Il cosiddetto decreto “Semplifica Italia” approvato venerdì scorso dal Consiglio dei ministri promuove fortemente digitalizzazione e informatica.
Un ruolo fondamentale è attribuito all’agenda digitale che è costituita, secondo il Comunicato stampa ufficiale di quattro punti:
-costituzione di una cabina di regia per lo sviluppo della banda larga e ultra-larga
-open data nella pubblica amministrazione
-cloud computing nella pubblica amministrazione
-smart communities
I temi di maggiore interesse sotto il profilo giuridico sono due: open data e cloud computing.
L’open data, cioè la fruibilità dei dati fra pubbliche amministrazioni, e quindi la valorizzazione e la condivisione del patrimonio informativo delle pubbliche amministrazioni, è già previsto nel Codice dell’amministrazione digitale, in più punti. Attualmente le principali limitazioni giuridiche all’open data sono costituite dalla sussistenza di diritti protetti dalla legge sul diritto d’autore, del diritto alla protezione delle banche di dati (c.d. diritto sui generis), dalla tutela del diritto alla privacy e alla protezione dei dati personali.
Dall’agenda digitale potrà venire un impulso all’attuazione di strategie operative per la diffusione dell’open data.
Il cloud computing può comportare un notevole risparmio di risorse: il rischio è che dei dati su cloud si perda il controllo. Per questa ragione, in Norvegia è stato al momento escluso che i dati della pubblica amministrazione possano utilizzare il cloud.
Le criticità giuridiche sono, ancora una volta, costituite dalla protezione dei dati personali.
Anche a questo riguardo è auspicabile che l’agenda digitale fornisca chiare linee operative.
Il decreto “Salva-Italia” (legge 22 dicembre 2011, n. 214) come pure il decreto semplificazioni approvato venerdì scorso dal Consiglio dei ministri, operano rilevanti tagli alla cosiddetta legge sulla privacy.
Il primo, modificando la definizione di dato personale, ha escluso l’applicabilità del Codice per la protezione dei dati personali alle informazioni concernenti persone giuridiche, enti e associazioni e quindi ai dati di società, imprese, enti pubblici. Ciò significa che per trattare questi dati non è più necessaria l’informativa, non occorre richiedere il consenso o verificare che il trattamento sia conforme ai fini istituzionali dell’ente pubblico, non occorre più designare incaricati e responsabili di trattamento, né applicare le misure di sicurezza. Ciò significa anche che le persone giuridiche non vantano alcun diritto di controllo sui dati previsto dalla medesima legge.
In estrema sintesi, la legge sulla privacy non si applica ai dati di imprese, società, persone giuridiche in generale, enti e associazioni.
Il decreto semplificazioni, approvato venerdì dal Consiglio dei ministri, secondo quanto riportato dal comunicato stampa dello stesso Consiglio dei ministri pare prevedere l’abolizione del documento programmatico sulla sicurezza.
In entrambi i casi si tratta di modifiche a disposizioni della legge italiana non presenti nella direttiva europea.
Se l’abolizione del documento programmatico sulla sicurezza sarà confermata, va comunque chiarito che gli obblighi in materia di sicurezza rimangono fermi e così le responsabilità penale, amministrativa e civile conseguenti alla mancata adozione di misure di sicurezza. L’abolizione del documento programmatico sulla sicurezza non comporta e non deve comportare in alcun modo un’attenuazione della sicurezza nel trattamento dei dati personali perché, come è noto, senza sicurezza non c’è privacy.
Se i vantaggi economici, gestionali e organizzativi del cloud computing sono noti, un certo timore e un certo sospetto circondano gli aspetti legali del cloud.
I problemi giuridici, tuttavia, possono essere risolti da un buon contratto che disciplini sicurezza, protezione dei dati personali, legge applicabile e SLA.
Dal punto di vista giuridico, queste sono le principali criticità legate all’espansione delle nuvole. Trasferire dati all’esterno, infatti, ne comporta la perdita di controllo “fisico” da parte dell’utente. Da questo punto di vista i maggiori interrogativi riguardano gli aspetti legati alla sicurezza e alla tutela dei dati personali affidati a terzi.
In particolare, è essenziale definire l’architettura e i ruoli dei vari soggetti coinvolti per chiarirne i doveri collegati all’applicazione della normativa vigente.
La recente pubblicazione della sentenza della Corte di cassazione 17 febbraio-1° giugno 2011, n. 21839 fa riflettere.
I fatti alla base della decisione paiono, nella loro essenza, estremamente semplici: un soggetto diffonde via chat il numero di telefono cellulare di un altro soggetto, senza consenso di quest’ultimo. Tale condotta, secondo la decisione, integra il reato di trattamento illecito di dati personali, disciplinato dall’art. 167 del Codice per la protezione dei dati personali.
