La direttiva 2010/45/UE del Consiglio del 13 luglio 2010 innova in materia di fatturazione elettronica, comportando modifiche alla direttiva 2006/112/CE relativa al sistema comune d’imposta sul valore aggiunto per quanto riguarda le norme in materia di fatturazione.
In particolare, si segnala che il nuovo art. 233 della direttiva dispone che “ogni soggetto passivo stabilisce il modo in cui assicurare l’autenticità dell’origine, l’integrità del contenuto e la leggibilità della fattura”. Fra i modi, la direttiva segnala “i controlli di gestione che creino una pista di controllo affidabile tra una fattura e una cessione di beni o una prestazione di servizi”. Per autenticità dell’origine, si intende la prova dell’identità del fornitore e per integrità, la non modificabilità del contenuto della fattura.
Quindi, non soltanto utilizzo di firma elettronica avanzata o di sistemi EDI, come già previsto nel precedente testo della direttiva, ma anche di ulteriori sistemi che assicurino l’autenticità dell’origine, l’integrità del contenuto e la leggibilità della fattura. Questi sistemi potranno essere individuati, secondo la direttiva, dal soggetto passivo. Minori vincoli, quindi nell’emissione della fattura, ma anche maggiori responsabilità, dovendo poi il soggetto che non usa la firma elettronica avanzata o i sistemi EDI dimostrare che il sistema utilizzato era adeguato. Resta da vedere come la direttiva verrà attuata nel quadro normativo italiano.
La protezione dei dati personali e, più in generale, della privacy, non si estende fino a negare ogni possibilità di controllo da parte del datore di lavoro. Questo è un equivoco.
Il datore di lavoro può controllare l’uso degli strumenti di lavoro da parte del lavoratore, se il lavoratore è stato informato e se si tratta, appunto, di strumenti di lavoro, fatti salvi alcuni limiti dettati dallo Statuto dei lavoratori.
Questo principio vale per la posta elettronica aziendale, per il telefono fisso, per il telefono cellulare. In questo senso non manca la giurisprudenza di merito e si è pronunciato con un provvedimento anche il Garante per la protezione dei dati personali.
L’essenziale è che le regole del gioco siano chiare e note a tutti gli attori coinvolti. E sono sempre di più gli enti e le imprese che hanno adottato policy per dettare le regole.
Sembrano quindi fuori luogo alcune recenti polemiche sul controllo dell’utilizzo dei cellulari aziendali se, come pare, questi principi sono stati rispettati.
Il tema della memoria in rete è sempre più presente nel dibattito generale.
Recentemente la stampa italiana ha ripreso un articolo del prof. Rosen, apparso sul New York Times, che a sua volte commenta il volume del 2009 di Viktor Mayer-Schönberger, intitolato “Delete. The virtue of forgetting in the digital age”.
Il problema di cancellare dalla Rete, che spontaneamente non dimentica né seleziona le informazioni, esiste. Così come in Rete esiste il ben noto problema della qualità dell’informazione e delle fonti, che non sempre sono affidabili o quanto meno riconoscibili.
Tuttavia il problema di rimuovere le informazioni dalla Rete è un problema che non si risolve (solo) con il diritto, ma anche con la tecnologia. Mayer-Schönberger propone di assegnare una scadenza alle informazioni. Quale che sia la soluzione o le soluzioni, l’apporto della tecnologia è essenziale. E le tecnologie che in questo senso sono già utilizzabili sono molte: DRM (Digital Rights Management), cioè informazioni associate ai dati personali che recano in sé le regole di utilizzo dei dati stessi; scadenza –come si è detto- dei dati; contestualizzazione, cioè associazione ai dati delle informazioni che costituiscono il contesto, cioè che consentono di attribuire ai dati quel peso che ad essi su Internet spesso manca.
Gli strumenti che già oggi offre il diritto sono, invece, fondamentalmente, il diritto all’oblio, il diritto alla protezione dei dati personali e il diritto all’identità personale. Va chiarito, però, che questi diritti sono esercitabili a certe condizioni, precisate dalle norme e dalla giurisprudenza, e che non esiste un diritto a cancellare sempre e comunque, secondo la volontà del soggetto cui si riferiscono le informazioni: un’eventuale esigenza di questo genere va bilanciata con altri interessi o diritti.
