Vi proponiamo qui l’articolo di Giusella Finocchiaro, pubblicato su Agenda Digitale il 10 aprile 2018.
Il diritto alla protezione dei dati personali è stato disciplinato in Europa dalla cosiddetta “direttiva madre” in materia di trattamento dei dati personali, la dir. 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Da questa direttiva, a cui si sono aggiunte poi molte altre disposizioni normative, storicamente proviene il Codice per la protezione dei dati personali italiano.
La direttiva, di oltre venti anni fa, recepiva un dibattito culturale e un pensiero dottrinale sviluppatosi nei decenni precedenti e delineava un modello statico di trattamento dei dati personali, ormai superato. Basti pensare quanto fosse diversa all’epoca la tecnologia disponibile: era, ad esempio, un mondo privo di smart phone e social network.
Il Regolamento europeo 679/2016 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati e che abroga la direttiva 1995/46/CE”, preso atto del mutamento tecnologico e sociale, detta una nuova disciplina e dunque segna una significativa svolta in un percorso iniziato oltre venti anni fa. Abroga, infatti, la “direttiva-madre”, fin dal titolo.
La filosofia del Regolamento europeo è radicalmente differente. La direttiva è fondata su un approccio autorizzatorio, il Regolamento sul principio dell’accountability.
Il termine accountability significa, come è noto, responsabilità e, insieme, prova della responsabilità. Il titolare del trattamento deve essere in grado di dimostrare che ha adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi.
L’adeguamento al GDPR
Il Regolamento europeo è direttamente applicabile dal 25 maggio 2018. Considerato lo strumento scelto dal legislatore europeo, regolamento e non direttiva, sotto il profilo strettamente tecnico-giuridico non sarebbe stato necessario un intervento del legislatore. Esso è stato, tuttavia, ritenuto utile in moltissimi Paesi europei, per raccordare al Regolamento la normativa nazionale. In Italia analoga scelta è stata operata l’anno scorso per raccordare il Regolamento E-Idas (910/2014) sull’identità digitale, le firme elettroniche e i trust service, con il Codice dell’amministrazione digitale.
Dunque, benché con grande ritardo, in Italia è stata nominata presso il Ministero della giustizia la Commissione incaricata di adeguare la normativa italiana in materia di dati personali al Regolamento Ue 679/2016.
La Commissione ha potuto incominciare i lavori solo in gennaio e ha dovuto concluderli a metà marzo. Mentre, in altri Paesi, analoghi lavori sono iniziati nel 2016. Della Commissione hanno fatto parte, oltre a chi scrive, autorevoli esperti della materia, quali Franco Pizzetti, Oreste Pollicino, Giorgio Resta, Alessandro Mantelero, Giovanni Guerra e, per gli aspetti penali, Vittorio Manes e Francesco Caprioli. Ha partecipato costantemente ai lavori il Garante per la protezione dei dati personali, rappresentato dal Segretario generale e da alcuni funzionari.
L’adeguamento della normativa italiana a quella europea serve a coordinare la legislazione nazionale vigente con il Regolamento e ad anticipare quella verifica di compatibilità altrimenti rimessa all’interprete, al Garante per la protezione dei dati personali e al giudice. Vedi a proposito l’attuale “schema di decreto Gdpr” (per adeguare il quadro normativo nazionale alle disposizioni del regolamento UE 2016/679 GDPR).
La tecnica normativa
Sotto il profilo della tecnica normativa, il Regolamento deve restare testo a sé stante e non può essere incorporato in un testo normativo nazionale. In questo senso, fra l’altro, sono le chiare indicazioni della Commissione europea.
Si sono dunque prese le mosse dal Regolamento europeo per verificare quali norme dell’ordinamento vigente italiano siano compatibili con esso.
Si è proceduto, muovendo dal Regolamento, ad esaminare quali disposizioni nazionali sono sostituite direttamente dalle disposizioni del Regolamento europeo. Ove la materia è disciplinata dal Regolamento, le disposizioni del Codice sono ovviamente sostituite da quelle del Regolamento, che prevalgono.
Nella mutata filosofia di fondo del GDPR si possono individuare, in sintesi, due tipologie di norme.
In primo luogo, le disposizioni del Regolamento che non modificano radicalmente i contenuti della direttiva o della legge italiana, ma innovano parzialmente oppure precisano. Alcuni contenuti sono simili, calati ovviamente in un contesto differente. In questi casi, non possono coesistere due insiemi di norme (quelle italiane e quelle europee) e ovviamente il Regolamento prevale. Quindi, ad esempio, i corpi di disposizioni su informativa, consenso, diritti dell’interessato, trasferimento dei dati all’estero sono completamente sostituiti dal Regolamento. In questo caso, non ci saranno grandi differenze sostanziali per gli operatori ma un riferimento chiaro ad una fonte diversa, quella del Regolamento, prevalente.