È bene ricordare che gli elementi costitutivi di questa fattispecie di reato sono tre:
1) che il trattamento sia di per sé illecito, cioè in violazione di alcune specifiche disposizioni del Codice
2) che si configuri il dolo specifico, cioè la volontà di arrecare un danno o conseguire un profitto
3) che un danno (nocumento) sia stato effettivamente cagionato.
Ora, da quanto si ricava dalla decisione, il trattamento era senz’altro illecito. Il dato personale (il numero telefonico del cellulare) era stato trattato, più precisamente diffuso via Internet, senza il consenso dell’interessato.
Questa condotta, a quanto si desume, era stata posta in essere dal reo allo scopo di arrecare un danno all’interessato e il danno era stato effettivamente prodotto. Su questo punto, si segnala, la Cassazione sembra favorevole al riconoscimento di un danno in re ipsa, ma non è possibile approfondire questo aspetto in questa sede.
La Corte di cassazione conferma quindi la sentenza penale di condanna.
Pur sembrando la decisione condivisibile, nei limiti degli scarni elementi di fatto riportati nella sentenza pubblicata, si rileva un errore.
Il numero di telefono cellulare è certamente dato personale ma non dato sensibile. La decisione, invece, si riferisce al numero di telefono cellulare come ad un dato sensibile.
Le due definizioni, contenute nell’art. 4 del Codice per la protezione dei dati personali sono invece estremamente chiare e non danno luogo ad equivoci.
Il dato personale è, in sintesi, qualunque informazione riferibile ad un soggetto: dunque sia il numero dell’utenza telefonica fissa, sia il numero dell’utenza telefonica mobile.
Dati “sensibili” sono soltanto i dati espressamente e tassativamente elencati dall’art. 4, comma 1, lett. d), cioè: “i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. Fra questi non vi è il numero di utenza telefonica cellulare.
“Dato sensibile” non è, sotto il profilo giuridico, sinonimo di “dato riservato”. Il dato riservato nella legge non esiste, mentre il dato sensibile è soltanto quello che rientra nell’elenco sopra riportato.
Il numero di telefono cellulare è un dato personale ma non un dato sensibile. Questo è un errore che viene frequentemente commesso dai non addetti ai lavori.
Ciò non significa affatto che il numero di telefono cellulare possa essere liberamente trattato e diffuso da chiunque: è un dato personale e quindi per ogni trattamento occorre il consenso dell’interessato.
Se fosse stato dato sensibile, allora sarebbe stata necessaria anche l’autorizzazione del Garante per la protezione dei dati personali e il reato sarebbe stato aggravato. Non essendo dato sensibile, ma dato personale, comunque si configura un reato.
Che la Corte di cassazione incorra in questo errore, dimostra che la cosiddetta legge sulla privacy è ancora ben lontana dall’essere conosciuta e che il livello di consapevolezza e di cultura giuridica è ancora estremamente basso.
Oggi sul sito di DigitPa è stata pubblicata la bozza delle regole tecniche sulle firme elettroniche. Secondo la prassi ormai in uso, la bozza è proposta ai commenti del pubblico. Fino al 19 luglio 2011 è possibile inviare commenti al seguente indirizzo: fea @ digitpa.gov.it.
Le nuove regole tecniche sostituiranno, com’è noto, le regole tecniche approvate con d.p.c.m. 30 marzo 2009.
Le più importanti disposizioni sono le seguenti:
-previsione di dispositivi sicuri diversi per la generazione rispettivamente della firma qualificata e della firma digitale;
-disposizioni specifiche sulla firma remota;
-disciplina della firma elettronica avanzata.
In particolare sulla firma elettronica avanzata, le regole tecniche erano molto attese, al fine di dare contenuto all’art. 21, comma 2 del CAD.
In primo luogo, si precisa che la realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva. Quindi, non c’è registrazione per chi eroga soluzioni di firma elettronica avanzata.
In secondo luogo, si distinguono due tipologie di soggetti erogatori di soluzioni di firma elettronica avanzata: quelli che realizzano soluzioni di firma elettronica avanzata per proprio conto e quelli che realizzano soluzioni per la fornitura a terzi.
La firma elettronica avanzata resta tecnologicamente neutra e si prevede che le soluzioni di firma elettronica avanzata devono garantire:
a) l’identificazione del firmatario del documento; b) la connessione univoca della firma al firmatario; c) il controllo esclusivo del firmatario del sistema di generazione della firma; d) la possibilità di verificare che il documento non abbia subito modifiche dopo l’apposizione della firma; e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto; f) l’individuazione del soggetto che eroga le soluzioni di firma elettronica avanzata.
