli sui social), in questo caso occorrerebbe il consenso di entrambi i genitori. È evidente che non sarà molto difficile eludere questa norma. Ma, come prevede il Regolamento europeo, è il social che deve controllare, utilizzando la tecnologia disponibile.
Il Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 10 aprile 2017 ha pubblicato oggi un’intervista a Giusella Finocchiaro sul tema della privacy e delle telefonate commerciali.
Il Registro delle opposizioni è stato un tentativo, ma non funziona. Per difenderci abbiamo tre strade giudiziarie. La segnalazione al Garante privacy, la denuncia penale o quella civile.
L’illecito trattamento dei dati è punito dal Codice Privacy con la reclusione dai sei ai diciotto mesi. Si arriva a 24 mesi quando ci sono di mezzo comunicazione e diffusione. Nei casi più gravi, per esempio in caso di violazione delle disposizioni sulle informazioni sensibili, è prevista la reclusione da uno a tre anni.
Il Garante fa un’istruttoria e commina una multa. Il problema è che è oberato di lavoro, i tempi non sono rapidi. Anche se le sanzioni erogate sono state parecchie. Il Garante può anche chiedere una tutela penale per il cittadino. Poi c’è la via civile: se il cittadino riceve disturbi, può chiedere il risarcimento. Alcune decisioni hanno riconosciuto un danno perché era stata turbata la vita di una persona.
Purtroppo per diventare vittime di violazioni della nostra privacy basta stipulare un qualunque contratto. Dovrebbero chiederci un consenso specifico per usare il nostro nome a fini di marketing. Supponiamo di comprare un bene su Internet. per la consegna a casa devo dare indirizzo e email. Sono informazioni necessarie, per legge non dovrebbero nemmeno chiedere il consenso privacy. Ma magari il fornitore vuole usare i miei dati anche per informarmi di altre offerte. Qui il consenso diventa necessario. Ma alcuni pensano che essere poco corretti sia vantaggioso e chiedono un unico sì per fare la consegna prima e il marketing poi. Di solito è scritto tra le righe dell’informativa privacy, ma nessuno la legge, è per addetti ai lavori. Questa cattiva pratica è abbastanza diffusa. Non sono così tanti quelli che si fanno un vanto di seguire le regole.
Ovviamente c’è una strada legale. Ci danno tutte le informazioni corrette, ci chiedono se siamo disponibili affinché i nostri dati vengano usati per fini di marketing. A questo punto le informazioni girano, e non è detto che lo facciano gratuitamente. Nomi numeri e abitudini commerciali hanno un valore. Sono frammenti della nostra personalità ma anche beni economicamente rilevanti. E passano magari da una società all’altra.
Il punto di partenza della violazione è comunque sempre un consenso che non c’è o è mischiato. Poi le liste continuano a viaggiare. I rimedi per opporsi sulla carta ci sono, lo abbiamo verificato. Il problema è che sono parzialmente efficaci. E su internet si vedono anche identità digitali complete.
Presentiamo qui un estratto dell’articolo di Giusella Finocchiaro pubblicato sul magazine online “Cantieri della PA digitale” in data 8 marzo 2017.
Il 2016 è stato un anno decisivo per il consolidamento del processo di digitalizzazione sia a livello europeo, sia a livello nazionale. La recente riforma del Codice dell’Amministrazione digitale rappresenta il primo segno di recepimento di quelle spinte europee che ormai da tempo promuovono e sostengono l’ambizioso progetto di un’evoluzione full digital in diversi settori. La dematerializzazione dei processi documentali e conservativi, interni ed esterni alle pubbliche amministrazioni, si inserisce in questo articolato percorso di digitalizzazione, percorso che in Italia è stato fino ad oggi frenato a causa delle incertezze normative e dalle lentezze burocratiche.
Nella ridefinizione del quadro normativo italiano ha giocato un ruolo fondamentale l’opera di coordinamento con il Regolamento e-IDAS sull’identificazione digitale e sulle firme elettroniche.
Innanzitutto, muta la definizione di documento informatico e viene assegnato un nuovo valore giuridico al documento con firma elettronica.
Viene rafforzato l’approccio digital first, finalizzato al definitivo passaggio dal cartaceo al digitale dell’intero ciclo di vita del documento, dalla creazione, alla gestione e infine alla conservazione.