In secondo luogo, si possono individuare disposizioni del Regolamento completamente innovative sotto il profilo sostanziale. Ad esempio, nella materia della sicurezza ci sono radicali modificazioni introdotte dal GDPR e quindi ovviamente cambia la fonte e cambia completamente anche la disciplina sostanziale.
Ancora, le sanzioni amministrative introdotte dal Regolamento innovano completamente rispetto alle disposizioni del Codice e le sostituiscono. Non è ammessa l’introduzione di minimi, ancora una volta conformemente alle indicazioni della Commissione europea. I criteri per la determinazione delle sanzioni amministrative sono elencate dal Regolamento all’art. 83 (ad es.: natura , gravità e durata della violazione, carattere dolo o colposo, ecc.).
Conseguentemente, all’esito della verifica di compatibilità, la parte generale del Codice risultava quasi interamente sostituita. Si sarebbe potuta mantenere la parte speciale, modificando numerose disposizioni, sostituite dal Regolamento. Ad esempio, quelle in materia di sanità, dal momento che l’art. 9, comma 2, lett. h) del GDPR non prevede più il consenso come base giuridica del trattamento dei dati effettuato per finalità di diagnosi, assistenza o terapia sanitaria.
Se si fosse seguita questa strada, l’interprete avrebbe avuto tre testi normativi di riferimento: il Regolamento, il decreto di adeguamento, e ciò che restava del Codice, all’evidenza non più tale. Per ragioni di semplificazione e di chiarezza si è scelto di trasferire le disposizioni rimanenti del Codice nel decreto.
Ciò nel rispetto della delega che prevede l’abrogazione delle disposizioni del Codice privacy incompatibili con il Regolamento europeo, la modifica del Codice, nonché il coordinamento del quadro normativo, in osservanza del principio generale di semplificazione e riassetto normativi.
La continuità con il Codice Privacy
Per non creare incertezza fra gli operatori, si è scelto di mantenere la continuità, ove possibile. Dunque sono fatti salvi i provvedimenti del Garante (si pensi, per esempio a quello in materia di biometria) e le autorizzazioni, che saranno oggetto di successivo riesame.
Sono stati mantenuti anche i Codici deontologici vigenti (ad esempio, quello dei giornalisti) che resteranno fermi nei settori in cui il Regolamento lascia agli Stati competenza, mentre negli altri settori potranno essere avviate le procedure per i codici di settore.
Consultazioni pubbliche e semplificazioni
Il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate è stato rafforzato in molteplici casi. Ad esempio, per l’adozione delle regole deontologiche e per la riassunzione delle autorizzazioni generali. Ciò è necessario per raccogliere le istanze dello specifico settore, assicurare la conoscenza allo stato dell’arte e verificare l’efficacia delle soluzioni che si prospettano. Per le micro, piccole e medie imprese si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.
Sanzioni penali
Il Regolamento precisa che l’imposizione di sanzioni penali non deve essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia, che vieta, come ribadito recentemente, un sistema a doppia sanzione e a doppio processo. Dal momento che il Regolamento europeo prevede gravi sanzioni amministrative (fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore), che gli Stati membri non possono modificare e per le quali non è consentito introdurre un minimo, si sono eliminate le corrispondenti norme penali.
Questa è la proposta elaborata dalla Commissione. Ma la scelta è ovviamente di tipo politico, anche per la forte emotività connessa al tema.
E-privacy
Non si poteva intervenire in materia di e-privacy in attesa dell’emanando Regolamento in materia che sostituirà la direttiva 2002/58. Dunque le disposizioni del Codice in materia di comunicazioni elettroniche non sono state modificate.
Conclusioni
Abrogare o non abrogare il Codice per la protezione dei dati personali non significa elevare o diminuire la tutela giuridica. Il diritto alla protezione dei dati personali, si è scritto all’inizio di questo pezzo, è patrimonio giuridico europeo.
Il Codice è comunque sostituito dal Regolamento europeo per la maggior parte dei suoi articoli. Mantenere ciò che resta è una questione di tecnica normativa. La scelta più razionale sembra quella di avere due testi normativi e non tre. Ed è la scelta che rende il coordinamento più semplice per tutti gli interpreti e gli operatori. Ma che resti un Codice in gran parte abrogato non comporta di per sé una maggiore protezione, né il contrario.
Vi proponiamo qui l’articolo di Giusella Finocchiaro sullo schema di decreto che armonizza l’integrazione del Regolamento dell’Unione Europea sulla privacy, pubblicato su il Sole 24 Ore in data 1 aprile 2018.
Il GDPR, cioè il Regolamento UE 2016/679 relativo alla protezione dei dati personali nonché alla libera circolazione dei dati, è direttamente applicabile dal 25 maggio.
