Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by Maria Chiara Meneghetti on aprile 18, 2018

Miscellanee

(No comments)

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cosa si intende per trasferimento di dati personali?

Il GDPR non definisce cosa si intenda per trasferimento. Dalla lettura degli articoli che disciplinano il trasferimento di dati (artt. 44-50 del GDPR) si desume che con “trasferimento” il GDPR indica uno spostamento di dati personali da un titolare o un responsabile del trattamento, situato all’interno dell’UE, a un titolare o responsabile del trattamento, situato fuori dall’UE.

Il GDPR estende l’attuale ambito di applicazione della disciplina. In primo luogo, ricomprende nella categoria dei trasferimenti anche i flussi di dati personali verso un’organizzazione internazionale. In secondo luogo, applica la disciplina sul trasferimento anche ai trasferimenti “successivi” in un paese terzo o verso un’organizzazione internazionale, che avvengono nei casi in cui il soggetto a cui i dati sono stati trasferiti, li trasferisce nuovamente ad un altro soggetto.

Cosa deve fare il titolare o il responsabile se vuole trasferire i dati?

Il titolare e il responsabile del trattamento potranno effettuare un trasferimento di dati personali, solo qualora rispettino una delle condizioni previste dal GDPR agli artt. 45-49.

Quali sono gli “strumenti” per il trasferimento?

Gli “strumenti” elencati agli artt. 45-49, che il titolare e il responsabile del trattamento possono utilizzare per trasferire i dati personali, riprendono in parte l’elenco di condizioni previste dal Codice privacy o create dal Gruppo di Lavoro ex Art. 29. Per esempio, un trasferimento sarà legittimo nel caso in cui: il paese verso cui i dati sono diretti abbia ottenuto una decisione di adeguatezza (adequacy decision) da parte della Commissione europea; sia soggetto a garanzie adeguate cioè, per esempio, sia regolato attraverso l’utilizzo di clausole contrattuali standard (standard contractual clauses, SCC) tra mittente e ricevente o, per i trasferimenti infragruppo, il gruppo societario adotti norme vincolanti d’impresa (binding corporate rules, BCR); il mittente soddisfi una delle deroghe previste all’art. 49 del GDPR (es. abbia raccolto il consenso dell’interessato).

Cosa cambia con il GDPR?

Da un lato, il GDPR mette a disposizione nuovi “strumenti” per effettuare un trasferimento. Dall’altro lato, ordina le diverse condizioni secondo una scala di rilevanza: la decisione di adeguatezza diventa il pilastro del nuovo sistema; solo in sua assenza i titolari o i responsabili dovranno adottare una delle alternative basi offerte dal GDPR.

In ambito di garanzie adeguate, le norme vincolanti d’impresa acquistano autonoma rilevanza e vengono dettagliatamente regolate all’art. 47 del GDPR, che ne elenca il contenuto minimo. L’art. 46, invece, innova la lista di basi giuridiche utilizzabili per un trasferimento, affiancando a SCC e BCR: l’adozione di uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici; la sottoscrizione di un codice di condotta o l’adesione a un meccanismo di certificazione approvato. Inoltre le SCC, prima valide solo se adottate dalla Commissione europea, potranno ora essere adottate anche da un’autorità di controllo nazionale (purché poi approvate dalla stessa Commissione europea o sottoposte al meccanismo di coerenza ex. art. 63 del GDPR).

Infine, l’art. 49 esplicita le ulteriori eventuali “deroghe in specifiche situazioni”, di cui il mittente può usufruire, in mancanza sia di una decisione di adeguatezza, sia di una delle garanzie adeguate indicate.

Le decisioni di adeguatezza già adottate rimangono valide?

Il GDPR precisa che le decisioni di adeguatezza adottate sulla base della direttiva 95/46/CE restano in vigore fino a quando non siano modificate, sostituite o abrogate da una decisione della Commissione europea, a seguito, per esempio, del riesame periodico previsto per tutte le decisioni di adeguatezza ogni quattro anni. Dunque, le decisioni di adeguatezza fino ad oggi adottate rimangono per il momento valide.

Le decisioni di adeguatezza già adottate possono essere consultate QUI.

Quali SCC possono essere attualmente utilizzate?

Con riferimento alle clausole contrattuali standard, la Commissione europea ha fino ad oggi adottato modelli di clausole applicabili ai trasferimenti transfrontalieri di dati da un titolare (UE) a un titolare (extra-UE) o da un titolare (UE) a un responsabile (extra-UE) (reperibili QUI).

È inoltre in corso d’opera la preparazione di uno schema di SCC per il trasferimento transfrontaliero di dati tra responsabile stabilito in UE e sub-responsabile stabilito in un paese terzo.

privacy8_320x245Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Quali sono i diritti dell’interessato?

L’interessato, cioè la persona fisica i cui dati personali sono trattati, detiene una serie di diritti, esercitabili nei confronti del titolare del trattamento in qualunque momento, che gli permettono di mantenere il controllo sui dati che ha conferito e sul loro utilizzo.

Questi diritti, già previsti anche dal Codice privacy, sono per esempio: il diritto di accesso ai propri dati (in base al quale l’interessato ha diritto di ottenere la presa visione dei dati che lo riguardano e di una serie di informazioni aggiuntive); il diritto di rettifica (in base al quale l’interessato può chiedere la correzione o integrazione dei dati comunicati); il diritto di opposizione (in base al quale l’interessato ha diritto di opporsi al trattamento in corso al ricorrere di specifiche circostanze).

Cosa cambia con il GDPR?

Per quanto riguarda i diritti, il GDPR ne arricchisce l’elenco, aggiungendo alla lista: il diritto di cancellazione (o diritto all’oblio); il diritto di limitazione del trattamento e il diritto alla portabilità.

Dal punto di vista dei titolari, rimane in capo agli stessi l’obbligo di agevolare l’esercizio dei diritti da parte degli interessati (adottando ogni misura tecnica e organizzativa idonea) e di dare riscontro alle loro richiese (eventualmente con la collaborazione del responsabile del trattamento).

Il GDPR, in particolare, stabilisce che il termine per la risposta all’interessato è, per tutti i diritti, 1 mese, che può essere esteso fino a 3 mesi, in considerazione della complessità e del numero di richieste ricevute. In ogni caso, il titolare deve dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego. La risposta, di regola in forma scritta, deve essere concisa, trasparente e formulata in un linguaggio semplice e chiaro.

Cos’è il diritto di cancellazione (diritto all’oblio)?

