Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Presentiamo qui un estratto dell’articolo di Giusella Finocchiaro pubblicato sul magazine online “Cantieri della PA digitale” in data 8 marzo 2017.

Il 2016 è stato un anno decisivo per il consolidamento del processo di digitalizzazione sia a livello europeo, sia a livello nazionale. La recente riforma del Codice dell’Amministrazione digitale rappresenta il primo segno di recepimento di quelle spinte europee che ormai da tempo promuovono e sostengono l’ambizioso progetto di un’evoluzione full digital in diversi settori. La dematerializzazione dei processi documentali e conservativi, interni ed esterni alle pubbliche amministrazioni, si inserisce in questo articolato percorso di digitalizzazione, percorso che in Italia è stato fino ad oggi frenato a causa delle incertezze normative e dalle lentezze burocratiche.

Nella ridefinizione del quadro normativo italiano ha giocato un ruolo fondamentale l’opera di coordinamento con il Regolamento e-IDAS sull’identificazione digitale e sulle firme elettroniche.

Innanzitutto, muta la definizione di documento informatico e viene assegnato un nuovo valore giuridico al documento con firma elettronica.

Viene rafforzato l’approccio digital first, finalizzato al definitivo passaggio dal cartaceo al digitale dell’intero ciclo di vita del documento, dalla creazione, alla gestione e infine alla conservazione.

Ancora, lo SPID, il sistema di identificazione digitale, assume un ruolo fondamentale nella formazione di atti giuridici in quanto nuovo strumento di acquisizione della volontà dell’utente.

Sebbene sia ancora presto per valutare l’adeguatezza delle modifiche apportate, ciò che già da adesso appare necessario è un cambiamento che non sia circoscritto al testo della norma, ma che riguardi lo stesso approccio alla materia. Un approccio che ridefinisca i paradigmi e modelli di gestione e non si limiti solo a tradurre in digitale strumenti analogici e documenti cartacei.

Sono molte, infatti, le questioni ancora aperte che porteranno a una riflessione nel corso del 2017.

Continua su “Cantieri della PA digitale”.

Presentiamo qui un estratto dell’articolo di Giusella Finocchiaro pubblicato sul magazine online Forum PA il 21 settembre 2016.

Come cambia la disciplina delle firme elettroniche nel nuovo CAD? Come si sa, si tratta di un percorso lungo e complesso, cominciato nel ’97, che ha visto tante modifiche e aggiustamenti e oggi le riformulazioni che in parte sono riconducibili al Regolamento eIDAS. Nel nuovo CAD sono state soppresse le definizioni di firma elettronica, firma elettronica avanzata e firma qualificata che sono invece contenute nel Regolamento eIDAS cui si rinvia all’art. 1, comma 1- bis. Resta, invece, la definizione di firma digitale, benché corretta, tutta italiana.

Il cambiamento più significativo interessa l’art. 21 dedicato al documento informatico sottoscritto con firma elettronica. Il nuovo 1° comma dispone che “il documento informatico, cui è apposta una firma elettronica, soddisfa il requisito della forma scritta e sul piano probatorio è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità”.

Per l’articolo completo si rimanda al sito di Forum PA.

ISchermata 08-2457630 alle 09.02.14l web non è sempre esistito. Tantomeno Internet. Quando ricordo questi fatti evidenti ogni anno, all’inizio del mio corso di Diritto di Internet, alcuni studenti mi guardano stupiti. Quando pensiamo che 25 o 27 anni fa (a seconda delle ricostruzioni: di Facebook che ha lanciato l’idea del venticinquesimo compleanno e dell’inventore del web, Tim Berners-Lee, citato dal Post, che ha autorevolmente corretto) non c’era il web e nemmeno Google, Facebook, i social network e gli smart phone, sembra davvero che si tratti di un’altra era geologica.

Eppure, anche se a raccontarlo mi sento il “Numero Uno” di Alan Ford (per i più giovani non esperti di fumetti: riferimenti su wikipedia) c’era una volta un’epoca senza il www… Certamente è stata un’invenzione che ha cambiato il mondo e il modo di comunicare e di interagire con gli altri, con impatti di enorme rilevanza, di cui ancora osserviamo le conseguenze, nell’economia, nella politica e ovviamente nel diritto.