L’Italia ha ritenuto, con un notevole ritardo, che fosse opportuno adeguare il quadro normativo. Altri Paesi europei hanno intrapreso il lavoro di adeguamento già nel 2016, noi nel gennaio di quest’anno. Il 21 marzo il Consiglio dei Ministri ha approvato uno schema di decreto.
Il GDPR, emanato oltre 20 anni dopo la “direttiva-madre” 95/46, che viene abrogata, rivoluziona l’approccio alla protezione dei dati personali. Si passa da un regime autorizzatorio ad uno di accountability, cioè di responsabilizzazione. L’interesse alla libera circolazione dei dati personali è ora uno dei riferimenti necessari nel bilanciamento che l’applicazione del diritto alla protezione dei dati personali impone. Sulla base giuridica del legittimo interesse del titolare, valutata la specifica finalità, potranno essere trattati, ad esempio, i dati provenienti da pubblici registri, comunicati i dati infragruppo, trattati i dati dei rappresentanti delle persone giuridiche. Ancora, il consenso al trattamento dei dati sanitari per finalità di diagnosi, assistenza o terapia sanitaria non sarà più richiesto.
Il nuovo approccio normativo della UE a venti anni dalla direttiva, si fonda sulla constatazione del mutamento dello scenario tecnologico e sociale (basti pensare ai social network che neppure esistevano).
Ciò premesso, veniamo al metodo e alle scelte principali adottate nello schema di decreto. Visto che il Regolamento europeo non può essere inserito in un testo normativo italiano, si sono integrate le sue disposizioni, ove necessario, nello schema di decreto, seguendo l’ordine del Regolamento. La delega prevedeva l’abrogazione delle disposizioni del Codice privacy incompatibili con il Regolamento, la modifica del Codice e il coordinamento del quadro normativo, in osservanza del principio generale di semplificazione e riassetto normativi.
Dunque, muovendo dal Regolamento, fonte sovraordinata, si sono eliminate le disposizioni del Codice italiano, figlio della direttiva abrogata, non compatibili. Pressoché l’intera parte generale del Codice è risultata abrogata.
Di conseguenza, si è posta la scelta se mantenere un terzo testo normativo (oltre al Regolamento e al decreto) costituito da ciò che restava del Codice, all’evidenza non più tale, o se trasferire le disposizioni del Codice nel decreto, lasciando agli operatori non tre, ma due testi normativi. Questa seconda scelta è parsa la più razionale nell’ottica di riordinamento e di semplificazione.
Si è scelto, inoltre, di mantenere la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante (si pensi, per esempio a quello in materia di biometria) e le autorizzazioni, che saranno oggetto di successivo riesame. Sono stati mantenuti anche i Codici deontologici vigenti (ad esempio, quello dei giornalisti).
Si sono rafforzati il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate in molteplici casi. Per le micro, piccole e medie imprese si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.
Il Regolamento precisa che l’imposizione di sanzioni penali non deve essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia Ue, che vieta, come ribadito recentemente, un sistema a doppia sanzione e a doppio processo.Siccome il Regolamento prevede gravi sanzioni amministrative (fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore), che gli stati membri non possono modificare e per le quali non è consentito introdurre un minimo, si sono eliminate le corrispondenti norme penali.
In attesa dell’emanando Regolamento europeo in materia di e-Privacy, il decreto non modifica le disposizioni concernenti le comunicazioni elettroniche.
Considerato il nuovo approccio europeo alla protezione dei dati personali, lo schema di decreto cerca di semplificare e deburocratizzare, nonché di ridurre i costi dell’incertezza giuridica.
La scelta europea di introdurre un Regolamento Generale sulla Privacy direttamente applicabile, e non una direttiva, era inevitabilmente destinata a sconvolgere i quadri normativi degli stati membri, fra cui l’Italia.
La legge di delegazione europea prevede l’abrogazione delle disposizioni del Codice incompatibili con il Regolamento europeo, la modifica del Codice, nonché il coordinamento del quadro normativo. Oltre a ciò, fra i principi e i criteri direttivi generali di cui all’articolo 32 della legge 24 dicembre 2012, n. 23, sono indicati quelli del “riassetto e (del)la semplificazione normativi con l’indicazione esplicita delle norme abrogate” .
Dunque: abrogazione espressa, coordinamento del quadro normativo e semplificazione.
La tecnica normativa è rimessa al legislatore delegato, che può abrogare le disposizioni incompatibili e coordinare il quadro normativo, allo scopo di adeguare l’ordinamento italiano semplificando.
Non si poteva che muovere dal Regolamento, fonte sovraordinata rispetto al Codice, verificando la compatibilità delle norme del Codice con quelle del Regolamento.
La parte generale del Codice risulta sostituita in modo naturale dalle disposizioni del Regolamento, che su queste prevalgono e quasi nulla resta della parte generale del Codice.