Il diritto all’oblio costituisce il diritto dell’interessato di richiedere al titolare del trattamento la cancellazione dei dati dallo stesso detenuti.

Il diritto all’oblio, però, non può essere esercitato in ogni circostanza, ma solo in presenza di una delle condizioni elencate all’art. 17 del GDPR. Queste ricorrono nel caso in cui:

1) i dati esuberino rispetto al perseguimento delle finalità di trattamento;

2) si sia revocato il consenso al trattamento o si sia esercitato il diritto di opposizione;

3) il trattamento risulti illecito;

4) i dati debbano essere cancellati per adempiere ad un obbligo di legge;

5) i dati siano stati raccolti nell’ambito di un servizio della società dell’informazione, quando l’interessato era ancora minorenne (quindi non pienamente consapevole dei rischi derivanti dal trattamento).

All’obbligo del titolare di adempiere alla richiesta di cancellazione dell’interessato, in una delle situazioni sopra elencate, si aggiunge un onere ulteriore. Negli ambienti digitali, infatti, la circolazione e diffusione delle informazioni raggiunge portata ben più significativa rispetto alla loro circolazione nel mondo fisico. Per questo motivo il GDPR ha previsto che il titolare, nel caso in cui abbia reso i dati personali dell’interessato pubblici (es. su un sito web), dovrà anche informare gli altri titolari del trattamento della richiesta espressa dall’interessato di cancellare qualsiasi link o copia o riproduzione dei suoi dati personali.

Gli unici limiti al diritto all’oblio sono previsti nel caso in cui il diritto dell’interessato ad ottenere la cancellazione dei suoi dati soccomba di fronte a interessi superiori. È il caso, per esempio, in cui il trattamento dei dati sia necessario per l’esercizio del diritto alla libertà di espressione e di informazione o, ancora, perché sia richiesto dalla legge o sia necessario al perseguimenti di un interesse pubblico. Il diritto all’oblio potrebbe inoltre essere negato nel caso in cui la conservazione dei dati sia necessaria per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Cos’è il diritto di limitazione del trattamento?

L’esercizio da parte dell’interessato di questo diritto, gli consente di, appunto, “limitare” il trattamento dei suoi dati in una serie di situazioni in cui, pur non venendo totalmente meno un interesse al loro trattamento, l’interessato ne richiede una restrizione temporanea.

Il diritto di ottenere una limitazione nel trattamento può essere esercitato quando:

1) l’interessato contesta l’esattezza dei dati personali, e richiede quindi una limitazione al loro utilizzo per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;

2) il trattamento è illecito, ma l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

3) benché il titolare non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

4) l’interessato si è opposto al trattamento, e si attua la limitazione del trattamento in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

Cos’è il diritto alla portabilità dei dati?

Il diritto alla portabilità si presenta come un diritto dal duplice contenuto. Da un lato, si sostanzia nel diritto dell’interessato di ricevere i dati in un formato strutturato, di uso comune, che sia leggibile da dispositivi automatici. Non ci sono espresse indicazioni sul tipo di formato utilizzabile, ma è evidente che l’obbiettivo è quello di garantire che i dati siano forniti in un formato “interoperabile”, che ne consenta il facile riutilizzo da una molteplicità di dispositivi e servizi.

Dall’altro lato, il diritto alla portabilità si sostanzia nel diritto di trasmettere (ma anche di ottenere la trasmissione diretta di) i suoi dati a un altro titolare del trattamento, senza che il titolare “originario” possa impedirlo.

Anche il diritto alla portabilità non può essere esercitato incondizionatamente, ma solo qualora i dati personali rispettino una serie di condizioni, in particolare devono:

1) essere dati personali chiaramente riferibili all’interessato (ovviamente rimangono esclusi i dati anonimi);

2) essere trattati sulla base del consenso preventivo dell’interessato o di un contratto di cui e? parte l’interessato;

3) essere trattati attraverso strumenti automatizzati;

4) essere stati forniti dall’interessato. Questa condizione, però, deve interpretarsi in senso ampio, per cui il diritto non è limitato ai dati forniti consapevolmente e in modo attivo dall’interessato (es. dati raccolti attraverso un form di iscrizione) ma si estende anche ai dati forniti attraverso la fruizione di un servizio o l’utilizzo di un dispositivo (es. dati di localizzazione o la cronologia del browser dell’interessato).

È importante precisare che il diritto alla portabilità, invece, non può essere esercitato sui dati c.d. “derivati”, cioè il prodotto del lavoro di analisi effettuato dal titolare sulla base di dati personali dallo stesso raccolta. Si tratta, in altre parole, di dati “creati” dal titolare, sui quali lo stesso mantiene il controllo (es. l’esito di una valutazione concernente la salute di un utente o il profilo creato al fine di attribuire uno score creditizio o di ottemperare a normativa antiriciclaggio).

Security_cybercrimeIl regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, diano un primo e sintetico orientamento alla nuova normativa.

Cosa si intende per data breach?

Il GDPR definisce il data breach, in italiano “violazione dei dati personali”, come la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Le tipologie di data breach, quindi, sono molteplici e possono configurarsi nel furto o nell’accidentale cancellazione di dati da un database, ma anche in un attacco malware che impedisca l’accesso ai sistemi informatici o in un blackout che renda i dati temporaneamente non disponibili.

In sintesi si può dire che il data breach è una specifica tipologia di incidente di sicurezza, nel caso in cui siano coinvolti dati personali. Mentre tutti i data breach sono incidenti di sicurezza, non è detto che un incidente di sicurezza sia qualificabile come data breach.

Cosa deve fare il titolare del trattamento in caso di data breach?

Gli artt. 33 e 34 del GDPR disciplinano le procedure che il titolare deve attivare in caso di data breach. Queste si distinguono in una procedura di notifica della violazione all’autorità di controllo (che in Italia è il Garante per la protezione dei dati personali) e in una procedura di comunicazione della violazione all’interessato.

Entrambi i procedimenti hanno il preciso scopo di informare, il Garante o l’interessato, dell’avvenuta violazione per permettere loro di attivarsi e adottare eventuali misure di tutela.

Cosa deve fare il responsabile del trattamento in caso di data breach?

Sebbene l’obbligo di notifica e di comunicazione sia posto in capo al titolare, l’art. 33 dispone che il responsabile del trattamento, dopo essere venuto a conoscenza della violazione, debba informarne il titolare senza ingiustificato ritardo.