Internet, come è noto, e come ci ricorda anche il bel documentario di Herzog, Lo and Behold, è nato alla fine degli anni ‘60. Il world wide web, che non coincide con Internet, ma è uno dei più rilevanti servizi che utilizzano la Rete, molto più recentemente. I progenitori erano gli ipertesti, la cui idea innovativa era quella di collegare fra loro contenuti in un ordine non più necessariamente sequenziale, ma relazionale.

Nel 1969 l’uomo è andato sulla Luna e questo evento lo ricordano tutti. Pochi ricordano la contemporanea nascita di Internet, ma certo questo ha sconvolto molto di più la nostra quotidianità.

Le applicazioni commerciali di Internet si vedono negli Stati Uniti alla fine degli anni ‘90: da neolaureata approfondivo le mie ricerche sui contratti informatici. E negli spot pubblicitari non mancava l’indirizzo www del produttore, che ancora in Italia non si vedeva. E ancora, il primo acquisto on line: un portatile (grande come una valigetta) consegnato overnight.

Tutto questo è oggi la nostra quotidianità: non ha più senso nemmeno la distinzione reale/virtuale. È tutto reale e anzi la nostra realtà può essere aumentata. Ma quanto ne siamo davvero consapevoli? Quanto abbiamo davvero compreso che il nostro agire anche on line ha precise conseguenze nella vita nostra e degli altri e non è affatto al di fuori delle regole?

Il 6 aprile 2016, la Corte di Cassazione francese ha per la prima volta emesso una decisione avente ad oggetto la validità di una firma elettronica.

Nel caso in esame (si tratta della sentenza n. 15-10.732), il ricorrente negava di aver firmato il contratto di assicurazione online sulla base del quale era stato condannato dal Tribunale di Montpellier al pagamento di una somma di denaro in favore della compagnia assicuratrice.

La Cassazione francese ha respinto tuttavia il ricorso, ritenendo che il giudice di merito avesse correttamente giustificato la propria decisione stabilendo la validità della firma elettronica. La Suprema Corte francese ha dunque chiarito quali siano le condizioni che il giudice di merito è tenuto a verificare per affermare la validità della firma elettronica, ossia quelle stabilite agli artt. 1316-1 e 1316-4, 2° comma, 1° periodo del Codice civile francese. Secondo l’art. 1316-4, 2° comma, 1° periodo del Codice civile francese, la firma (cosiddetta “semplice”) è idonea a manifestare il consenso delle parti alle obbligazioni che derivano dall’atto firmato quando consiste nell’utilizzo di una procedura di identificazione affidabile, che garantisca il collegamento tra la firma e l’atto a cui questa è collegata. Quanto all’ammissibilità in giudizio e al valore giuridico di un atto firmato con firma elettronica, l’art. 1316-1 del Codice civile francese prevede l’equivalenza al documento cartaceo se può essere identificata la persona che ha formato il documento elettronico e se questo è stato creato e conservato in condizioni che ne garantiscano l’integrità.

Nel caso di specie, il Tribunale ha riscontrato tutte le citate condizioni. Infatti, era stata utilizzata una procedura affidabile per firmare, che assicurava il collegamento tra la firma e l’atto a cui questa si riferiva. La domanda di adesione, prodotta come prova in giudizio, conteneva l’indicazione dell’avvenuta consegna del documento, permettendo l’identificazione precisa dei firmatari. Infine, il Tribunale aveva verificato che la domanda di adesione al contratto fosse stata conservata in modo da garantire la sua integrità. La Corte di Cassazione francese ha dunque affermato che il Tribunale di merito ha correttamente giustificato la sua decisione circa la validità della firma elettronica e, ritenendola imputabile al ricorrente, ha respinto il ricorso.

Il testo completo della decisione è disponibile QUI.

Giusella Finocchiaro

Matilde Ratti

posted by Giusella Finocchiaro on aprile 8, 2016

Miscellanee

(No comments)

Schermata 2016-04-08 alle 15.21.02Proponiamo qui l’articolo di Giusella Finocchiaro pubblicato venerdì 8 aprile 2016, su Il Giorno, Il Resto del Carlino e La Nazione.