Molti gli obblighi per i soggetti che realizzano soluzioni di firma elettronica avanzata, fra cui quello di identificare in modo certo l’utente, informarlo in merito agli esatti termini e condizioni relativi all’uso del servizio, compresa ogni eventuale limitazione dell’uso, subordinare l’attivazione del servizio alla sottoscrizione di una dichiarazione di accettazione delle condizioni del servizio da parte dell’utente. È prevista un’importante deroga in ambito sanitario, prevedendosi che la dichiarazione di accettazione delle condizioni del servizio da parte dell’utente prevista al comma 1, lettera a) del presente articolo, può essere effettuata anche oralmente, con le modalità previste per la prestazione del consenso di cui all’art. 81 del D.Lgs. 30 giugno 2003, n. 196.
Rafforzati, infine, i doveri di pubblicità e di trasparenza dei gestori circa le soluzioni tecnologiche adottate e gli obblighi assunti dall’utente.
Molto “food for thought” nella Relazione annuale del Garante per la protezione dei dati personali tenuta oggi al Parlamento. Molti gli stimoli, a cominciare dal titolo della Relazione: “Uomini e dati”.
Come si afferma nella Relazione, “gli uomini e i dati non possono essere scissi in mondi diversi: i dati non sono solo il prodotto degli uomini e della capacità di comunicare e di organizzare, ma costituiscono ormai una parte essenziale del loro modo di essere”. Ciò è particolarmente evidente nel mondo della “autoesposizione e della trasparenza globale”, quello, in particolare, dei social network. E al riguardo parlare di “diritto all’oblio” “rischia di essere sentito ogni giorno di più come una inaccettabile pretesa di limitare il diritto a conoscere e a sapere”.
Tanti i temi nuovi sollevati dal Presidente Pizzetti: neutralità della rete, obbligo di denunciare i serious breaches, necessità di ridefinire le responsabilità nell’ambito di catene complesse di trattamento dei dati.
Grande rilievo ai rischi sollevati da cloud computing, smartphone e tablet, strumenti che potenzialmente trasformano ogni utente in un “Pollicino elettronico” che, con i sistemi di geolocalizzazione disponibili, lascia, spesso inconsapevolmente, le tracce dei propri spostamenti. Costituiscono una novità le due schede su cloud computing e su smartphone e tablet, allegate alla Relazione, che rispettivamente delineano indicazioni per l’utilizzo consapevole dei servizi e scenari attuali e prospettive operative.
Non sono mancate, inoltre, nella Relazione, le critiche al legislatore per l’attuale sistema di telemarketing e per il recente decreto sviluppo. Il Garante invita a rinviare le modifiche non necessarie, in attesa della ridefinizione della direttiva europea, che probabilmente avrà la forma del Regolamento, direttamente vincolante. Auspica, inoltre, che sia riconosciuta la competenza del Garante ad emanare le nuove misure minime in materia di sicurezza dei dati personali. E certamente, considerata la qualità dei più recenti provvedimenti normativi, sarebbe preferibile.
Il decreto legge recante “Prime disposizioni urgenti per l’economia”, c.d. “decreto sviluppo”, esaminato dal Consiglio dei ministri il 5 maggio scorso e ancora suscettibile di modificazioni, che molto ha fatto discutere per le disposizioni concernenti le concessioni sulle spiagge, contiene anche alcune rilevanti modifiche al Codice per la protezione dei dati personali.
Di seguito, una breve sintesi delle principali.
Dati di persone giuridiche, enti o associazioni
Nel nuovo art. 3-bis si prevederebbe (il condizionale è d’obbligo) che il trattamento dei dati personali di persone giuridiche, enti o associazioni nell’ambito di comunicazioni fra questi soggetti e per finalità amministrativo-contabili, non sia più soggetto all’applicazione del Codice. Non verrebbe, dunque, sottratto all’ambito di applicazione del Codice qualunque dato concernente persone giuridiche, pubbliche o private, ma solo i dati:
1) concernenti persone giuridiche, enti, pubblici o privati, associazioni
2) trattati per comunicazioni fra questi soggetti
3) per finalità amministrativo-contabili.
Quindi, per esempio, i dati relativi alla fatturazione comunicati fra imprese per finalità amministrative.
Si tenga presente che la direttiva europea 46/95/CE si applica solo ai dati relativi a persone fisiche, e che una scelta diversa era stata effettuata dal legislatore italiano nel 1996.