Per rendere l’intervento a seguito di violazioni il più efficiente e tempestivo possibile, anche in considerazione delle dimensioni dei contesti di trattamento dei dati e delle persone che possono esservi coinvolte, sarebbe utile per il titolare predisporre un apposito piano di sicurezza. Il piano dovrebbe definire gli step e le procedure organizzative da adottare nella gestione di eventuali violazioni e l’organigramma dei soggetti o dei livelli direttivi a cui è necessario fare riferimento per riportare l’accadimento.

Quando deve essere effettuata la notifica al Garante?

L’art. 33 del GDPR prevede che il titolare che sia venuto a conoscenza di una violazione debba darne tempestiva notifica all’autorità di controllo, ove possibile entro le 72 ore o, se effettuata oltre il termine, motivando le ragioni del ritardo. Non è necessario effettuare la notifica nel caso in cui sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le liberta? delle persone fisiche. È il titolare, quindi, responsabile di analizzare i potenziali rischi generati dal data breach nei confronti degli interessati e valutare se questi non siano tali da far scattare l’obbligo di notifica all’autorità di controllo. Si noti che basta la presenza di un rischio “semplice” per obbligare il titolare alla notifica.

Quando deve essere data comunicazione all’interessato della violazione?

L’art. 34 del GDPR prevede che, quando il data breach sia suscettibile di presentare un rischio elevato per i diritti e le liberta? delle persone fisiche, il titolare sia obbligato a dare comunicazione della violazione all’interessato senza ingiustificato ritardo. Dunque, a differenza della notifica al Garante, la comunicazione all’interessato deve essere fornita solo nel caso in cui la violazione presenti un “rischio elevato”. È comunque sempre compito e responsabilità del titolare effettuare tale valutazione. L’articolo prosegue elencando una serie di circostanze in cui, pur in presenza di un potenziale rischio elevato, la comunicazione all’interessato non deve essere effettuata se: a) il titolare aveva applicato adeguate misure tecniche e organizzative di protezione sui dati oggetti di violazione (es. cifratura); b) il titolare ha successivamente adottato misure idonee a scongiurare un rischio elevato per gli interessati; c) la comunicazione richiederebbe sforzi sproporzionati (in questo caso si procederebbe a una comunicazione pubblica o con simili modalità).

Quali sono le modalità di comunicazione?

Per essere compliant con l’obbligo di comunicazione del GDPR non è sufficiente informare l’interessato. L’adeguatezza di una comunicazione, infatti, dipende non solo dal contenuto del messaggio, ma anche dalle modalità con cui tale messaggio è stato veicolato. Per soddisfare la loro funzione informativa, le comunicazioni devono essere formulate in un linguaggio semplice e facilmente comprensibile. Devono essere privilegiate modalità di comunicazione diretta con i soggetti interessati (come e-mail, SMS o messaggi diretti). Il messaggio dovrebbe essere comunicato in maniera evidente e trasparente, evitando quindi di inviare le informazioni in contesti eccessivamente generici e fuorvianti (per esempio con update generali o newsletter).

Come si valuta il rischio a seguito di una violazione?

La valutazione dei rischi scaturenti da una violazione è un passaggio fondamentale perché permette al titolare non solo di individuare misure adeguate per arginare o eliminare l’intrusione, ma anche di valutare la necessità di attivare le procedure di notifica e comunicazione (che si attivano solo al superamento di determinate soglie di rischio). La valutazione è simile a quella che il titolare deve effettuare con riferimento al Data Protection Impact Assessment (cioè la valutazione d’impatto preventiva), a differenza della quale, però, dovrà essere maggiormente personalizzata avendo riguardo alle circostanze concrete della violazione.

Tra i fattori che il titolare dovrà tenere in considerazione nel suo assessment ci sono: il tipo di violazione (di riservatezza, di accessibilità o di integrità?) e la natura dei dati violati (es. dati sanitari, documenti di identità o numeri di carte di credito); la facilità con cui potrebbero essere identificati gli interessati (che varia a seconda del tipo di dati, identificativi o non identificativi, e delle modalità utilizzate nella loro conservazione, per esempio tecniche di pseudonimizzazione o crittografia); la gravità delle conseguenze sugli individui (che è differisce se i dati sono stati inviati per errore a un soggetto di fiducia o sono stati rubati da un terzo sconosciuto); eventuali speciali caratteristiche e numero degli individui interessati (es. se sono coinvolti bambini o anziani; se si tratta di violazione massiccia o individuale) e le particolari caratteristiche del titolare (per esempio in base all’ambito di attività).

firma_digitale2Il regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cos’è il consenso al trattamento?

Secondo la nuova definizione del GDPR, per consenso si intende “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4, n 11).

Analizzando la definizione, si desume che il consenso rappresenta una manifestazione di volontà, espressa in termini affermativi e in maniera inequivocabile. Dunque potrà essere unicamente una dichiarazione o azione positiva dell’interessato e non invece un suo comportamento meramente passivo, per esempio un suo ipotetico silenzio-assenso.

Inoltre, il GDPR, come anche il Codice privacy, richiede che il consenso sia non solo inequivocabile, ma anche: libero (prestato in assenza di costrizioni); specifico (uno per ogni finalità di trattamento); informato (all’interessato deve essere stata fornita adeguata informativa sul trattamento dei dati personali).

Chi deve richiedere il consenso per il trattamento dei dati personali?

Il titolare del trattamento o, se a ciò specificatamente istruito, il responsabile del trattamento devono raccogliere il consenso dell’interessato nel caso vogliano trattarne i dati.

Si segnala che il GDPR pone in capo al titolare un vero e proprio onere probatorio. L’art. 7, 1° comma specifica infatti che il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

Quando deve essere richiesto il consenso per i dati personali?

Il consenso dell’interessato è una delle molteplici basi giuridiche che il GDPR prevede, alternativamente, per legittimare il trattamento di dati personali che il titolare vuole effettuare. Ciò vuol dire che sarà necessario raccogliere il consenso ogniqualvolta non sia utilizzabile una delle alternative basi giuridiche previste dal GDPR all’art. 6. Queste sono essenzialmente “circostanze equipollenti” al consenso, in presenza delle quali i dati possono essere trattati anche senza il consenso dell’interessato.

Quali sono le circostanze equipollenti al consenso dell’interessato?

L’art. 6 del GDPR elenca, oltre al consenso, cinque diversi tipi di basi giuridiche che riprendono per lo più le alternative già previste dal nostro Codice privacy. Il trattamento sarà comunque lecito in assenza del consenso dell’interessato se: a) è necessario all’esecuzione di un contratto o di un obbligo precontrattuale di cui l’interessato è parte; b) è necessario per adempiere ad un obbligo legale; c) è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona; d) è necessario per l’esecuzione di un compito di interesse pubblico; e) è necessario per il perseguimento di un legittimo interesse del titolare o di terzi, purché non pregiudichi le libertà o i diritti degli interessati.