Ancora, lo SPID, il sistema di identificazione digitale, assume un ruolo fondamentale nella formazione di atti giuridici in quanto nuovo strumento di acquisizione della volontà dell’utente.
Sebbene sia ancora presto per valutare l’adeguatezza delle modifiche apportate, ciò che già da adesso appare necessario è un cambiamento che non sia circoscritto al testo della norma, ma che riguardi lo stesso approccio alla materia. Un approccio che ridefinisca i paradigmi e modelli di gestione e non si limiti solo a tradurre in digitale strumenti analogici e documenti cartacei.
Sono molte, infatti, le questioni ancora aperte che porteranno a una riflessione nel corso del 2017.
Presentiamo qui un estratto dell’articolo di Giusella Finocchiaro pubblicato sul magazine online Forum PA il 21 settembre 2016.
Come cambia la disciplina delle firme elettroniche nel nuovo CAD? Come si sa, si tratta di un percorso lungo e complesso, cominciato nel ’97, che ha visto tante modifiche e aggiustamenti e oggi le riformulazioni che in parte sono riconducibili al Regolamento eIDAS. Nel nuovo CAD sono state soppresse le definizioni di firma elettronica, firma elettronica avanzata e firma qualificata che sono invece contenute nel Regolamento eIDAS cui si rinvia all’art. 1, comma 1- bis. Resta, invece, la definizione di firma digitale, benché corretta, tutta italiana.
Il cambiamento più significativo interessa l’art. 21 dedicato al documento informatico sottoscritto con firma elettronica. Il nuovo 1° comma dispone che “il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta e sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità”.
Per l’articolo completo si rimanda al sito di Forum PA.
I
l web non è sempre esistito. Tantomeno Internet. Quando ricordo questi fatti evidenti ogni anno, all’inizio del mio corso di Diritto di Internet, alcuni studenti mi guardano stupiti. Quando pensiamo che 25 o 27 anni fa (a seconda delle ricostruzioni: di Facebook che ha lanciato l’idea del venticinquesimo compleanno e dell’inventore del web, Tim Berners-Lee, citato dal Post, che ha autorevolmente corretto) non c’era il web e nemmeno Google, Facebook, i social network e gli smart phone, sembra davvero che si tratti di un’altra era geologica.
Eppure, anche se a raccontarlo mi sento il “Numero Uno” di Alan Ford (per i più giovani non esperti di fumetti: riferimenti su wikipedia) c’era una volta un’epoca senza il www… Certamente è stata un’invenzione che ha cambiato il mondo e il modo di comunicare e di interagire con gli altri, con impatti di enorme rilevanza, di cui ancora osserviamo le conseguenze, nell’economia, nella politica e ovviamente nel diritto.
Internet, come è noto, e come ci ricorda anche il bel documentario di Herzog, Lo and Behold, è nato alla fine degli anni ‘60. Il world wide web, che non coincide con Internet, ma è uno dei più rilevanti servizi che utilizzano la Rete, molto più recentemente. I progenitori erano gli ipertesti, la cui idea innovativa era quella di collegare fra loro contenuti in un ordine non più necessariamente sequenziale, ma relazionale.
Nel 1969 l’uomo è andato sulla Luna e questo evento lo ricordano tutti. Pochi ricordano la contemporanea nascita di Internet, ma certo questo ha sconvolto molto di più la nostra quotidianità.
Le applicazioni commerciali di Internet si vedono negli Stati Uniti alla fine degli anni ‘90: da neolaureata approfondivo le mie ricerche sui contratti informatici. E negli spot pubblicitari non mancava l’indirizzo www del produttore, che ancora in Italia non si vedeva. E ancora, il primo acquisto on line: un portatile (grande come una valigetta) consegnato overnight.
Tutto questo è oggi la nostra quotidianità: non ha più senso nemmeno la distinzione reale/virtuale. È tutto reale e anzi la nostra realtà può essere aumentata. Ma quanto ne siamo davvero consapevoli? Quanto abbiamo davvero compreso che il nostro agire anche on line ha precise conseguenze nella vita nostra e degli altri e non è affatto al di fuori delle regole?
Il 6 aprile 2016, la Corte di Cassazione francese ha per la prima volta emesso una decisione avente ad oggetto la validità di una firma elettronica.
Nel caso in esame (si tratta della sentenza n. 15-10.732), il ricorrente negava di aver firmato il contratto di assicurazione online sulla base del quale era stato condannato dal Tribunale di Montpellier al pagamento di una somma di denaro in favore della compagnia assicuratrice.