La parte speciale del Codice è stata invece trasferita, con i necessari adeguamenti imposti dal Regolamento europeo, nello schema di decreto.
L’alternativa, quanto a tecnica normativa, sarebbe stata quelle di avere tre testi normativi: Regolamento, decreto e “Codice”, palesemente non più tale, perché svuotato della maggior parte delle disposizioni.
Avere due testi normativi e non tre risponde alle esigenze di chiarezza e di semplificazione, oltre a garantire una miglior tutela al diritto oggetto delle disposizioni, cioè il diritto alla protezione dei dati personali.
Si è voluto lasciare emergere in modo chiaro che la fonte di riferimento è costituita dal Regolamento e che non vi sono due o più testi normativi, parzialmente sovrapposti, nei quali sarebbe stato necessario cercare le disposizioni e verificarne di volta in volta la compatibilità. La fonte è costituita dal Regolamento europeo, eventualmente integrata dallo schema di decreto.
Il contenuto:
Lo scenario tecnologico, sociale e normativo negli ultimi venti anni è profondamente mutato e il GDPR adotta un nuovo approccio alla protezione dei dati personali, basato sull’accountability invece che su un sistema autorizzatorio.
La “direttiva-madre” n. 46 del 1995 sulla protezione dei dati personali, da cui ha avuto origine il Codice, è abrogata dal Regolamento europeo 679 del 2016.
I cambiamenti sulla disciplina per la protezione dei dati personali, più o meno graditi, entrano nel nostro ordinamento portati direttamente dal Regolamento, che opera una rivoluzione normativa, mentre lo schema di decreto si occupa di raccordare il Regolamento con il quadro normativo italiano.
Il diritto alla protezione dei dati personali è nella Carta dei diritti fondamentali dell’Unione europea. È patrimonio europeo e non solo italiano.
Le scelte principali:
- Continuità
Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore.
- Meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate
Si è rafforzato il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate in molteplici casi.
- Semplificazione delle micro, piccole e medie imprese
Si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.
- Norme penali
L’art. 83 del Regolamento impone l’introduzione di sanzioni amministrative ad hoc per le violazioni delle norme a tutela dei dati personali, mentre il successivo art. 84 ammette l’introduzione di ulteriori sanzioni (anche penali), «in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83». In proposito, inoltre, il considerando n. 149 precisa che «l’imposizione di sanzioni penali per violazioni di tali norme nazionali, e di sanzioni amministrative, non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia».
Quasi tutte le vigenti disposizioni penali (artt. 167 ss. del codice privacy) reprimono comportamenti che, in attuazione dell’art. 83 del Regolamento, dovranno essere puniti con sanzioni amministrative (fa eccezione soltanto il reato di false comunicazioni al Garante). Di conseguenza, è stata evidenziata l’opportunità di adempiere a tale obbligo procedendo direttamente ad una depenalizzazione di tali illeciti penali, in modo da scongiurare i rischi di violazione del principio del ne bis in idem tra sanzioni penali e sanzioni amministrative affermato nella giurisprudenza delle Corti europee.
Oltre a ciò, si deve considerare che l’art. 167 (a parte che nel caso Vividown poi riformato in appello e cassato dalla Suprema Corte) non è stato applicato che in pochissimi procedimenti bagatellari dalle Corti italiane.
- e-Privacy
Al fine di non incorrere nel rischio di eccedere la delega e in attesa dell’emanando Regolamento europeo in materia di e-Privacy, il decreto non modifica le disposizioni concernenti le comunicazioni elettroniche.
La ricchezza dell’esperienza giuridica italiana degli ultimi venti anni e più in materia di protezione dei dati personali rimane salda e non è certo solamente legata a ciò che resta del Codice, sostituito dal Regolamento europeo.
Giusella Finocchiaro
Una guida indispensabile per realizzare campagne di marketing automation nel rispetto del nuovo regolamento GDPR sulla privacy: ecco le indicazioni fondamentali da osservare nelle attività di profilazione che prevedono il trattamento automatizzato di dati con finalità di identificazione e valutazione degli aspetti personali di un individuo.
Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Digital 4 Executive l’11 dicembre 2017.
Mancano pochi mesi al 25 maggio 2018, data in cui il GDPR (il Regolamento UE 2016/679 sulla protezione dei dati personali) sarà direttamente applicabile in tutti gli Stati membri dell’Unione europea.
Operatori e imprese si affrettano ad adeguare le proprie policy e i propri assetti privacy alla luce delle nuove disposizioni. Un aspetto che il GDPR disciplina specificatamente e di cui tali attori dovrebbero tener conto è quello della profilazione, ossia il trattamento automatizzato di dati personali con finalità di identificazione e valutazione degli aspetti personali relativi ad una persona fisica.