In quest’ultimo caso sarà dovere e responsabilità del titolare operare il bilanciamento fra il suo interesse legittimo e i diritti degli interessati, giustificando la prevalenza del suo interesse su quello dei diversi interessati.

Quali possono essere legittimi interessi del titolare?

Il GDPR ai considerando 47,48 e 49 elenca a titolo esemplificativo alcuni attività che potrebbero essere considerate di interesse legittimo per il titolare, prevalenti rispetto a quelli degli interessati.

Tra queste si inserisce la legittima prevenzione delle frodi o le finalità di marketing diretto (che si precisa avviene nel caso il titolare utilizzi i dati di contatto che l’interessato gli aveva fornito in precedenza nel contesto della vendita di un prodotto o di un servizio senza richiedere il consenso dell’interessato, a condizione che si tratti di servizi analoghi a quelli oggetto della vendita e che l’interessato, adeguatamente informato, non rifiuti tale uso). Ancora potrebbe considerarsi coperto dall’interesse legittimo il trattamento di dati a fini amministrativi interni o al fine di garantire la sicurezza delle reti e dell’informazione.

Ci sono condizioni particolari per il trattamento dei dati sensibili (c.d. particolari categorie di dati)?

Per il trattamento di categorie particolari di dati (dati sensibili), la regola generale e? quella del consenso “esplicito” (il consenso esplicito si applica anche nel caso in cui il titolare intenda adottare un procedimento decisionale basato unicamente su trattamenti automatizzati, compresa la profilazione, che produca effetti giuridici sull’interessato).

Anche in questo caso il GDPR prevede una serie “circostanze equipollenti” che derogano alla necessità di raccogliere il consenso (art. 9). Tra queste ve ne sono alcune particolarmente innovative, tra cui trattamenti necessari per: assolvere ad obblighi in materia di diritto del lavoro, sicurezza sociale e protezione sociale; finalità di medicina preventiva o di medicina del lavoro; motivi di interesse pubblico nel settore della sanita? pubblica; fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici.

Quali sono le novità in materia di consenso dei minori?

Il GDPR inserisce una disposizione ad hoc per il consenso dei minori, che tuttavia riguarda esclusivamente l’offerta diretta di servizi della società dell’informazione.

In considerazione dell’ampia varietà di contenuti e servizi digitali a cui i minori hanno accesso grazie all’utilizzo di Internet, il GDPR vuole rafforzare la posizione di tutela di questi ultimi di fronte ai pericoli della Rete. L’art. 8 specifica quindi che il consenso prestato dal minore per il trattamento dei suoi dati personali, nell’ambito di un servizio della società dell’informazione, è lecito solo nel caso il minore abbia almeno 16 anni (età che può essere diminuita fino a un minimo di 13 anni dagli Stati membri).

Nel caso l’età del minore sia inferiore, il trattamento sarà legittimato solo con il consenso, prestato o autorizzato, dal genitore o comunque titolare della responsabilità genitoriale.

Quali sono le condizioni di raccolta del consenso?

Alla luce della definizione di consenso (manifestazione di volontà libera, specifica, informata e inequivocabile), il GDPR specifica alcune condizioni richieste al titolare al fine di assicurare la raccolta di un consenso legittimo.

Il consenso può essere prestato tramite dichiarazione scritta o a mezzo di dichiarazione orale.

Nel caso il consenso sia prestato per iscritto, nell’ambito di una dichiarazione che riguardi anche altre questioni, il consenso al trattamento dei dati personali deve essere presentato in maniera chiaramente distinguibile dalle altre materie.

La formulazione del consenso deve essere comprensibile e facilmente accessibile, utilizzando quindi un linguaggio semplice e chiaro.

Inoltre il titolare deve tenere in considerazione che il consenso prestato dall’interessato potrà essere dallo stesso sempre revocato, in qualsiasi momento, con la stessa facilità con cui è stato accordato.

Come scrivere un consenso conforme al regolamento?

Per sintetizzare, per formulare un consenso conforme al GDPR, questo:

1) deve integrare un atto positivo inequivocabile: può essere raccolto attraverso una dichiarazione scritta, anche attraverso mezzi elettronici, o una dichiarazione orale;

1.1) ciò implica che non equivalgono a consenso: silenzio, inattività o preselezione di caselle

1.2) al contrario si potrà raccogliersi il consenso tramite: apposita casella (non preselezionata) su un sito; la scelta di impostazioni tecniche per i servizi della società dell’informazione o comunque qualsiasi dichiarazione o comportamento che indichi chiaramente l’accettazione dell’interessato

2) deve essere formulato con un linguaggio semplice, chiaro e comprensibile;

3) deve esserci un consenso per ciascuna finalità di trattamento (si ricorda che marketing e profilazione costituiscono finalità distinte);

4) in presenza di minori: verificare l’età del minore o richiedere il consenso parentale;

5) per le particolari categorie di dati, deve essere in ogni caso “esplicito”;

6) necessita l’adozione di misure che permettano al titolare di dimostrare l’avvenuta raccolta del consenso e l’esercizio agevole del diritto di revoca dell’interessato.

Digital-Signature-blueIl regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa.

Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, diano un primo e sintetico orientamento alla nuova normativa.

Cos’è l’informativa privacy?

Per “informativa” o “privacy policy” si intende quell’insieme di informazioni che devono essere fornite agli interessati (cioè le persone fisiche i cui dati sono trattati) per permettere loro di conoscere le ragioni, i soggetti e le modalità con cui i loro dati personali saranno utilizzati.

Chi deve fornire l’informativa privacy?

L’informativa deve essere fornita dal titolare del trattamento o dal responsabile del trattamento, se è stato così istruito dal titolare.

Quali sono i contenuti dell’informativa?

Il GDPR prescrive in modo tassativo i contenuti dell’informativa agli artt. 13, 1° comma e 14, 1° comma.

Alcuni di questi erano già previsti dal nostro Codice privacy, per esempio,l’indicazione di: a) dati di contatto del titolare del trattamento e di eventuali responsabili di cui si avvale; b) finalità del trattamento (es. adempimento contrattuale, marketing, profilazione ecc.) ; c) l’obbligatorietà o meno della fornitura dei dati e le eventuali conseguenze in sua mancanza; c) i diritti dell’interessato.