Negli ultimi giorni abbiamo spesso letto delle grandi multinazionali tecnologiche nelle prime pagine dei quotidiani. Ma non per un nuovo modello di smartphone, né per un nuovo servizio, bensì per vicende che hanno avuto luogo in aule giudiziarie. Apple contro FBI, Facebook contro il Quotidiano Nazionale. Due grandi fenomeni si possono leggere dietro questi eventi: la tecnologia che si fa diritto e la debolezza degli Stati nazionali.

Il primo. La contrapposizione fra Nomos e Téchne è antica. Oggi la tecnologia è in grado di veicolare regole di contenuto giuridico: la scelta del livello di protezione dei dati, il grado di condivisione delle informazioni, le nuove firme elettroniche. Il codice, inteso come raccolta di norme (codice civile, codice penale, ecc.) si confonde con il codice (codice sorgente, codice eseguibile, ecc.) nel senso di software, di insieme di istruzioni che sta alla base dei programmi informatici. Come insegna Lessig, i due ‘codici’ possono diventare una cosa sola e la tecnologia può creare un sistema di regole parallelo. Ma si pone il grande problema del controllo sulla tecnica. Chi controlla la tecnica? Chi stabilisce gli obiettivi (se non addirittura i valori)?

Per leggere la versione completa dell’archivio si rimanda a QUESTA pagina di QN.

Vi proponiamo qui l’articolo di Giusella Finocchiaro pubblicato il 15 febbraio 2016 su Forum PA. Questo articolo fa parte del dossier “Speciale CAD: Cad corrotto, Agenda digitale infetta”. Per la versione completa del dossier rimandiamo al sito di Forum PA.

Il 1° luglio 2016 entrerà in vigore il Regolamento europeo 910/2014, noto come e-IDAS, che comporterà alcune rilevanti innovazioni in materia di identità digitale, di firme elettroniche e di servizi fiduciari.

Trattandosi di Regolamento europeo, quindi direttamente applicabile, non era tecnicamente necessario revisionare il Codice dell’Amministrazione digitale. Non è una direttiva, ma un Regolamento. Non sono quindi necessari atti di recepimento, come invece accade per le direttive europee. Non è uno strumento di armonizzazione, ma uno strumento di uniformazione del diritto che crea un’identica normativa europea per i 28 Stati.

Certo la riforma del CAD avrebbe comunque potuto essere utile, per favorire il coordinamento con la nuova normativa europea. Tuttavia il legislatore, quanto meno nella bozza pubblicata, va oltre il Regolamento europeo e, in taluni casi, in conflitto. Ciò comporterà i costi dell’incertezza giuridica per le imprese italiane che avrebbero invece potuto godere del vantaggio dell’esperienza accumulata nell’ambito della digitalizzazione e confluita in gran parte nel Regolamento europeo.

Affronto qui soltanto il tema del documento informatico e delle firme, oggi disciplinati dagli artt. 20 e seguenti del CAD.

Il Regolamento europeo prevede un approccio a due livelli (two-tier approach): in estrema sintesi solo la firma qualificata è equivalente alla sottoscrizione autografa; per il resto vige il principio della non discriminazione, cioè il principio secondo il quale non può essere negato valore giuridico ad un documento informatico per il solo fatto che è in forma elettronica.

Il legislatore italiano ha applicato questo principio nel CAD attualmente vigente, disponendo che il documento informatico, con o senza firma elettronica, è liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità.

La ratio della norma è che non conoscendo a priori quale sia in concreto la firma elettronica, la quale può andare da una password banale ad un sistema basato sulla biometria, conseguentemente con un livello di sicurezza assai variabile, è il giudice che valuta caso per caso quanto vale.

Nella vigente normativa, dunque, non conoscendo a priori di che firma in concreto si parla, si demanda al giudice l’individuazione del valore giuridico del documento cui essa è associata.

Il nuovo art. 21 del CAD sarebbe il seguente:

“2. Fermo restando quanto previsto dai commi 2-bis e 2-ter, il documento informatico sottoscritto con firma elettronica, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”.