Non esiste un diritto a costruirsi l’immagine che si vuole, né su Internet né fuori da Internet, ma l’identità è sempre frutto di una mediazione sociale fra l’immagine che il soggetto ha di sé e l’insieme di elementi oggettivi che al soggetto si riferiscono, nonché di un bilanciamento di diritti e interessi.
Il ddl intercettazioni, ancora in fase di approvazione, come è ampiamente noto, minaccia di incidere anche su Internet.
Il comma 29, infatti, prevede alcune modifiche alla legge stampa, imponendo l’obbligo di dichiarazione e rettifica, entro quarantotto ore dalla richiesta, anche ai “siti informatici, ivi compresi i giornali quotidiani e periodici diffusi per via telematica”. Le rettifiche dovranno essere pubblicate con analoghe caratteristiche grafiche, metodologia di accesso al sito e pari visibilità della notizia cui si riferiscono.
Ma nel caos che ha scatenato questa proposta di legge, è necessario fare un po’ di chiarezza e precisare in quale contesto giuridico si inserisce la proposta di modifica.
10 cose che non si possono non sapere quando si parla di diritto di rettifica….
1) Che cos’è il diritto di rettifica?
È il diritto di fare pubblicare gratuitamente dichiarazioni dei soggetti interessati dalla pubblicazione di immagini, dichiarazioni, notizie ritenute lesive della loro dignità o contrarie a verità.
In sostanza, è il diritto – riconosciuto a certe condizioni – di affermare la propria verità.
2) Dove o come è pubblicata la notizia, la dichiarazione o l’immagine?
Nei giornali o in televisione.
3) Quali sono oggi le norme di riferimento?
a) La legge sulla stampa (e precisamente l’art. 8 della l. n. 47 del 1948) che afferma: il diritto di rettifica è il diritto di fare inserire “gratuitamente nel quotidiano o nel periodico o nell’agenzia di stampa le dichiarazioni o le rettifiche dei soggetti di cui siano state pubblicate immagini od ai quali siano stati attribuiti atti o pensieri o affermazioni da essi ritenuti lesivi della loro dignità o contrari a verità, purché le dichiarazioni o le rettifiche non abbiano contenuto suscettibile di incriminazione penale” .
b) Il T.U. dei servizi di media audiovisivi e radiofonici (e precisamente l’art. 32 quinquies del d. lgs. n. 177 del 2005) che dispone: “chiunque si ritenga leso nei suoi interessi morali (…) o materiali da trasmissioni contrarie a verità ha diritto di chiedere (…) che sia trasmessa apposita rettifica, purché questa ultima non abbia contenuto che possa dar luogo a responsabilità penali”.
4) Il diritto di rettifica elimina altri diritti?
Il diritto di rettifica si aggiunge, ma non elimina le azioni, cioè gli strumenti giuridici di tutela riconosciuti da altri diritti (querela per diffamazione, risarcimento del danno, ecc.).
5) Qual è il presupposto ad oggi per l’esercizio del diritto di rettifica?
Ad oggi, il diritto di rettifica è previsto per la stampa (quotidiani, periodici, agenzie di stampa) e per le radiotelevisioni, che trasmettono in via analogica o digitale.
Il presupposto è che la notizia o la dichiarazione siano state diffuse da un mezzo di informazione. Si presuppone che ci sia una struttura organizzativa creata allo scopo di produrre “informazione”, in altri termini, un’impresa a ciò finalizzata.
6) Il “sito informatico” è un giornale o una trasmissione televisiva?
E’ banale affermare che il sito telematico possa essere qualunque cosa. Anche un giornale (ad esempio un quotidiano on line). Ma certo non tutti i siti sono giornali. QUI STA L’ERRORE CONCETTUALE.
7) Il blog è un giornale?
No. Ci sono tanti tipi di blog, ma il blog tipicamente non ha i caratteri di periodicità di un giornale e non è registrato.
8) Il blogger è un imprenditore?
Non in quanto blogger.
9) Quali sono rischi maggiore derivante da questa norma del ddl intercettazioni?