La Cassazione francese ha respinto tuttavia il ricorso, ritenendo che il giudice di merito avesse correttamente giustificato la propria decisione stabilendo la validità della firma elettronica. La Suprema Corte francese ha dunque chiarito quali siano le condizioni che il giudice di merito è tenuto a verificare per affermare la validità della firma elettronica, ossia quelle stabilite agli artt. 1316-1 e 1316-4, 2° comma, 1° periodo del Codice civile francese. Secondo l’art. 1316-4, 2° comma, 1° periodo del Codice civile francese, la firma (cosiddetta “semplice”) è idonea a manifestare il consenso delle parti alle obbligazioni che derivano dall’atto firmato quando consiste nell’utilizzo di una procedura di identificazione affidabile, che garantisca il collegamento tra la firma e l’atto a cui questa è collegata. Quanto all’ammissibilità in giudizio e al valore giuridico di un atto firmato con firma elettronica, l’art. 1316-1 del Codice civile francese prevede l’equivalenza al documento cartaceo se può essere identificata la persona che ha formato il documento elettronico e se questo è stato creato e conservato in condizioni che ne garantiscano l’integrità.
Nel caso di specie, il Tribunale ha riscontrato tutte le citate condizioni. Infatti, era stata utilizzata una procedura affidabile per firmare, che assicurava il collegamento tra la firma e l’atto a cui questa si riferiva. La domanda di adesione, prodotta come prova in giudizio, conteneva l’indicazione dell’avvenuta consegna del documento, permettendo l’identificazione precisa dei firmatari. Infine, il Tribunale aveva verificato che la domanda di adesione al contratto fosse stata conservata in modo da garantire la sua integrità. La Corte di Cassazione francese ha dunque affermato che il Tribunale di merito ha correttamente giustificato la sua decisione circa la validità della firma elettronica e, ritenendola imputabile al ricorrente, ha respinto il ricorso.
Il testo completo della decisione è disponibile QUI.
Giusella Finocchiaro
Matilde Ratti
Proponiamo qui l’articolo di Giusella Finocchiaro pubblicato venerdì 8 aprile 2016, su Il Giorno, Il Resto del Carlino e La Nazione.
Negli ultimi giorni abbiamo spesso letto delle grandi multinazionali tecnologiche nelle prime pagine dei quotidiani. Ma non per un nuovo modello di smartphone, né per un nuovo servizio, bensì per vicende che hanno avuto luogo in aule giudiziarie. Apple contro FBI, Facebook contro il Quotidiano Nazionale. Due grandi fenomeni si possono leggere dietro questi eventi: la tecnologia che si fa diritto e la debolezza degli Stati nazionali.
Il primo. La contrapposizione fra Nomos e Téchne è antica. Oggi la tecnologia è in grado di veicolare regole di contenuto giuridico: la scelta del livello di protezione dei dati, il grado di condivisione delle informazioni, le nuove firme elettroniche. Il codice, inteso come raccolta di norme (codice civile, codice penale, ecc.) si confonde con il codice (codice sorgente, codice eseguibile, ecc.) nel senso di software, di insieme di istruzioni che sta alla base dei programmi informatici. Come insegna Lessig, i due ‘codici’ possono diventare una cosa sola e la tecnologia può creare un sistema di regole parallelo. Ma si pone il grande problema del controllo sulla tecnica. Chi controlla la tecnica? Chi stabilisce gli obiettivi (se non addirittura i valori)?
Per leggere la versione completa dell’archivio si rimanda a QUESTA pagina di QN.
Vi proponiamo qui l’articolo di Giusella Finocchiaro pubblicato il 15 febbraio 2016 su Forum PA. Questo articolo fa parte del dossier “Speciale CAD: Cad corrotto, Agenda digitale infetta”. Per la versione completa del dossier rimandiamo al sito di Forum PA.
Il 1° luglio 2016 entrerà in vigore il Regolamento europeo 910/2014, noto come e-IDAS, che comporterà alcune rilevanti innovazioni in materia di identità digitale, di firme elettroniche e di servizi fiduciari.
Trattandosi di Regolamento europeo, quindi direttamente applicabile, non era tecnicamente necessario revisionare il Codice dell’Amministrazione digitale. Non è una direttiva, ma un Regolamento. Non sono quindi necessari atti di recepimento, come invece accade per le direttive europee. Non è uno strumento di armonizzazione, ma uno strumento di uniformazione del diritto che crea un’identica normativa europea per i 28 Stati.