Secondo questa proposta, il documento sottoscritto con firma elettronica sarebbe idoneo a soddisfare il requisito della forma scritta e avrebbe l’efficacia probatoria prevista dall’art. 2702 c.c. Qualora la modifica apportata all’art. 21 fosse confermata, il documento recante una firma elettronica semplice sarebbe equiparato alla scrittura privata di cui all’art. 2702 c.c., se fosse idoneo a soddisfare le regole tecniche previste da un apposito regolamento.

Il regolamento, si immagina, dovrebbe cristallizzare le tipologie di firma elettronica oggi diffuse presumibilmente con un approccio analitico e casistico, di per sé inevitabilmente non esaustivo e fermo nel tempo. O invece, fare riferimento a principi generali e standard che non potrebbero che ricalcare altre tipologie di firma elettronica come, per esempio, la firma elettronica avanzata. Dunque un regolamento arduo da immaginare, che richiederà anni (3 anni si è atteso il regolamento sulla firma elettronica avanzata) e che nel frattempo bloccherà un mercato consolidato. Con quale vantaggio? Certo non si eviterà la consulenza tecnica d’ufficio, dal momento che il giudice si rivolgerà quasi certamente al CTU per verificare se le prescrizioni del regolamento sono rispettate nel caso concreto. Certo non si creerà maggiore certezza a priori, perché sarà comunque il giudice ex post a valutare se nella fattispecie si tratta di firma elettronica conforme al regolamento. Tutto questo con un vizio di fondo: tentare di rendere non neutra la firma elettronica, che è invece tecnologicamente neutra. Se questo approccio regolatorio è valido per la firma digitale che fa già nella definizione normativa riferimento ad una specifica tecnologia, non lo è per la firma elettronica che invece nasce tecnologicamente neutra.

Nulla cambierebbe invece nella disciplina relativa alla firma elettronica avanzata, qualificata e digitale, sempre che siano corretti alcuni errori, se interpreto correttamente l’intenzione del legislatore. Nell’attuale versione della proposta di riforma del CAD è infatti omesso il richiamo all’art. 2702 c.c. per i documenti che recano queste tipologie di firme, ed è anche omesso il richiamo alla presunzione di utilizzo del dispositivo di firma per i documenti con firma elettronica avanzata.

Forum PASi riporta qui l’articolo di Giusella Finocchiaro apparso sul magazine di Forum PA il 1 febbraio 2016.

Il Consiglio dei Ministri del 20 gennaio 2016 ha approvato, in esame preliminare, il decreto legislativo di modifica e integrazione del Codice dell’Amministrazione digitale (di seguito, per brevità “CAD”). Sperando di fornire un contributo costruttivo, esprimo alcune perplessità sulla nuova sistematizzazione della disciplina del documento informatico e delle firme elettroniche quale emerge dalla lettura della bozza.

Gli articoli rilevanti sul valore giuridico del documento informatico e sulla sua efficacia probatoria sono tre:

-l’art. 20 sul documento informatico senza firma;
-l’art. 21 sul documento informatico con firma elettronica, firma elettronica avanzata, firma elettronica qualificata e firma digitale;
-l’art. 23 quater sulle riproduzioni informatiche.

Nel CAD vigente l’art. 20, comma 1-bis dispone che:

“1-bis. L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità, fermo restando quanto disposto dall’articolo 21”.

Nel nuovo CAD l’art. 20, comma 1-bis suonerebbe:

“1-bis. L’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità”.

Dunque su questo punto non si verificherebbero particolari cambiamenti. L’art. 21, invece, sarebbe radicalmente rivisto.

Di seguito il nuovo articolo 21

“2. Fermo restando quanto previsto dai commi 2-bis e 2-ter, il documento informatico sottoscritto con firma elettronica, formato nel rispetto delle regole tecniche di cui all’articolo 20, comma 3, soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del codice civile. L’utilizzo del dispositivo di firma elettronica qualificata o digitale si presume riconducibile al titolare, salvo che questi dia prova contraria”.