Il GDPR arricchisce l’informativa con ulteriori informazioni che il titolare deve fornire all’interessato per procedere al trattamento, quali: a) i dati di contatto del Responsabile della protezione dei dati (Data Protection Officer, DPO), se designato; b) la base giuridica del trattamento (es. consenso; interesse pubblico; esecuzione contratto ecc.) e nel caso questa sia costituita da un interesse legittimo del titolare, specificarne i contenuti; c) se i dati saranno trasferiti in Paesi extra-europei e attraverso quali strumenti avverrà il trasferimento (es. decisione di adeguatezza; BCR; clausole contrattuali standard); d) il periodo di conservazione dei dati o i criteri utilizzati per calcolarlo; e) l’esistenza di un processo decisionale automatizzato (tra cui si include anche la profilazione) e le logiche su cui è fondato.

Quando deve essere fornita l’informativa privacy?

L’informativa deve essere consegnata all’interessato nel momento in cui i suoi dati sono raccolti, quindi prima dell’inizio di ogni tipo di trattamento. Il GDPR esonera i titolari dall’obbligo di informativa solo nel caso in cui l’interessato disponga già di tutte le informazioni (art. 13, 4° comma).

Nel caso in cui i dati non siano ottenuti presso l’interessato, invece, il titolare deve fornire all’interessato le informazioni sopra elencate (specificando inoltre la fonte di provenienza dei dati) entro un mese dalla loro raccolta o comunque al momento della loro comunicazione (a terzo o allo stesso interessato). Anche in questo caso il GDPR prevede alcune ipotesi di esonero (art. 14, 5° comma, es. quando l’adempimento risulti impossibile o richieda uno sforzo eccessivo). È compito e quindi responsabilità del titolare valutare il ricorrere di una delle circostanze indicate.

Una nuova informativa deve inoltre essere fornita all’interessato nel caso in cui il titolare decide di trattare i dati raccolti per finalità diverse rispetto a quelle originariamente comunicate.

Come deve essere fornita l’informativa privacy?

Anche in questo il GDPR definisce in maniera più chiara le modalità in cui l’informativa deve essere formulata e fornita.

In linea di principio l’informativa è fornita per iscritto o con altri mezzi, anche elettronici. Solo nel caso sia l’interessato a richiederlo, l’informativa potrà essergli fornita oralmente.

Per quanto riguarda la formulazione il GDPR precisa che l’informativa deve essere: concisa, trasparente, intelligibile e facilmente accessibile. In sostanza deve essere formulata con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori (art. 12, 1° comma). Inoltre, proprio per garantire la massima trasparenza e semplicità di lettura, si prevede che le informazioni possano essere fornite in combinazione con icone standardizzate per dare, in maniera intuitiva e facilmente comprensibile, un quadro d’insieme del trattamento previsto.

Continua l’analisi sulla proposta di un regolamento “per un quadro sul libero flusso di dati non-personali all’interno dell’Unione europea”.

L’obiettivo del regolamento è la liberalizzazione dei flussi di dati. Liberalizzazione che, è bene precisare, sconta due limiti intrinseci alla proposta: da un lato si riferisce ai soli dati non-personali che, per evidente ragioni di coerenza, vengono definiti come “i dati diversi da quelli definiti dall’art. 4 del regolamento UE 2016/679”; dall’altro lato attiene unicamente al movimento dei dati entro i confini dell’Unione europea, mentre lascia inalterati i regimi dettati per gli scambi extra-UE.

La Commissione individua due ostacoli principali alla piena affermazione della libertà di imprese e PA di scegliere il luogo in cui conservare e gestire i propri dati.

Il primo ostacolo è rappresentato dalle ingiustificate restrizioni alla localizzazione dei dati imposte dalle autorità pubbliche degli Stati membri. Le ragioni che negli anni hanno spinto i diversi Stati a imporre l’archiviazione a livello locale dei dati delle proprie imprese o PA risiede principalmente in ragioni legate alla maggiore sicurezza e al più facile controllo da parte delle autorità nazionali. Si pensi ad esempio alle misure di conservazione dei dati in materia finanziaria, di contabilità e bilancio delle imprese previste da Germania, Danimarca, Belgio e altri stati nord europei, che richiedono l’archiviazione entro i confini dello stato membro. O anche ai dati inerenti alle vincite e alle transazioni in materia di gioco d’azzardo che stati come Bulgaria, Polonia e Romania impongono di conservare in territorio nazionale. Inoltre, anche ove non siano espresse specifiche restrizioni territoriali nazionali, la prassi imprenditoriale e il sentimento comune hanno comunque portato a privilegiare una conservazione localizzata dei dati, rinunciando alle alternative proposte oltre-confine.

Il secondo ostacolo alla liberalizzazione, invece, deriva dalle limitazioni del mercato privato che, attraverso le c.d. pratiche di vendor-lock in, impediscono la portabilità dei dati tra sistemi informatici. Tale diffuso fenomeno commerciale nasce dalla volontà dei fornitori di creare un rapporto di dipendenza artificiosa tra il cliente e i beni e servizi da essi forniti. Il cliente viene posto nella condizione di non poter acquistare beni e servizi concorrenti, senza che il passaggio di fornitore comporti il sostenimento di significativi oneri economici e riorganizzativi. Questa sorta di “fidelizzazione forzata” viene attuata sia attraverso l’adozione da parte del fornitore di tecnologie o standard diversi rispetto a quelli utilizzati dai concorrenti; sia attraverso la previsione di condizioni contrattuali particolarmente penalizzanti in caso di passaggio.

Per mettere un freno alla diffusione di tali pratiche e disposizioni, la Commissione, con la proposta di regolamento, intende affrontare le problematiche attraverso quattro linee d’azione.

In primo luogo, viene introdotto il generale principio di libera circolazione dei dati tra gli Stati membri, che garantisce alle imprese di poter scegliere liberamente il luogo dove trattare o conservare i dati. Restrizioni normativamente previste dovranno essere attentamente scrutinate e saranno legittimate solo in forza di esigenze di sicurezza pubblica e nazionale.

In secondo luogo, nell’intento di rassicurare i legislatori nazionali, viene garantito che le autorità competenti avranno accesso ai dati archiviati o elaborati in un altro Stato membro alle medesime condizioni di accesso garantite sul territorio nazionale.