Oltre alle pesanti sanzioni (da Euro 7.746 ad Euro 12.911), oltre ai termini stringenti per la rettifica (appena quarantotto ore dalla richiesta) che appaiono concretamente non praticabili, il grave pericolo è che, a lungo termine, questa norma, se approvata, consentirà di equiparare siti (e blog) ai giornali, creando il presupposto per l’applicazione di norme severe (amministrativamente impegnative, e corredate di sanzioni penali) nate per le imprese di informazione ai “siti informatici” e magari ad ogni trasmissione telematica (perchè no? anche social network e Twitter).
10) Allora, la conclusione è affermare che Internet sia o debba essere il Far West?
No. Oggi, esistono già validi strumenti giuridici di tutela (quali: diffamazione, risarcimento dei danni patiti, pubblicazione della sentenza). Se ne possono introdurre anche altri, ma meglio ponderati.
La libertà di espressione non è (SOLO) degli imprenditori dell’informazione, ma di tutti. Espressione del pensiero e attività imprenditoriale sull’informazione non coincidono.
In occasione del Convegno “Il futuro della responsabilità sulla rete. Quali regole dopo il caso Google/Vividown?” mi sono occupata dell’affascinante tema della memoria della Rete e del diritto all’oblio.
L’articolo, completo, è in corso di pubblicazione ne “Il diritto dell’informazione e dell’informatica, 2010, n.3.
Qui ne anticipo l’abstract.
La memoria della Rete è un tema di enorme suggestione e all’attenzione di studiosi di diverse discipline, fra i quali i giuristi.
Il tema è oggi alla ribalta dopo la pubblicazione del volume del 2009 di Viktor Mayer-Schönberger, recentemente tradotto in italiano per i tipi di Egea, il cui titolo è “Delete”.
Tuttavia, la traduzione italiana cambia il sottotitolo dell’opera, che nell’originale è “The virtue of forgetting in the digital age”, e che in italiano diventa “Il diritto all’oblio nell’era digitale”, assumendo così un diverso significato giuridico.
La diversa traduzione innesca una serie di domande, di grande interesse per i giuristi.
Esiste un diritto all’oblio nel digitale? Di “virtù” di dimenticare o di “diritto” di dimenticare si tratta? E come si declina il diritto all’oblio nel digitale?
Oggi, fuori dalla Rete, il diritto di fare cancellare informazioni e dati è sottoposto ai vincoli che derivano dal diritto all’oblio e dal diritto alla protezione dei dati personali.
Bisogna, dentro la Rete, introdurre un nuovo diritto al controllo? Un controllo, per così dire, ad nutum? Un diritto all’autodeterminazione informativa che divenga un diritto assoluto, sciolto da ogni vincolo? Ritengo di no. Sarebbe l’esasperazione e l’estremizzazione di un diritto all’autodeterminazione informativa.
Bisogna, invece, pensare a nuovi modelli normativi e negoziali e a nuove tecnologie che prevedano di limitare nel tempo il trattamento dei dati e tecnologie che lo consentano.
Bastano il diritto all’oblio e il diritto alla protezione dei dati personali del mondo digitale? Credo di sì, con alcuni necessari aggiustamenti, quali la revisione del modello di protezione dei dati personali, e con il necessario supporto della tecnologia.
La cancellazione assoluta, sciolta da ogni vincolo, dal web è dunque un’opportunità, un’esigenza, una virtù, la virtù di dimenticare nell’era digitale, se vogliamo riprendere le parole di Mayer-Schönberger, ma non un diritto.
Sabato scorso Il Sole 24 ORE riportava la notizia dell’approvazione da parte del Consiglio dei Ministri della modifica dell’art.1336 del codice civile. La modifica, contenuta in un disegno di legge, adatterebbe la norma – nel Codice del 1942 – sulla proposta e l’accettazione nel contratto ai contratti on-line.
Al momento, il testo del d.d.l. non risulta reperibile in rete. Tuttavia, da quanto si legge sul Sole, le modifiche non sarebbero che formali. Gli obblighi di informazione cui è tenuto il proponente (cioè il fornitore) sono infatti già nel d.lgs. 70/2003, attuativo della direttiva europea sul commercio elettronico. Si tratta di obblighi di identificazione del proponente e di informazione, nonché sul contratto e sul prodotto.