“2-bis Salvo il caso di sottoscrizione autenticata le scritture private di cui all’articolo 1350, primo comma, numeri da 1 a 12, del codice civile, redatte su documento informatico, sono sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale. Gli atti di cui all’articolo 1350, numero 13), del codice civile redatti su documento informatico o formati attraverso procedimenti informatici sono sottoscritti, a pena di nullità, con firma elettronica avanzata, qualificata o digitale.

(omissis)”

Non va poi dimenticato l’art. 23-quater sulle riproduzioni informatiche il quale dispone che “All’articolo 2712 del codice civile dopo le parole: ‘riproduzioni fotografiche’ è inserita la seguente: ‘informatiche’” che rimarrebbe invariato.

Sul commento dell’art. 23-quater non posso intrattenermi qui per ragioni di necessaria brevità, ma ricordo la contraddizione fra questa norma e l’art. 20 nell’ormai ampia interpretazione giurisprudenziale.

Dunque il sistema che emergerebbe sarebbe il seguente:

- il documento informatico senza firma sarebbe valutabile in giudizio dal giudice, sotto ogni profilo;
- il documento informatico con firma elettronica soddisferebbe il requisito della forma scritta (ad substantiam, cioè per la validità dell’atto?) e avrebbe l’efficacia prevista dall’articolo 2702 del codice civile cioè quella della scrittura privata;
- il documento informatico con firma elettronica qualificata o digitale si suppone avrebbe l’efficacia probatoria della scrittura privata ma ciò non è espressamente disposto;
- al documento informatico con firma elettronica qualificata o digitale sarebbe applicabile la nota presunzione di utilizzo del dispositivo da parte del titolare dello stesso;
- il documento informatico con firma elettronica qualificata o digitale soddisferebbe tout court il requisito della forma scritta ad substantiam;
- il documento informatico con firma elettronica avanzata soddisferebbe il requisito della forma scritta ad substantiam soltanto nei casi indicati dall’art. 1350, primo comma, n. 13 del codice civile cioè per gli atti non aventi ad oggetto beni immobili.

Dunque, in estrema sintesi, non cambierebbe la disciplina sul documento informatico con firma elettronica avanzata, qualificata e digitale (anche se il testo novellato presenta già segnalati problemi di drafting); cambierebbe invece quella concernente il documento con firma elettronica.

Qui, dalla valutazione caso per caso del giudice, si passerebbe all’affermazione del soddisfacimento del requisito della forma scritta e dell’efficacia della scrittura privata.

Sia detto a margine, occorrerebbe chiarire se la forma scritta di cui si parla in relazione al documento informatico con firma elettronica è quella ad substantiam. Ma soprattutto occorre sottolineare che fino ad oggi il documento informatico con firma elettronica era valutabile caso per caso dal giudice, dal momento che a priori non si conosce quale sia in concreto la firma elettronica, la quale può andare da una password banale ad un sistema basato sulla biometria, con un conseguente livello di sicurezza assai variabile.

Nella vigente normativa, dunque, non conoscendo a priori di che firma in concreto si parla, si demanda al giudice l’individuazione del valore del documento cui essa è associata.

Nel nuovo CAD, invece, si affermerebbe che il documento con firma elettronica soddisfa comunque il requisito della forma scritta ed è scrittura privata. Dunque ad un documento con una firma non definita a priori si associano il valore giuridico e l’efficacia probatoria della scrittura privata. Il che non è richiesto affatto dalla normativa europea (né da quella attualmente vigente, né dal regolamento EIDAS che entrerà in vigore il prossimo 1° luglio), la quale anzi prevede soltanto il principio della non discriminazione del documento informatico: cioè che ad un documento informatico non può essere negato valore giuridico soltanto per la sua forma elettronica.

Con la formulazione del nuovo art. 21 pare volersi andare oltre, disponendo che un documento informatico ha l’efficacia della scrittura privata e dunque soddisfa il requisito della forma scritta ad substantiam.

Il giudice dovrebbe peraltro valutare il documento informatico con firma elettronica alla luce di regole tecniche il cui contenuto appare assai difficile da immaginare, dal momento che esse potrebbero oscillare fra i due estremi della casistica analitica (con i rischi connessi ad un’elencazione inevitabilmente incompleta e necessariamente sottoposta ad un continuo aggiornamento) e i principi generali già statuiti in precedenza per il documento informatico e per lo stesso documento informatico con firma elettronica (sicurezza, qualità, immodificabilità, integrità).