In terzo luogo, la proposta incoraggia l’elaborazione in autoregolamentazione di codici di condotta che agevolino le condizioni di portabilità e facilitino quindi il cambio, per esempio, di fornitore di servizi di cloud. Si cerca quindi anche per i dati non-personali di costituire una sorta di “diritto alla portabilità”, alla pari di quanto già espresso dal Regolamento privacy con riferimento ai dati personali. L’esigenza, cioè, di assicurare che la libertà di scelta del cliente non solo sia presente al momento iniziale del rapporto, ma sia anche mantenuta e resa tecnicamente possibile in corso di esecuzione.

Infine, viene istituito per ciascuno Stato membro un punto di contatto unico, al fine di garantire l’effettiva applicazione delle nuove norme sul libero flusso dei dati non personali.

In conclusione, la proposta di regolamento appare indubbiamente indirizzata in primis a imprese e pubbliche amministrazioni, con un impatto decisamente inferiore per i singoli cittadini. Tuttavia, se letta alla luce e in coordinamento con il quadro normativo europeo in materia di dati, la proposta acquista una rilevanza di carattere più generale. Infatti, proprio grazie alla nuova formulazione, si verrebbe a conseguire un generale consolidamento di alcuni dei principi già sanciti dal Regolamento privacy, come quello di libera circolazione e di portabilità dei dati, attraverso un ampliamento del loro raggio d’azione.

Dopo l’adozione del Regolamento UE 2016/679 (Regolamento generale privacy, RGPD) e la recente proposta di regolamento che porterà all’abrogazione dell’attuale Direttiva 2002/58/EC (Direttiva e-privacy), la Commissione europea aggiunge un ulteriore tassello al suo progetto di espansione e regolamentazione del mercato digitale europeo, avanzando la proposta di un regolamento “per un quadro sul libero flusso di dati non-personali all’interno dell’Unione europea”.

Il regolamento si affiancherebbe e integrerebbe l’attuale (e futura) disciplina europea in materia di dati, colmando quella che viene ritenuta una dannosa lacuna nel panorama normativo: la circolazione dei dati-non personali. Attraverso l’adozione e a breve implementazione del Regolamento privacy si è infatti venuta a creare la paradossale situazione per cui mentre per i dati personali è espresso il principio di una libera circolazione entro i confini europei (art. 1, comma 3° del Regolamento), lo spostamento dei dati “non-personali” risulta ancora subordinato agli obblighi di localizzazione disposti da alcune normative nazionali. Le imprese di alcuni paesi non sarebbero cioè ancora libere di scegliere tra i diversi provider di servizi cloud per la gestione e conservazione dei propri dati, a causa di alcune limitazioni territoriali imposte all’archiviazione degli stessi.

È ormai chiaro da tempo che la Commissione europea sia impaziente di affermare a livello internazionale una forte data economy “made in” UE. La rivoluzione operata dalle nuove tecnologie digitali basate sullo sfruttamento di dati, dal cloud computing all’Internet of things, offre nuove opportunità di sviluppo, crea nuovi servizi e mobilità nel mercato e, soprattutto, attira ingenti volumi di investimenti. La tendenza è confermata dalle statistiche: nel 2016 il mercato europeo dei dati si stima abbia raggiunto i 60 miliardi di Euro, con la previsione di un quasi raddoppio della cifra entro il 2020 . Numeri che si attestano comunque ben al di sotto del potenziale espresso da altre nazioni, tra cui gli Stati Uniti, che primeggiano ancora indisturbate nel settore digitale.

Per l’Europa la vera corsa al digitale è iniziata nel 2015, quando la Commissione ha adottato una strategia per il mercato unico digitale europeo, i cui pilastri sono stati individuati nella necessità di 1. migliorare l’accesso ai beni e servizi digitali in tutta Europa per imprese e consumatori; 2. creare un contesto favorevole e parità di condizioni affinché le reti digitali e i servizi innovativi possano svilupparsi; 3. massimizzare il potenziale di crescita dell’economia digitale.

Sulla base di queste linee direttive, nei passati due anni è stato adottato un eterogeneo ventaglio di azioni mirate alla modernizzazione normativa di alcuni settori e al rafforzamento delle tutele e della fiducia di utenti e consumatori (tra cui si collocano, l’adozione del RGPD, la proposta di regolamento e-Privacy, la proposta di regolamento sul copyright e quella sui digital content). A queste si sono affiancati pacchetti di misure dirette ad affrontare le tematiche di accessibilità e riutilizzo di dati pubblici o di pubblico interesse, di promozione di soluzioni di cloud europee e di una migliore collaborazione digitale tra pubbliche amministrazioni.

Un panorama, quindi, già costellato da numerose iniziative che, pur perseguendo ciascuna uno specifico obiettivo, disegnano insieme la trama di un neonato ecosistema digitale. In questo quadro, si inserisce la nuova proposta di regolamento per un libero flusso di dati-non personali.

[continua]

La protezione dei dati personali si aggiunge alla lunga lista di diritti che sono stati fortemente colpiti dalla rivoluzione digitale. Quotidianamente, riversiamo i nostri dati personali, più o meno consciamente, all’interno del world wide web. Questa massa di informazioni personali viaggia indisturbata attraverso le reti telematiche per essere poi utilizzata per le finalità più disparate, non sempre nel rispetto dei presupposti (per esempio il consenso dell’interessato) che il nostro Codice privacy impone ai fini di un legittimo trattamento. In queste circostanze, al fine di tutelare l’interessato in maniera particolarmente rafforzata, il Codice privacy prevede all’art. 167 una specifica fattispecie di illecito volto a punire coloro che, per trarne un profitto o per recare danno, procedono al trattamento dei dati personali in assenza di quelle basilari condizioni grazie alle quali possa essere ritenuto legittimo.

Nel caso un messaggio diffamatorio sia diffuso in Rete e, oltre al contenuto di per sé offensivo indirizzato ad una determinata persona, porti, come spesso accade, alla divulgazione di dati personali della persona offesa, la giurisprudenza si è chiesta se possa configurarsi un concorso tra il reato di diffamazione aggravata e l’illecito trattamento di dati personali.