È sempre più frequente l’impiego di tecnologie (di Marketing automation) volte al targeting di clienti e consumatori, cioè all’individuazione delle loro caratteristiche, preferenze e abitudini. Di norma tali dati vengono utilizzati per fornire servizi e prodotti su misura e in linea con le esigenze individuali dei soggetti, ma talvolta il trattamento di tali informazioni potrebbe generare effetti negativi nella sfera dei soggetti profilati con conseguenze a livello sociale e relazionale che potrebbero sfociare perfino nell’esclusione o nella discriminazione.
La peculiarità di tale trattamento e la serietà delle eventuali ripercussioni sugli interessati hanno quindi portato il Gruppo di lavoro Art. 29 ad elaborare delle linee guida ad hoc sul punto (Guidelines on Automated individual decision-making and Profiling, WP251, adottate il 3 ottobre 2017).
Di seguito, vengono fornite, sulla base di tale testo e del GDPR, le indicazioni fondamentali da osservare per procedere alle attività di profilazione in piena conformità alla nuova normativa.
[continua su Digital 4 Executive]
Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Digital4Executive il 10 ottobre 2017.
Le violazioni della sicurezza dei dati personali non riguardano solo la privacy. Gli adempimenti sono particolarmente rilevanti nel settore finance, chiamato a rispondere su più fronti: servizi fiduciari, tutela di network e sistemi informativi, sicurezza informatica. Con comunicazioni al Garante per la Privacy, all’organismo di vigilanza, al CSIRT e a Banca d’Italia o BCE. Oltre a eventuali notifiche ai soggetti direttamente interessati.
“Data breach” è termine ormai consueto nel linguaggio quotidiano di imprese e operatori: indica ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali. Questa è la definizione offerta dal GDPR, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che dal 25 maggio 2018 abrogherà la direttiva 95/46/CE e detterà la nuova disciplina in materia di privacy.
Il termine però non è nuovo e gli adempimenti successivi al data breach (come, ad esempio, la notifica) nemmeno: già il nostro Codice in materia di protezione dei dati personali (il d.lgs. 30 giugno 2003, n. 196) menziona e disciplina l’eventualità di “incidenti” della sicurezza unitamente agli adempimenti ad essi conseguenti.
L’attenzione rivolta a questi ultimi è recentemente aumentata proprio per il nuovo Regolamento europeo, che ha dettato una disciplina comune a tutti i titolari del trattamento (quella del Codice è riservata ai soli fornitori di servizi di comunicazione elettronica), specificando le modalità di notifica del data breach all’autorità di controllo, e di comunicazione all’interessato a cui i dati oggetto di violazione si riferiscono.
Occorre però specificare che si tratta di adempimenti non sempre obbligatori, a cui è necessario procedere solo se la violazione costituisce un rischio elevato per i diritti e le libertà delle persone fisiche. A prescindere dal grado di rischio, invece, il Regolamento prevede che, a determinate condizioni, la banca-titolare del trattamento possa essere esonerata dalla comunicazione all’interessato, come nel caso in cui siano state adottate misure tecniche e organizzative idonee a rendere i dati personali incomprensibili, quali ad esempio la cifratura.
Tuttavia non si può considerare il data breach soltanto alla luce della regolamentazione in materia di privacy. L’occorsa violazione della sicurezza è infatti oggetto di diverse discipline di settore e, per la peculiarità e la sensibilità delle informazioni coinvolte, risulta particolarmente rilevante nell’ambito bancario. In caso di data breach, le banche sono quindi tenute ad agire su più fronti per garantire una piena osservanza delle normative a cui sono assoggettate. Di seguito l’elenco.
Giusella Finocchiaro
Laura Greco
Venerdì 8 settembre è stato approvato in esame preliminare dal Consiglio dei Ministri il decreto legislativo recante modifiche e integrazioni al Codice dell’Amministrazione Digitale, d.lgs. 7 marzo 2005, n. 82 (“CAD”). Naturalmente si tratta di un testo preliminare suscettibile di subire delle modifiche e che dovrà acquisire ancora molte approvazioni (parere del Garante per la protezione dei dati personali, della Conferenza unificata, del Consiglio di Stato, nonché della Commissione parlamentare per la semplificazione e delle Commissioni parlamentari competenti per materia e per i profili finanziari). Probabilmente ci sarà anche una consultazione pubblica. Solo dopo questi passaggi il Consiglio dei Ministri potrà procedere all’esame definitivo del testo normativo che verrà successivamente pubblicato in Gazzetta Ufficiale.
L’ultima modifica del CAD è stata effettuata per integrare nell’ordinamento italiano (tecnicamente, il recepimento non era necessario) il Regolamento europeo EIDAS.
D’altronde, la digitalizzazione è una necessità attuale (basti pensare al settore bancario) e non più un optional. Infatti il nuovo CAD introduce espressamente la “Carta di cittadinanza digitale”.
Fra i molti restyling, segnaliamo le più importanti modifiche al CAD vigente.