Ulteriori obblighi, si ricorda, sono dovuti nel caso in cui il cliente cui ci si rivolge sia un consumatore. Questi sono disciplinati dal Codice del Consumo.
Le motivazioni non convincono.
Si nega la responsabilità di Google come provider, ma si costruisce una nuova (e impropria) responsabilità di Google Italia come titolare di trattamento dei dati, fondata sull’assunto che Google Italia dovesse fornire l’informativa sul trattamento dei dati o controllare che l’informativa fosse fornita alla persona ripresa nel filmato, soggetto con cui Google non ha alcun rapporto diretto. Quest’ obbligo non è previsto nel Codice.
Esclusa la responsabilità del provider e del preventivo obbligo di sorveglianza ai sensi del d. lgs. 70/2003 , il provider, in questa decisione, diviene responsabile in quanto titolare del trattamento, ai sensi di una non fondata interpretazione del Codice per la protezione dei dati personali.
Più in generale, ciò che preoccupa è che sembra volersi costruire un’obliqua responsabilità indiretta del provider, non prevista dalla legge.
Questa sentenza si inserisce in un movimento giurisprudenziale altalenante (in senso contrario la recentissima decisione del Tribunale di Roma nel caso FAPAV-Telecom), volto a delineare la responsabilità del provider, anche oltre la previsione normativa.
Si ripropone il dibattito di oltre dieci anni fa, antecedente alla direttiva sul commercio elettronico, sulla responsabilità del provider.
La novità della decisione è che il tema viene affrontato indirettamente, attraverso la normativa sulla protezione dei dati personali, forzando la norma. Bisogna riportare il dibattito al vero tema, quello della responsabilità del provider, e quanto al profilo della protezione dei dati personali, semmai, chiarire il criterio di applicabilità delle leggi nazionali, in caso di più legislazioni concorrenti. è tempo di ridiscutere l’esclusione della responsabilità del provider? Facciamolo apertamente, magari rafforzando la responsabilità degli autori dei reati.
Alcune riflessioni sulla nota decisione Google-Vividown.
Le motivazioni non convincono.
Si nega la responsabilità di Google come provider, ma si costruisce una nuova (e impropria) responsabilità di Google Italia come titolare di trattamento dei dati, fondata sull’assunto che Google Italia dovesse fornire l’informativa sul trattamento dei dati o controllare che l’informativa fosse fornita alla persona ripresa nel filmato, soggetto con cui Google non ha alcun rapporto diretto. Quest’ obbligo non è previsto nel Codice.
Esclusa la responsabilità del provider e del preventivo obbligo di sorveglianza ai sensi del d. lgs. 70/2003 , il provider, in questa decisione, diviene responsabile in quanto titolare del trattamento, ai sensi di una non fondata interpretazione del Codice per la protezione dei dati personali.
Più in generale, ciò che preoccupa è che sembra volersi costruire un’obliqua responsabilità indiretta del provider, non prevista dalla legge.
Questa sentenza si inserisce in un movimento giurisprudenziale altalenante (in senso contrario la recentissima decisione del Tribunale di Roma nel caso FAPAV-Telecom), volto a delineare la responsabilità del provider, anche oltre la previsione normativa.
Si ripropone il dibattito di oltre dieci anni fa, antecedente alla direttiva sul commercio elettronico, sulla responsabilità del provider.
La novità della decisione è che il tema viene affrontato indirettamente, attraverso la normativa sulla protezione dei dati personali, forzando la norma. Bisogna riportare il dibattito al vero tema, quello della responsabilità del provider, e quanto al profilo della protezione dei dati personali, semmai, chiarire il criterio di applicabilità delle leggi nazionali, in caso di più legislazioni concorrenti. è tempo di ridiscutere l’esclusione della responsabilità del provider? Facciamolo apertamente, magari rafforzando la responsabilità degli autori dei reati.
È di ieri la notizia di stampa che riferisce della condanna degli amministratori di Google, per la pubblicazione su YouTube del video che documentava atti di sopraffazione commessi contro un bambino autistico. La decisione non è ancora disponibile e quindi non è possibile commentare nel merito. È tuttavia possibile inquadrare le linee giuridiche principali della questione.
Una considerazione preliminare è necessaria: non si discute la gravità sotto il profilo morale della pubblicazione del video. Ma le questioni giuridiche sono altre.