Con la sentenza n. 44390, pubblicata il 26 settembre 2017, la Corte di Cassazione penale risponde in maniera negativa. Nel caso di specie, l’imputato era stato condannato sia per diffamazione aggravata in quanto, in qualità di redattore, aveva pubblicato sul web due articoli diffamatori, sia per illecito trattamento di dati personali perché, con gli stessi articoli, aveva pubblicato dati personali dei soggetti offesi. La Corte di Cassazione, sulla base del ricorso presentato, delinea il suo ragionamento in due fasi. Innanzitutto la Corte rileva come l’art. 167 del Codice privacy contenga la clausola di sussidiarietà espressa “salvo che il fatto costituisca più grave reato”. La formula comporterebbe dunque l’assorbimento della fattispecie di minor gravità entro quella dell’illecito più gravoso. In secondo luogo, la Corte procede accertando quale tra i reati di diffamazione e illecito trattamento dei dati personali possa ritenersi più grave. In contrasto con l’orientamento che prevede che la gravita? del reato debba stabilirsi avendo riguardo alla pena massima in astratto comminata dai due reati, la Corte ritiene che “la maggiore gravita? del reato, comportando l’assorbimento di una fattispecie nell’altra in considerazione del suo effettivo minor disvalore dell’una a fronte dell’effettivo maggior disvalore dell’altra, va necessariamente valutata avendo riguardo alla pena in concreto irrogabile, e quindi tenendo anche conto delle circostanze in concreto ritenute e dell’esito dell’eventuale bilanciamento tra esse”. Nel caso di specie, alla luce delle pene concretamente inflitte, la Corte conclude che il reato di illecito trattamento di dati personali sia assorbito da quello di diffamazione aggravata.

In conclusione, si può quindi affermare come in materia di protezione degli individui negli ambienti online, la giurisprudenza si stia al momento rivelando il miglior alleato del legislatore. Infatti, l’opera interpretativa dei giudici permette di estendere alle attività effettuate in Rete la disciplina dettata in origine per i soli comportamenti offline, senza la necessità di creare una normativa specifica per il settore digitale. È evidente che date le peculiari caratteristiche di Internet, sono auspicabili alcuni aggiustamenti di stampo normativo. Tuttavia, in generale, il messaggio che è bene far passare è che le norme attualmente previste si applicano indipendentemente dal mezzo, o meglio dal “luogo”, in cui i comportamenti vengono messi in atto. Ciò che accade in Rete è soggetto alle medesime regole previste per ciò che accade fuori dalla Rete.

posted by Maria Chiara Meneghetti on ottobre 24, 2017

Diffamazione

(No comments)

La diffamazione di personaggi pubblici, datori di lavoro o ex fidanzate ha raggiunto con la Rete un nuovo livello di offensività, determinato dalla facilità di condivisione e dall’ampiezza del raggio di diffusione del messaggio lesivo. La necessità di colpire le condotte illecite degli utenti online alla pari di quelle realizzate nel mondo fisico impone il più delle volte una non facile interpretazione normativa, volta ad estendere le attuali fattispecie delittuose alle peculiari caratteristiche della realtà digitale.

Internet ha da tempo superato i confini che lo relegavano a mero mezzo di comunicazione tra persone, paragonabile alla televisione o al telefono, per acquisire i connotati di una vera e propria dimensione sociale. Si parla non a caso di “ciberspazio” per fare riferimento a quel luogo, privo di confini fisici e di limitazioni temporali, che è oggi contenitore e fornitore del più grande numero di dati e informazioni diversificate che la storia abbia mai visto.

Uno dei caratteri più interessanti della realtà digitale è la messa a disposizione di nuovi modi e nuove forme di espressione e condivisione della propria personalità. Ciò avviene, soprattutto per i c.d. nativi digitali, cioè coloro che sono nati e cresciuti in corrispondenza della diffusione delle tecnologie informatiche, attraverso l’utilizzo di piattaforme social che permettono con un tweet, un post o un video di condividere i propri pensieri con un vasto pubblico di internauti, amici o solo visitatori di passaggio. La Rete diventa uno spazio condiviso di espressione e sviluppo della personalità e al tempo stesso, grazie al suo carattere ubiquitario e alla sua facile accessibilità, uno strumento grazie a cui le informazioni condivise riescono a raggiungere una diffusione impensabile nel mondo fisico.

Tutto ciò, se dal punto di vista sociale e tecnologico è frutto di crescente entusiasmo, dal punto di vista giuridico pone il legislatore di fronte a nuove sfide. Da un lato, infatti, è sempre più sentita la necessità di tutelare questa nuova forma di espressione della persona e questo immenso bagaglio di cultura digitale da tutte quelle azioni che ne potrebbero illegittimamente ostacolare l’utilizzo. Dall’altro lato, cresce l’esigenza di trasporre le regole che governano il vivere civile offline anche nel mondo digitale, soprattutto alla luce della dilagante percezione che ciò che accade online, in quanto virtuale, sia immune da reali conseguenze legali.

In materia di diffamazione a mezzo Internet è stata particolarmente importante l’opera interpretativa della giurisprudenza, che negli ultimi anni ha adottato un corposo numero di decisioni sulle questioni più controverse.

La Corte di Cassazione ha ormai fugato ogni dubbio sulla qualificazione della condotta diffamatoria in Rete. Recenti sentenze hanno infatti confermato che, anche la diffusione di un messaggio diffamatorio attraverso l’uso di una bacheca Facebook o di un forum integra un’ipotesi di diffamazione aggravata ai sensi dell’art. 595, comma 3° c.p. poiché le modalità di comunicazione offerte da queste piattaforme virtuali hanno la capacita? di raggiungere un numero indeterminato di persone (v. Cass. pen. Sez. V, 23/01/2017, n. 8482 e Cass. pen. Sez. V, Sent., 20/01/2016, n. 2333). Lo stesso ragionamento è stato inoltre applicato alla condivisione di video offensivi attraverso un sistema peer-to-peer. La Corte ha rilevato infatti che la circostanza per cui la condivisione di materiali sia tecnicamente possibile solo tra due utenti per volta, non esclude le potenzialità diffusive e lesive dello strumento (v. Cass. pen. Sez. V, 19/03/2015, n. 41276).

La giurisprudenza non si è limita ad analizzare unicamente i profili di inquadramento giuridico della materia ma ha ampliato il suo campo di indagine anche agli aspetti concernenti la responsabilità e la competenza territoriale. Con riferimento al primo profilo, i giudici hanno avuto modo di affermare la responsabilità a livello concorsuale del gestore di un sito che, pur essendo a conoscenza del contenuto diffamatorio del messaggio caricato da un utente, non si era attivato per la sua immediata rimozione (v. Cass. pen. Sez. V, 14/07/2016, n. 54946). La sentenza si colloca sulla scia dell’orientamento giurisprudenziale europeo e nazionale che, pur non ponendo in capo agli Internet Service Provider un dovere di puntuale vigilanza su tutti i contenuti pubblicati dai propri utenti, ne sancisce la responsabilità ogni qual volta non provvedano ad eliminare un contenuto lesivo da loro conosciuto.