Firma elettronica
Com’è noto, nel nostro ordinamento giuridico attualmente sono enumerate quattro tipologie di firme elettroniche: la firma elettronica, la firma elettronica avanzata, la firma elettronica qualificata e la firma digitale, di cui in questo blog ci siamo occupati molte volte. Le ultime tre hanno sostanzialmente il medesimo valore giuridico della sottoscrizione autografa, e conferiscono al documento informatico il medesimo valore giuridico della scrittura privata. Ma con alcune rilevanti differenze. Infatti, la firma elettronica avanzata è tecnologicamente neutra. La più diffusa applicazione della firma elettronica avanzata è la firma grafometrica. Inoltre, diverse sono le modalità di disconoscimento nelle diverse tipologie di firma.
Ora la nuova versione del CAD introduce una revisione delle disposizioni sulla firma elettronica. Si aggiunge alla firma digitale, alla firma elettronica qualificata e alla firma elettronica avanzata, un nuovo processo di firma. È quello che prevede che il documento sia formato “previa identificazione del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’art. 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore”. Dunque, un nuovo processo di firma elettronica avanzata che, non è difficile immaginare, sarà integrato da SPID.
Al contrario, il valore giuridico del documento informatico senza firma e del documento informatico con firma elettronica restano liberamente valutabili in giudizio, sulla base di quattro criteri: qualità, sicurezza, integrità e immodificabilità. È il giudice a decidere, ad esempio, e sempre più frequentemente, quanto vale un’email.
Domicilio digitale
Già da molti anni, con la PEC e prima ancora con alcune disposizioni in materia di posta elettronica, pur senza definirlo in questo modo, il legislatore italiano ha cercato di introdurre nell’ordinamento il domicilio digitale.
Nella nuova versione del CAD, il domicilio digitale è l’indirizzo elettronico, eletto conformemente allo stesso CAD, valido al fine delle comunicazioni aventi valore legale. Non è più costituito soltanto da un indirizzo PEC, ma per le persone fisiche sono previste anche altre modalità. In particolare, è previsto che “Le persone fisiche possono altresì eleggere il domicilio digitale avvalendosi del servizio di cui all’articolo 64-bis”.
È obbligatorio per i soggetti espressamente indicati dall’art. 2 del CAD il quale è stato modificato: esso ora comprende: le pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all’articolo 117 della Costituzione, ivi comprese le autorità di sistema portuale, nonché le autorità amministrative indipendenti di garanzia, vigilanza e regolazione; i gestori di servizi pubblici in relazione ai servizi di pubblico interesse; le società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, escluse le società quotate, nonché le società da esse partecipate, salvo che queste ultime siano, non per il tramite di società quotate, controllate o partecipate da amministrazioni pubbliche.
È obbligatorio anche per i professionisti iscritti in albi ed elenchi e per le imprese e le società. Il domicilio digitale sarà automaticamente costituito dall’indirizzo indicato da professionisti, imprese e società in albi, elenchi e registri. Peraltro, come accennato, già oggi la medesima funzione del domicilio digitale è svolta dalla PEC, obbligatoria per molti soggetti.
Un emanando regolamento stabilirà le modalità di individuazione del domicilio digitale per le persone fisiche per le quali non è obbligatoria la PEC e le modalità per colmare il divario digitale.
Le comunicazioni trasmesse al domicilio digitale producono gli stessi effetti delle raccomandate con ricevuta di ritorno e delle notificazioni. Si intendono spedite se inviate al proprio gestore e consegnate se rese disponibili al domicilio digitale del destinatario, salva la prova cha la mancata consegna sia dovuta a fatto non imputabile al destinatario. Dunque sarà il destinatario a dovere provare di non avere ricevuto a causa, per esempio, di malfunzionamento del sistema.
SPID
Il sistema di identificazione digitale sul quale molto è stato investito in questi anni è rafforzato dal decreto in commento. Innanzitutto, si prevede, come già accennato, un nuovo processo di firma elettronica avanzata, basata (anche se questo non è esplicitato) sostanzialmente su SPID.
Poi si dispone nel nuovo art. 64 che “L’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID” .
E ancora, nel novellato art. 65 si dispone che istanze e dichiarazioni possono essere trasmesse alla pubblica amministrazione in una delle forme di cui all’art. 20, dunque anche con il nuovo processo di firma elettronica avanzata che prevede l’utilizzo di SPID.
Il 9 settembre 2017 il Sole 24 Ore ha pubblicato un’analisi di Giusella Finocchiaro sulle novità introdotte dal decreto legislativo che modifica il Codice dell’Amministrazione Digitale.