Se lo scopo è quello di evitare la consulenza tecnica d’ufficio o di dare più certezza giuridica al documento informatico con firma elettronica, difficilmente esso sarà raggiunto, perché comunque le regole tecniche (ardue da immaginare) dovranno sempre presentare ampli spazi di adattamento alla tecnologia e quindi di interpretazione. E non è affatto improbabile che il giudice comunque ricorra alla CTU.

In compenso ci si sarà allontanati dalla normativa europea per creare nuova confusione.

Il punto è che si sta cercando di rendere quadrato ciò che è nato tondo: cioè di rendere “non neutra” la firma elettronica, che come tutti sanno è tecnologicamente neutra. E questa operazione sarebbe portata a termine attraverso le redigende regole tecniche le quali dovrebbero modificare la natura della firma elettronica. Il regolamento europeo non va in questa direzione e neppure i testi internazionali (come la Convenzione Uncitral sulle comunicazioni elettroniche e il Model Law in materia di firme elettroniche).

Se si vogliono evitare i rischi della neutralità tecnologica, si può utilizzare la firma digitale.

Se si vogliono i vantaggi della neutralità tecnologica, si può utilizzare la firma elettronica.

Se si confondono i due approcci sistematici, dopo almeno vent’anni di elaborazione giuridica su questi temi, quando finalmente il mercato si è assestato, non si crea certezza giuridica, ma al contrario, incertezza. E il mercato, che ormai ha assorbito queste tematiche, non ha certo bisogno di nuovi dubbi né di attendere ulteriori improbabili regole tecniche.

In data 18 dicembre 2015 il COREPER ha approvato il testo del compromesso finale del Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, frutto dei negoziati in forma di trilogo tra il Consiglio, il Parlamento europeo e la Commissione.

Prende così vita la tanto attesa riforma in materia di protezione dei dati personali, i cui primi passi risalgono alla Proposta della Commissione europea di Gennaio 2012. Da allora sono trascorsi quattro anni di intenso lavoro delle istituzioni europee, determinate a conservare il ruolo di prim’ordine conquistato dall’Unione in tale ambito, attraverso l’elaborazione di una normativa al passo con gli sviluppi tecnologici finalizzata a rafforzare i diritti fondamentali dei cittadini nell’era digitale. Il nuovo Regolamento europeo andrà ad aggiornare e modernizzare i principi in materia di tutela dei dati personali sanciti dalla Direttiva 95/46/CE, secondo un quadro coerente e armonizzato valido per tutto il territorio europeo che consentirà, tra l’altro, di porre fine alla corrente frammentazione normativa in materia.

In attesa dell’approvazione definitiva, è interessante esaminare i capisaldi che il Regolamento pone a tutela della protezione dei dati personali contestualizzata nell’ambiente di Internet.

Particolare attenzione è dedicata ai diritti degli interessati in un’ottica di rafforzamento e conferimento di un maggior potere di controllo sui propri dati personali circolanti nella Rete: sono da segnalare il diritto di rettifica dei dati, il diritto all’oblio, il diritto a restringere il campo del trattamento al ricorrere di determinate evenienze, il diritto alla portabilità dei dati e il diritto ad opporsi a determinati trattamenti.

I controllers (titolari del trattamento) vengono maggiormente responsabilizzati, dovendo predisporre misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento e dovendo obbligatoriamente comunicare alle autorità e agli interessati i c.d. data breaches, ossia le violazioni dei dati avvenute durante tali operazioni.

Un secondo ordine di controlli viene affidato alle figure del Data Protection Officer (già previsto, a livello europeo, dal Reg. UE n. 44/2001) e di una supervisory authority indipendente a livello nazionale, poste a presidio del rispetto dei diritti dei cittadini e a garanzia della conformità delle operazioni di trattamento alle disposizioni del Regolamento. Al fine di coordinare l’azione delle Autorità di vigilanza nazionali sarà poi istituito il Comitato europeo per la protezione dei dati, che assicurerà a sua volta il funzionamento di meccanismi di mutua assistenza.