1. Applicazione del Codice per la protezione dei dati personali
Se, come riportato dalla stampa, la decisione è basata sull’applicazione del Codice per la protezione dei dati personali, sembra dubbio che si applichi la legge italiana, come disposto dall’art. 5.
2. Responsabilità del provider
Se la decisione investe la responsabilità del provider, il dato normativo è chiaro: l’art. 17 del d.lgs. 70/2003 esclude l’obbligo preventivo di sorveglianza e controllo del provider. Il provider risponde se non ha ottemperato ad un ordine di rimozione dei contenuti dell’autorità giudiziaria ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l’accesso, non ha provveduto ad informarne l’autorità competente.
Questa norma esclude, per ragioni di ordine tecnico ed economico, l’obbligo di controllo. Lo esclude anche per ragioni di principio: per non limitare la libertà di espressione.
La responsabilità del provider viene oggi da più parti invocata per la difficoltà di individuare l’autore dell’illecito. Si cerca un soggetto giuridico, diverso da chi ha commesso l’atto illecito, al quale comunque imputare la responsabilità.
La giurisprudenza italiana ha individuato la responsabilità del provider in alcune decisioni più recenti, con un metodo casistico, sulla base di valutazioni specifiche, a volte dubbie.
3. Il diritto della rete
Non è vero che Internet è un Far West giuridico. In parte, le regole ci sono e sono le medesime dello spazio non virtuale. In parte, il diritto deve modificarsi e adattarsi alle nuove forme di comunicazione: non solo diritto statuale, ma anche autoregolamentazione. In parte occorrono nuovi strumenti -anche tecnologici- di applicazioni delle regole giuridiche. Ma i valori non sono decisi dalla tecnologia.
Punire la singola ingiustizia non deve e non può fare dimenticare i principi fondamentali.
Circola in questi giorni la bozza delle modifiche del Codice dell’amministrazione digitale, all’esame presso il Consiglio dei Ministri.
La fonte è l’art. 33 della l. 18 giugno 2009, n. 69 che prevede anche la modifica della normativa sulla firma digitale al fine di semplificarne l’adozione e l’uso.
Ad una prima lettura, si può certamente affermare che, benché alcune modifiche siano apprezzabili, altre modifiche in corso di approvazione non semplificano, ed altre suscitano perplessità.
Ecco le principali modifiche.
1) Viene reintrodotto un quarto tipo di firma elettronica (oltre alla firma elettronica, la firma elettronica qualificata, la firma digitale), cioè “la firma elettronica avanzata”, la quale peraltro ha la medesima efficacia probatoria della firma elettronica.
2) L’autenticazione informatica cambia significato.
3) Viene definita l’identificazione.
Ecco le modifiche che suscitano maggiori perplessità.
1) Vengono introdotte nuove definizioni di copia: copia informatica di documento analogico, copia informatica di documento informatico, duplicato informatico, ognuna con valore giuridico differente.
2) La copia informatica del documento analogico deve avere anche forma (e non solo contenuto) identici a quelli del documento da cui è tratta.
3) La conformità all’originale delle copie per immagine su supporto informatico di documenti analogici (anche non unici) o è attestata dalla dichiarazione di conformità all’originale da parte del pubblico ufficiale o, se è effettuata da chi ha effettuato la copia, può essere disconosciuta. Non sono espressamente precisati termini e modalità di questo disconoscimento.
Paiono di conseguenza messi in discussione i principi del processo di conservazione sostitutiva di cui alla delibera CNIPA del febbraio 2004 e in particolare il significato della firma che attesta il corretto svolgimento del processo.
Se l‘intento del legislatore della l. 69/2009 era consolidare, queste modifiche (soprattutto quelle concernenti le copie) non aiutano.
Il quadro legislativo, in movimento dal 1993, muta ancora. E questo non rassicura e non sostiene le imprese e gli enti che hanno investito soprattutto nella conservazione sostitutiva.
Circola in questi giorni la bozza delle modifiche del Codice dell’amministrazione digitale, all’esame presso il Consiglio dei Ministri.
La fonte è l’art. 33 della l. 18 giugno 2009, n. 69 che prevede anche la modifica della normativa sulla firma digitale al fine di semplificarne l’adozione e l’uso.