In arrivo una nuova firma elettronica “avanzata”, con la previa autenticazione del titolare, mentre si allarga la portata del domicilio digitale. È stato approvato ieri, in esame preliminare dal Consiglio dei ministri, il decreto legislativo proposto dalla ministra Marianna Madia che modifica il Cad, il Codice dell’amministrazione digitale approvato con il Dlgs 82/2005. Il Cad è stato modificato già cinque volte. Fra i molti ritocchi in arrivo segnaliamo le modifiche principali di interesse per le imprese, che riguardano le firme elettroniche e il domicilio digitale.
Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 18 luglio 2017 ha pubblicato un’analisi di Giusella Finocchiaro sulle implicazioni giuridiche correlate alla pubblicazione online non autorizzata di foto reperite da una casella email.
Non è possibile e non è corretto commentare sotto il profilo tecnico-giuridico una sentenza di cui non si conoscono le motivazioni, che saranno depositate entro 90 giorni.
Per questo dobbiamo attendere. Si legge che il Tribunale di Milano avrebbe assolto tre blogger accusati dalla Procura di avere abusivamente sottratto fotografie della festa di George Clooney ed Elisabetta Canalis dall’account di posta elettronica di una delle invitate all’evento. Ma non conosciamo in dettaglio i fatti. I reati contestati erano in particolare l’accesso abusivo al sistema informatico, l’intercettazione illecita di comunicazioni e la violazione di corrispondenza. Si è letto dalle prime indiscrezioni di stampa che il giudice avrebbe in parte disposto l’assoluzione perché il fatto non sussiste e in parte qualificato la condotta nel reato meno grave di rivelazione di corrispondenza altrui assolvendo gli imputati perché, in mancanza di querela delle parti offese, il reato non sarebbe procedibile. DUNQUE, in parte, essenzialmente motivazioni tecniche. Non conosciamo neppure le prove che sono state prodotte in giudizio e la produzione di prove telematiche nel processo costituisce un terreno ancora in piena esplorazione. Certo una considerazione di carattere generale deve essere fatta: Internet non è il Far West e le regole valgono tutte anche online. Comprese le regole processuali. Le stesse norme che si applicano fuori dalla Rete si applicano nella Rete, con le difficoltà che a volte questo comporta (basti ricordare il caso di Tiziana Cantone). Dunque se i giudici hanno assolto non possiamo che ritenere che ci siano argomentazioni tecnicogiuridiche adeguate. Ma certamente la diffusione non autorizzata di foto o la violazione di corrispondenza, adeguatamente provate in giudizio, sono illeciti dentro e fuori da Internet.
Vi proponiamo qui l’articolo di Giusella Finocchiaro, pubblicato su Agenda Digitale il 14 luglio 2017.
Si parla sempre di più del cosiddetto GDPR (General Data Protection Regulation) cioè del nuovo Regolamento europeo n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Ma non abbastanza del nuovo approccio alla sicurezza che caratterizza il Regolamento, ribaltando la precedente concezione.
Come è noto, il Regolamento sarà applicabile dal 25 maggio 2018, data in cui la direttiva 95/46/CE – che dettava il quadro normativo precedente – cesserà di aver effetto. Alla base della spinta riformatrice la volontà (e la necessità) di uniformazione del diritto tra gli Stati membri, nonché l’aspirazione, ancora una volta ribadita, alla creazione di un mercato unico digitale europeo.
Il Regolamento ha innovato l’assetto normativo in materia di protezione dei dati personali, cercando di adeguarsi alle esigenze di una realtà digitale e interconnessa. D’altronde, il modello normativo precedente si è rivelato obsoleto, giacché individuava un’unica tipologia di scambio di dati: dall’interessato al titolare del trattamento. Al contrario, oggi il modello è quello di condivisione e di cogestione di dati e di informazioni e questo ha imposto una revisione del paradigma non solo organizzativo ma, appunto, regolatore.
Trasparenza del trattamento, ripartizione delle responsabilità, maggiori diritti per gli interessati, inasprimento del profilo sanzionatorio (le sanzioni arriveranno fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo): sono questi alcuni punti focali della riformata disciplina in materia di privacy che il Regolamento rende più stringente.
Tuttavia, poco si parla ancora del nuovo approccio alla sicurezza che viene sostanzialmente ribaltato. Il nuovo Regolamento non detta più un elenco di specifiche misure da adottare. In questo ambito, a regole dettagliate e circostanziate il Regolamento preferisce un approccio di largo respiro che ben possa applicarsi anche alle future e innovative misure di sicurezza che gli sviluppi tecnologici in costante evoluzione saranno in grado di realizzare. Per tale ragione, il Regolamento lascia al titolare del trattamento ampia discrezionalità in sede di determinazione di tali misure. Un unico vincolo: la valutazione dei rischi unitamente alla considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento.