Infine, la legittimità dei trasferimenti di dati verso Paesi extra-UE sarà subordinata ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato. In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze.

Giusella Finocchiaro

Laura Greco

posted by Giusella Finocchiaro on dicembre 1, 2015

identità digitale

(No comments)

L’8 settembre 2015 sono stati emanati quattro atti normativi che danno esecuzione, introducendo alcune necessarie specifiche tecniche, al regolamento (UE) 910/2014, del Parlamento europeo e del Consiglio, del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche (anche conosciuto come Regolamento e-IDAS). Quest’ultimo ha lo scopo di realizzare l’interoperabilità giuridica e tecnica fra i Paesi dell’Unione europea degli strumenti elettronici di identificazione, autenticazione e firma. Queste le principali novità a seguito dell’emanazione della normativa di attuazione.

1. Quadro di interoperabilità

Il regolamento e-IDAS prevede l’istituzione di un quadro unitario che permetta l’interoperabilità dei regimi nazionali di identificazione elettronica notificati alla Commissione. Ai fini della concreta attuazione del quadro di interoperabilità, il regolamento di esecuzione (UE) 2015/1501 ne stabilisce i requisiti tecnici e operativi. In particolare il regolamento si focalizza sull’importanza dei “nodi”, cioè punti di connessione collegati fra loro, facenti parte dell’architettura informatica di identificazione degli Stati membri. Essi intervengono nei processi di autenticazione transfrontaliera delle persone e sono in grado di scambiare informazioni tra loro. In questo modo, l’infrastruttura di identificazione elettronica nazionale di uno Stato membro può comunicare ed essere connessa alle infrastrutture di identificazione elettronica nazionale di altri Stati membri.

Trattandosi tuttavia di strumenti che trasmettono e ricevono dati personali, saranno applicabili le norme in materia di protezione dei dati personali di cui alla direttiva 95/46/CE. Nel caso di specie, i dati personali trasmessi tra i nodi vengono conservati al solo fine di ricostruire, nel caso di incidente, la sequenza dello scambio di messaggi al fine di stabilire il luogo e la natura dell’incidente.

2. Livelli di garanzia dei mezzi di identificazione

Il regolamento e-IDAS prevede che il regime di identificazione personale di uno Stato membro debba essere notificato alla Commissione specificando i livelli di garanzia (basso, significativo ed elevato) per i mezzi di identificazione rilasciati. Il regolamento (UE) 2015/1502 è stato adottato allo scopo di assicurare che nei vari Stati membri ci sia un’interpretazione uniforme dei livelli di garanzia permettendo di inquadrare i livelli di garanzia secondo criteri e procedure comuni.

3. Elenchi di fiducia

Ai sensi dell’art. 22 del regolamento e-IDAS, tutti gli Stati devono istituire e mantenere degli elenchi di fiducia, che includano le informazioni relative ai prestatori di servizi fiduciari e ai servizi fiduciari da questi erogati. Gli elenchi di fiducia sono un elemento essenziale per instaurare la fiducia tra gli operatori di mercato in quanto permettono di distinguere, in maniera chiara, i prestatori qualificati da quelli che non lo sono. Essenziale è dunque la decisione (UE) 2015/1505, con la quale la Commissione fornisce le specifiche tecniche che permettano la creazione e successiva notificazione, alla Commissione stessa, di detti elenchi.

4. Formati riconoscibili di firma elettronica e sigillo elettronico

Il regolamento e-IDAS prevede che gli Stati membri, che richiedono una firma elettronica avanzata o un sigillo elettronico avanzato per usufruire di un proprio servizio pubblico online, debbano riconoscere le firme e i sigilli aventi formati specifici o formati alternativi convalidati conformemente a specifici metodi di riferimento. Al fine di individuare in maniera omogenea i formati riconoscibili dagli Stati, soprattutto in luce del principio del riconoscimento reciproco, è stata emanata la decisione (UE) 2015/1506. Nel caso la firma o il sigillo abbiano un formato diverso da quelli specificamente elencati in decisione, lo Stato membro è comunque tenuto a riconoscerli, a condizione che sia prevista una procedura di convalida che permetta allo Stato membro di confermare la validità della firma o del sigillo emesso in un altro Stato membro.