Certo la riforma del CAD avrebbe comunque potuto essere utile, per favorire il coordinamento con la nuova normativa europea. Tuttavia il legislatore, quanto meno nella bozza pubblicata, va oltre il Regolamento europeo e, in taluni casi, in conflitto. Ciò comporterà i costi dell’incertezza giuridica per le imprese italiane che avrebbero invece potuto godere del vantaggio dell’esperienza accumulata nell’ambito della digitalizzazione e confluita in gran parte nel Regolamento europeo.
Affronto qui soltanto il tema del documento informatico e delle firme, oggi disciplinati dagli artt. 20 e seguenti del CAD.
Il Regolamento europeo prevede un approccio a due livelli (two-tier approach): in estrema sintesi solo la firma qualificata è equivalente alla sottoscrizione autografa; per il resto vige il principio della non discriminazione, cioè il principio secondo il quale non può essere negato valore giuridico ad un documento informatico per il solo fatto che è in forma elettronica.
Il legislatore italiano ha applicato questo principio nel CAD attualmente vigente, disponendo che il documento informatico, con o senza firma elettronica, è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità.
La ratio della norma è che non conoscendo a priori quale sia in concreto la firma elettronica, la quale può andare da una password banale ad un sistema basato sulla biometria, conseguentemente con un livello di sicurezza assai variabile, è il giudice che valuta caso per caso quanto vale.
Nella vigente normativa, dunque, non conoscendo a priori di che firma in concreto si parla, si demanda al giudice l’individuazione del valore giuridico del documento cui essa è associata.
Il nuovo art. 21 del CAD sarebbe il seguente:
“2. Fermo restando quanto previsto dai commi 2-bis e 2-ter, il documento informatico sottoscritto con firma elettronica, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”.
Secondo questa proposta, il documento sottoscritto con firma elettronica sarebbe idoneo a soddisfare il requisito della forma scritta e avrebbe l’efficacia probatoria prevista dall’art. 2702 c.c. Qualora la modifica apportata all’art. 21 fosse confermata, il documento recante una firma elettronica semplice sarebbe equiparato alla scrittura privata di cui all’art. 2702 c.c., se fosse idoneo a soddisfare le regole tecniche previste da un apposito regolamento.
Il regolamento, si immagina, dovrebbe cristallizzare le tipologie di firma elettronica oggi diffuse presumibilmente con un approccio analitico e casistico, di per sé inevitabilmente non esaustivo e fermo nel tempo. O invece, fare riferimento a principi generali e standard che non potrebbero che ricalcare altre tipologie di firma elettronica come, per esempio, la firma elettronica avanzata. Dunque un regolamento arduo da immaginare, che richiederà anni (3 anni si è atteso il regolamento sulla firma elettronica avanzata) e che nel frattempo bloccherà un mercato consolidato. Con quale vantaggio? Certo non si eviterà la consulenza tecnica d’ufficio, dal momento che il giudice si rivolgerà quasi certamente al CTU per verificare se le prescrizioni del regolamento sono rispettate nel caso concreto. Certo non si creerà maggiore certezza a priori, perché sarà comunque il giudice ex post a valutare se nella fattispecie si tratta di firma elettronica conforme al regolamento. Tutto questo con un vizio di fondo: tentare di rendere non neutra la firma elettronica, che è invece tecnologicamente neutra. Se questo approccio regolatorio è valido per la firma digitale che fa già nella definizione normativa riferimento ad una specifica tecnologia, non lo è per la firma elettronica che invece nasce tecnologicamente neutra.
Nulla cambierebbe invece nella disciplina relativa alla firma elettronica avanzata, qualificata e digitale, sempre che siano corretti alcuni errori, se interpreto correttamente l’intenzione del legislatore. Nell’attuale versione della proposta di riforma del CAD è infatti omesso il richiamo all’art. 2702 c.c. per i documenti che recano queste tipologie di firme, ed è anche omesso il richiamo alla presunzione di utilizzo del dispositivo di firma per i documenti con firma elettronica avanzata.
-
Dal 2001 specializzato in diritto di Internet e dell'Informatica
-
Tutti i contenuti di questo blog sono sottoposti ad una licenza Creative Commons