In altre parole, il titolare deve procedere all’individuazione delle misure di sicurezza sulla base delle specificità del trattamento che si appresta ad effettuare. Vero è infatti che i rischi cui son esposti i dati sono intrinsecamente correlati alle caratteristiche del trattamento: il trattamento di dati dei dipendenti di una impresa a conduzione familiare non è paragonabile al trattamento sistematico di dati sensibili effettuato da una struttura sanitaria pubblica operante a livello nazionale.
Si tratta, dunque, di una valutazione case-by-case, cui si aggiunge un ulteriore requisito: la valutazione deve essere preliminare rispetto al trattamento stesso. Occorre cioè effettuare in primo luogo un’analisi dei flussi informativi e una valutazione dei rischi che incombono su di essi, per decidere poi quali misure adottare. La scelta delle misure di sicurezza interverrà dunque solo a seguito dell’analisi della tipologia di dati oggetto del trattamento e della valutazione dell’impatto delle operazioni su di essi.
Continua su Agenda Digitale.it.
Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su ICT4Executive il 10 luglio 2017.
Il Regolamento europeo sulla privacy (General Data Protection Regulation) che entrerà in vigore l’anno prossimo introduce la possibilità per il responsabile del trattamento di nominare un altro responsabile in caso di relazioni contrattuali “multilivello” sottostanti al trattamento di dati personali.
25 maggio 2018: data in cui sarà direttamente applicabile il Regolamento europeo n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, ormai comunemente noto come “GDPR” (General Data Protection Regulation).
Concepito nel contesto di una realtà ove condivisione e interconnessione sono i nuovi pilastri fondanti del modello di scambio delle informazioni, il Regolamento non poteva che – tra le altre innovazioni – recepire anche i mutamenti connessi alla crescente tendenza alla differenziazione organizzativa. In altre parole, lo sviluppo di catene di prestazioni di servizi e il ricorso al subappalto o all’esternalizzazione delle attività portano al coinvolgimento di più soggetti e alla creazione di molteplici relazioni. Il Regolamento ha dunque colto la complessità delle relazioni contrattuali “multilivello” sottostanti al trattamento di dati personali, introducendo l’inedita figura del sub-responsabile. Il legislatore europeo prevede così la possibilità per il responsabile del trattamento di nominare un altro responsabile “previa autorizzazione scritta, specifica o generale, del titolare”.
Un potere da sempre proprio del titolare (la designazione dei responsabili) diventa oggetto di possibile delega, a conferma di una nuova ripartizione delle responsabilità prevista dal Regolamento. Il titolare mantiene però il potere di opporsi alle modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento ad opera del responsabile iniziale. A tal fine, il Regolamento stabilisce un rilevante onere informativo a carico di quest’ultimo che sarà quindi tenuto a comunicare adeguatamente al titolare le eventuali modifiche.
Se la fonte dell’investitura formale (cioè della designazione) muta, resta invece invariato il rapporto di subordinazione nei confronti del titolare. Il sub-responsabile risulterà infatti legato al titolare e al trattamento da un contratto o da un altro atto giuridico, che riprodurrà gli obblighi contenuti nell’atto di designazione con cui il titolare ha nominato a suo tempo il responsabile iniziale. Il sub-responsabile dovrà quindi eseguire le attività e le operazioni di trattamento per conto del titolare, nonché agire in via strumentale rispetto alle finalità dal medesimo determinate.
Tuttavia, analogo rapporto gerarchico potrebbe rilevarsi anche nei confronti del responsabile iniziale: a norma del Regolamento, questi dovrà infatti rispondere al titolare dell’eventuale inadempimento del sub-responsabile. Dunque, il Regolamento pone indirettamente a carico del responsabile iniziale una responsabilità per culpa in eligendo e per culpa in vigilando che legittimano implicitamente la possibilità per quest’ultimo di impartire istruzioni al sub-responsabile, purché conformi a quelle del titolare e strumentali alle finalità di trattamento.
In conclusione, il Regolamento ha introdotto un’ipotesi di designazione diretta tra responsabili la cui attuazione non tarderà a rivelare la propria efficacia. D’altronde le relazioni fattuali della società contemporanea risentivano da tempo di una normativa lacunosa che non riconosceva sulla carta ciò che ormai era prassi comune. Tuttavia, l’opera di adeguamento non pare ancora conclusa: occorre implementare il riconosciuto schema relazionale tra responsabili in tutti i contesti del trattamento dei dati personali. In ambito di flusso transfrontaliero di dati, ad esempio, è auspicabile che le ipotesi di trasferimento di dati all’estero tra responsabile e sub-responsabile vengano normativamente regolate o, perlomeno, che possano essere impiegate anche in tale contesto clausole contrattuali standard, analoghe a quelle già previste per le ipotesi di trasferimento di dati tra titolare e responsabile.
Giusella Finocchiaro
Laura Greco
-
Dal 2001 specializzato in diritto di Internet e dell'Informatica
-
Tutti i contenuti di questo blog sono sottoposti ad una licenza Creative Commons