La recente decisione “Facebook” della Corte di giustizia europea (Causa C-362-14) si può leggere con due diverse prospettive, che peraltro non si escludono vicendevolmente. La prima lettura è quella tecnico-giuridica. La seconda è quella politica.

Muoviamo dalla prima. I fatti sono noti e così le conclusioni. Gli Stati Uniti non sono considerati un Paese che, ai sensi della dir. 95/46, la direttiva-madre in materia di protezione dei dati personali, garantisce un livello di tutela adeguato.

Il percorso è quello tracciato dall’art. 25 della direttiva che si riporta, per comodità e per chiarezza, per comprendere meglio il passato (la decisione) e il futuro (le strade aperte attualmente).

“Articolo 25

Principi

1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.

2. L’adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d’origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate.

3. Gli Stati membri e la Commissione si comunicano a vicenda i casi in cui, a loro parere, un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2.

4. Qualora la Commissione constati, secondo la procedura dell’articolo 31, paragrafo 2, che un paese terzo non garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, gli Stati membri adottano le misure necessarie per impedire ogni trasferimento di dati della stessa natura verso il paese terzo in questione.

5. La Commissione avvia, al momento opportuno, negoziati per porre rimedio alla situazione risultante dalla constatazione di cui al paragrafo 4.

6. La Commissione può constatare, secondo la procedura di cui all’articolo 31, paragrafo 2, che un paese terzo garantisce un livello di protezione adeguato ai sensi del paragrafo 2 del presente articolo, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, in particolare di quelli assunti in seguito ai negoziati di cui al paragrafo 5, ai fini della tutela della vita privata o delle libertà e dei diritti fondamentali della persona.

Gli Stati membri adottano le misure necessarie per conformarsi alla decisione della Commissione”.

Dunque la Commissione in passato aveva ritenuto adeguato il livello di protezione garantito dal Safe Harbor, ma la Corte, con questa decisione, non concorda e invalida il Safe Harbor.

Ciò non significa affatto che il trasferimento dei dati personali verso gli Stati Uniti non possa più avvenire. Può avvenire sulla base dell’espresso consenso dell’interessato oppure sulla base delle Binding Corporate Rules.

Quindi l’interessato potrà esprimere il consenso sul trasferimento oppure il titolare del trattamento potrà dotarsi di regole di gestione approvate dall’Autorità garante che consentiranno il trasferimento.

Cosa cambia, allora?

Che non si potrà utilizzare lo strumento del Safe Harbor, cioè trasferire i dati verso gli Stati Uniti senza consenso o senza regole preapprovate, ritenendo cioè i dati protetti negli Stati Uniti come in Europa.

Sotto il profilo strettamente giuridico-applicativo, il commento finisce qui. Si configurano indubbiamente maggiori oneri gestionali per chi trasferisce i dati dall’Europa agli Stati Uniti, ma certo non un divieto.

Assai più problematica, invece la lettura politica della decisione che segue a distanza di circa un anno il caso Google Spain.

Gli Stati Uniti, si è affermato prima, non garantiscono per la Corte un livello di protezione dei dati adeguato.

In estrema sintesi la Corte afferma che il livello di protezione dei dati personali è più alto in Europa e che ai dati personali degli europei (si perdoni qui la semplificazione, ovviamente la decisione si riferisce al trasferimento dei dati dall’Europa, a certe condizioni) si applica la legge europea. Affermazioni di segno analogo erano nella decisione Google Spain.

La Corte anticipa il contenuto dell’art. 3 dell’emanando regolamento europeo in materia di protezione dei dati personali con un’altra decisione di carattere (anche) politico. D’altronde, la protezione dei dati personali ha rilievo costituzionale in Europa (art. 8 della Carta dei diritti fondamentali), ma non negli USA. Ciò ovviamente riflette una differente scala di valori in due regioni del mondo seppure molto simili fra loro, se confrontate con la regione asiatica. Ciò ha naturalmente un costo, diversamente sopportabile per i grandi (Google o Facebook) e per i piccoli attori. E evidenzia che politicamente sul punto fra Europa e Stati Uniti non c’è (ancora?) accordo.