In relazione invece alla competenza territoriale del giudice penale nei casi di diffamazione a mezzo Internet, si sono posti problemi di individuazione del luogo in cui l’azione criminosa poteva dirsi effettivamente consumata. Più in generale, in materia di reati informatici, mentre parte della giurisprudenza ritiene che competente per territorio sia il tribunale del luogo nel quale il soggetto, a mezzo del client, si è connesso alla Rete effettuando il collegamento abusivo; per altra parte deve invece individuarsi nel tribunale del luogo ove è fisicamente allocato il server che costituisce l’oggetto dell’intrusione. Recente giurisprudenza, in materia di upload di un articolo dal contenuto diffamatorio, ha ritenuto di privilegiare il primo dei due criteri. Dunque, ai fini dell’individuazione della competenza territoriale, ha stabilito doversi far riferimento non al luogo dove si trovava il server che conservava e rendeva disponibili i dati per l’accesso degli utenti, bensì il luogo in cui il caricamento del dato “informatico” era stato effettivamente eseguito (v. Cass. pen. Sez. V, 19/05/2015, n. 31677).

[continua]

posted by Maria Chiara Meneghetti on dicembre 19, 2016

Miscellanee

(No comments)

Incitamento all’odio online, i primi risultati a seguito dell’adozione del Codice di condotta.

L’abbattimento di barriere fisiche e geografiche reso possibile dall’utilizzo della Rete ha conferito alle piattaforme di condivisione online (social network) un ruolo centrale nella promozione e nella garanzia della libertà di espressione e di opinione dei propri utenti, con modalità e intensità sconosciute ai media tradizionali. Dall’altro lato, questi nuovi sistemi di condivisione hanno notevolmente amplificato i pericoli legati a una diffusione d’informazione capillare e incontrollata, soprattutto quando l’informazione viene strumentalizzata per canalizzare fenomeni di incitamento all’odio e alla violenza. In particolare negli ultimi tempi, l’utilizzo dei social media da parte di associazioni terroristiche a fini propagandistici ha reso più urgente un’azione coordinata da parte di Istituzioni e privati coinvolti, allo scopo di prevenire e circoscrivere questi fenomeni.

Dalle esigenze di cooperazione tra pubblico e privato nasce il “Codice di Condotta sull’illecito incitamento all’odio online”, frutto della collaborazione tra Commissione europea, Stati membri e grandi aziende informatiche (Facebook, Google –Youtube–, Twitter e Microsoft). A seguito della presentazione del Codice nel maggio 2016, la Commissione ha reso pubblici in questi giorni i primi dati che permettono di valutare i progressi della sua concreta attuazione.

A livello europeo era stata adottata, già nel 2008, una decisione quadro sulla lotta contro talune forme ed espressioni di razzismo e xenofobia mediante il diritto penale (Decisione quadro 2008/913/GAI del Consiglio del 28 novembre 2008), al fine di creare una base giuridica comune per definire i contenuti illeciti (offline e online) e migliorare la cooperazione giudiziaria tra Stati membri in materia. La decisione, secondo la Relazione sulla sua attuazione elaborata nel 2014, risultava essere stata recepita in maniera non integrale o non corretta da diversi Paesi dell’Unione, impegnando la Commissione europea nell’apertura di nuovi dialoghi con gli Stati membri al fine di garantirne la piena e adeguata implementazione.

A seguito degli attentati terroristici di Bruxelles del 2015, il Consiglio straordinario “Giustizia e affari interni” aveva nuovamente sottolineato la necessità di intensificare i lavori in questo campo e di concordare un codice di condotta sull’incitamento all’odio che, affiancandosi ai sistemi giuridici nazionali sanzionatori delle condotte illecite, avrebbe coinvolto in prima linea gli operatori privati.

Il Codice di Condotta, presentato il 31 maggio 2016 dalla Commissione europea e dalle principali piattaforme di condivisione online, rappresenta una dichiarazione di pubblico impegno, da parte degli operatori nel mercato di Internet che lo hanno sottoscritto, nella lotta alla diffusione della propaganda terroristica sulla Rete. In particolare, il Codice prevede l’adozione in ciascuna azienda di procedure organizzative interne e l’adeguata formazione del personale in modo che sia possibile esaminare entro 24 ore la maggior parte delle richieste giustificate di rimozione di contenuti che incitano all’odio e, se del caso, cancellare tali contenuti o renderli inaccessibili. Inoltre, per incoraggiare il pensiero critico e promuovere il dibattito democratico, le Internet companies e la Commissione europea si impegnano nel “proseguire l’opera di elaborazione e promozione di narrazioni alternative indipendenti, di nuove idee e iniziative e di sostegno di programmi educativi”.

Dalle valutazioni elaborate da dodici ONG stabilite in nove diversi Stati membri, a seguito del primo periodo di applicazione del Codice, è emerso che di 600 segnalazioni riguardanti presunti illeciti di incitamento all’odio online, il 28% ha portato alla rimozione del contenuto denunciato. Tuttavia, solo il 40% delle segnalazioni, e non la maggioranza come prevede il Codice, sono al momento visionate nell’arco di 24 ore. Un secondo monitoraggio per valutare i progressi compiuti è previsto nel 2017.

Nel frattempo all’ “EU Internet Forum” dell’8 dicembre, che riunisce intorno a un unico tavolo i Ministri degli interni dell’Unione europea, i rappresentanti delle grandi Internet companies, l’Europol, il Coordinatore antiterrorismo europeo e il Parlamento europeo, sono stati discussi i risultati già raggiunti e i prossimi passi da intraprendere. Tra le iniziative di coordinamento per la lotta contro il terrorismo online, i Big di Internet hanno lanciato il “Civil Society Empowerment Programme”, che, sostenuto da un finanziamento iniziale di 10 milioni da parte della Commissione, aiuterà la società civile nella creazione di narrazioni alternative indipendenti. Il Forum è stato inoltre l’occasione per presentare un nuovo progetto che permetterà di creare un unico database di contenuti a rischio. Immagini o video ritenuti violenti e potenzialmente favorevoli alla diffusione del terrorismo verrebbero “taggati” attraverso un codice identificativo univoco (hash) e schedati nel database. La condivisione del database consentirebbe non solo di eliminare il contenuto originale ma di bloccare ogni eventuale caricamento di copie dello stesso, su una qualsiasi delle piattaforme social coinvolte, impedendone la circolazione.