Ad una prima lettura, si può certamente affermare che, benché alcune modifiche siano apprezzabili, altre modifiche in corso di approvazione non semplificano, ed altre suscitano perplessità.
Ecco le principali modifiche.
1) Viene reintrodotto un quarto tipo di firma elettronica (oltre alla firma elettronica, la firma elettronica qualificata, la firma digitale), cioè “la firma elettronica avanzata”, la quale peraltro ha la medesima efficacia probatoria della firma elettronica.
2) L’autenticazione informatica cambia significato.
3) Viene definita l’identificazione.
Ecco le modifiche che suscitano maggiori perplessità.
1) Vengono introdotte nuove definizioni di copia: copia informatica di documento analogico, copia informatica di documento informatico, duplicato informatico, ognuna con valore giuridico differente.
2) La copia informatica del documento analogico deve avere anche forma (e non solo contenuto) identici a quelli del documento da cui è tratta.
3) La conformità all’originale delle copie per immagine su supporto informatico di documenti analogici (anche non unici) o è attestata dalla dichiarazione di conformità all’originale da parte del pubblico ufficiale o, se è effettuata da chi ha effettuato la copia, può essere disconosciuta. Non sono espressamente precisati termini e modalità di questo disconoscimento.
Paiono di conseguenza messi in discussione i principi del processo di conservazione sostitutiva di cui alla delibera CNIPA del febbraio 2004 e in particolare il significato della firma che attesta il corretto svolgimento del processo.
Se l‘intento del legislatore della l. 69/2009 era consolidare, queste modifiche (soprattutto quelle concernenti le copie) non aiutano.
Il quadro legislativo, in movimento dal 1993, muta ancora. E questo non rassicura e non sostiene le imprese e gli enti che hanno investito soprattutto nella conservazione sostitutiva.
Molto più facili le telefonate commerciali: dal regime del preventivo consenso a quello del preventivo rifiuto. Secondo il Codice per la protezione dei dati personali la telefonata a scopi commerciali era lecita se l’abbonato consumatore aveva prestato il consenso, oggi diviene lecita se non ha espresso un rifiuto.
In estrema sintesi, questo il contenuto dell’art. 20-bis del cosiddetto “decreto Ronchi”, approvato in via definitiva dalla Camera il 19 novembre.
Il decreto sancisce il passaggio nell’ordinamento giuridico italiano dall’opt-in all’opt-out per le telefonate commerciali rivolte ai privati. In pratica, non è più necessario il consenso preventivo dell’interessato perché possa essere effettuata la telefonata, ma è richiesta invece un’espressione di dissenso perché non sia effettuata. Se non c’è stata preventiva ed esplicita espressione di dissenso, allora la telefonata commerciale è legittima. La norma prevede l’istituzione di un registro ad hoc per gestire i cosiddetti “Robinson”, cioè coloro che non vogliono essere raggiunti. Ma incomprensibilmente la gestione del registro non è attribuita al Garante per la protezione dei dati personali, bensì ad un ente che sarà individuato.
Alcune considerazioni critiche.
1) Il tipo di domanda influenza gravemente la risposta. Per approfondimenti e dati sorprendenti: Daniel Ariely (”Are we in control of our decisions?”) in TED Talks (www.ted.com).
2) Giova poco obiettare che l’abbonato può opporsi al trattamento dei suoi dati e quindi alle telefonate, dal momento che l’opposizione al trattamento, già in vigore per le imprese e i professionisti, non funziona, nonostante i numerosi interventi del Garante per la protezione dei dati personali.
Sarebbe stato necessario invece indagare, prima di modificare la norma sul consenso, sui motivi dell’ineffettività (ad es. data base non aggiornati, parcellizzazione dei call center, valutazione costi/benefici favorevole alla non applicazione della norma).
3) Negli USA, dove vige il regime dell’opt-out, la materia è dettagliatamente regolata ( ad esempio, si può telefonare soltanto in certe fasce orarie, soltanto in determinati giorni).
E’ inoltre previsto un risarcimento del danno già in parte predeterminato, che può essere richiesto dall’utente, nel caso di chiamata non desiderata.
-
Tutti i contenuti pubblicati su questo blog sono sottoposti ad una licenza Creative Commons