Curricula di chi cerca lavoro
I curricula spontaneamente inviati da chi cerca lavoro non richiederebbero l’informativa del titolare, se non al primo contatto successivo all’invio del curriculum, anche in forma orale. Non sarebbe più necessario, in questi casi, il consenso di chi ha inviato il cv, anche se questo contenesse dati sensibili.
Consenso nei rapporti fra imprese
Non sarebbe più necessario il consenso alla comunicazione di dati fra imprese (in ambiti specificati) per finalità amministrativo – contabili.
Misure di sicurezza
I titolari che trattano come unici dati sensibili o giudiziari quelli relativi ai propri dipendenti e collaboratori, nonché ai coniugi e ai parenti di questi ultimi, non sarebbero tenuti alla compilazione del documento programmatico per la sicurezza, ma potrebbero ricorrere ad un’autocertificazione.
Il d.p.s., se i dati trattati non sono sensibili, non è dovuto neanche oggi e quindi è pleonastica la menzione che ne fa il decreto in questo caso.
L’autocertificazione, si ricorda, comporta comunque rilevanti conseguenze sul piano della responsabilità, anche penale.
Il Garante potrebbe semplificare ulteriormente in materia di sicurezza.
Sono precisate le finalità amministrativo-contabili nel nuovo art. 34-comma 1 ter.
Comunicazioni commerciali indesiderate
Come già per le comunicazioni telefoniche, il consenso non sarebbe più necessario e si estenderebbe il sistema dell’opt-out, con relativo registro delle opposizioni, anche alle comunicazioni postali.
Il 25 maggio scade il termine per attuare la direttiva 2009/136/CE che, fra l’altro, modifica la direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento, cosiddetta direttiva e-privacy.
Tre le modifiche principali:
1) Security breach notification
Secondo questo principio, il fornitore di servizi di comunicazione elettronica accessibili al pubblico deve comunicare senza ritardo la violazione dei dati personali all’autorità nazionale competente oltre che direttamente agli abbonati e alla persone interessate. La comunicazione deve indicare anche le misure raccomandate per attenuare i danni.
2) Cookie
In estrema sintesi, occorre il previo consenso dell’interessato per l’uso dei cookie (come precedentemente riportato).
3) Comunicazioni commerciali indesiderate
Occorre il consenso preventivo nelle comunicazioni commerciali indesiderate e in ogni caso, se la normativa nazionale, come ora quella italiana, consente che in alcuni casi siano inviate comunicazioni con il sistema dell’opt-out, consentendo cioè agli abbonati di esprimere un rifiuto, si prevede che gli Stati membri devono comunque assicurare misure appropriate per garantire un’adeguata tutela.
È stato recentemente pubblicato sulla “Gazzetta Ufficiale” del 18 aprile 2011 n. 89 il decreto del Ministero della giustizia n. 44 del 2011, che disciplina il processo telematico. Il regolamento sostituisce le regole tecniche adottate con il d.p.r. 13 febbraio 2001, n. 123 e con il decreto del Ministro della giustizia del 17 luglio 2008. Il nuovo regolamento entra in vigore il 18 maggio.
Il nuovo processo telematico si incentra sull’utilizzo della posta elettronica certificata, disciplinata dal Codice dell’amministrazione digitale: il sistema di posta elettronica certificata consente, come è noto, di ottenere una ricevuta di avvenuta spedizione e una ricevuta di avvenuta ricezione.
Gli indirizzi di posta elettronica certificata dei soggetti interessati devono essere disponibili attraverso il portale dei servizi telematici e il registro generale degli indirizzi elettronici. Ruolo essenziale riveste anche il fascicolo informatico, nel quale tutti gli atti del processo dovranno essere archiviati in formato digitale.
Molto è demandato alle emanande specifiche tecniche, ai sensi dell’art.34 del decreto in commento.
Il nuovo processo comporta oneri organizzativi e tecnologici per gli uffici giudiziari, ma anche per gli avvocati, i quali dovranno adeguare gli studi professionali e le attrezzature tecnologiche, oltre che il modo di lavorare. Si pensi, per tutte, alla conservazione digitale, sulla quale il d.m. non si sofferma in modo particolare, ma che implica di per sé cambiamenti organizzativi e tecnologici.
La email è un documento informatico con firma elettronica, dal momento che lo username e la password integrano la definizione di firma elettronica di cui all’art. 1 lett.q, del CAD.
È quanto correttamente afferma il Tribunale di Prato nella decisione del 15 aprile 2011.
Quindi, l’efficacia probatoria dell’email è liberamente valutabile in giudizio, tenuto conto delle caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.
Nel caso di specie, il giudice ha ritenuto la email inidonea a costituire prova.
-
Tutti i contenuti pubblicati su questo blog sono sottoposti ad una licenza Creative Commons
