Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by Maria Chiara Meneghetti on dicembre 19, 2016

Miscellanee

(No comments)

Incitamento all’odio online, i primi risultati a seguito dell’adozione del Codice di condotta.

L’abbattimento di barriere fisiche e geografiche reso possibile dall’utilizzo della Rete ha conferito alle piattaforme di condivisione online (social network) un ruolo centrale nella promozione e nella garanzia della libertà di espressione e di opinione dei propri utenti, con modalità e intensità sconosciute ai media tradizionali. Dall’altro lato, questi nuovi sistemi di condivisione hanno notevolmente amplificato i pericoli legati a una diffusione d’informazione capillare e incontrollata, soprattutto quando l’informazione viene strumentalizzata per canalizzare fenomeni di incitamento all’odio e alla violenza. In particolare negli ultimi tempi, l’utilizzo dei social media da parte di associazioni terroristiche a fini propagandistici ha reso più urgente un’azione coordinata da parte di Istituzioni e privati coinvolti, allo scopo di prevenire e circoscrivere questi fenomeni.

Dalle esigenze di cooperazione tra pubblico e privato nasce il “Codice di Condotta sull’illecito incitamento all’odio online”, frutto della collaborazione tra Commissione europea, Stati membri e grandi aziende informatiche (Facebook, Google –Youtube–, Twitter e Microsoft). A seguito della presentazione del Codice nel maggio 2016, la Commissione ha reso pubblici in questi giorni i primi dati che permettono di valutare i progressi della sua concreta attuazione.

A livello europeo era stata adottata, già nel 2008, una decisione quadro sulla lotta contro talune forme ed espressioni di razzismo e xenofobia mediante il diritto penale (Decisione quadro 2008/913/GAI del Consiglio del 28 novembre 2008), al fine di creare una base giuridica comune per definire i contenuti illeciti (offline e online) e migliorare la cooperazione giudiziaria tra Stati membri in materia. La decisione, secondo la Relazione sulla sua attuazione elaborata nel 2014, risultava essere stata recepita in maniera non integrale o non corretta da diversi Paesi dell’Unione, impegnando la Commissione europea nell’apertura di nuovi dialoghi con gli Stati membri al fine di garantirne la piena e adeguata implementazione.

A seguito degli attentati terroristici di Bruxelles del 2015, il Consiglio straordinario “Giustizia e affari interni” aveva nuovamente sottolineato la necessità di intensificare i lavori in questo campo e di concordare un codice di condotta sull’incitamento all’odio che, affiancandosi ai sistemi giuridici nazionali sanzionatori delle condotte illecite, avrebbe coinvolto in prima linea gli operatori privati.

Il Codice di Condotta, presentato il 31 maggio 2016 dalla Commissione europea e dalle principali piattaforme di condivisione online, rappresenta una dichiarazione di pubblico impegno, da parte degli operatori nel mercato di Internet che lo hanno sottoscritto, nella lotta alla diffusione della propaganda terroristica sulla Rete. In particolare, il Codice prevede l’adozione in ciascuna azienda di procedure organizzative interne e l’adeguata formazione del personale in modo che sia possibile esaminare entro 24 ore la maggior parte delle richieste giustificate di rimozione di contenuti che incitano all’odio e, se del caso, cancellare tali contenuti o renderli inaccessibili. Inoltre, per incoraggiare il pensiero critico e promuovere il dibattito democratico, le Internet companies e la Commissione europea si impegnano nel “proseguire l’opera di elaborazione e promozione di narrazioni alternative indipendenti, di nuove idee e iniziative e di sostegno di programmi educativi”.

Dalle valutazioni elaborate da dodici ONG stabilite in nove diversi Stati membri, a seguito del primo periodo di applicazione del Codice, è emerso che di 600 segnalazioni riguardanti presunti illeciti di incitamento all’odio online, il 28% ha portato alla rimozione del contenuto denunciato. Tuttavia, solo il 40% delle segnalazioni, e non la maggioranza come prevede il Codice, sono al momento visionate nell’arco di 24 ore. Un secondo monitoraggio per valutare i progressi compiuti è previsto nel 2017.

Nel frattempo all’ “EU Internet Forum” dell’8 dicembre, che riunisce intorno a un unico tavolo i Ministri degli interni dell’Unione europea, i rappresentanti delle grandi Internet companies, l’Europol, il Coordinatore antiterrorismo europeo e il Parlamento europeo, sono stati discussi i risultati già raggiunti e i prossimi passi da intraprendere. Tra le iniziative di coordinamento per la lotta contro il terrorismo online, i Big di Internet hanno lanciato il “Civil Society Empowerment Programme”, che, sostenuto da un finanziamento iniziale di 10 milioni da parte della Commissione, aiuterà la società civile nella creazione di narrazioni alternative indipendenti. Il Forum è stato inoltre l’occasione per presentare un nuovo progetto che permetterà di creare un unico database di contenuti a rischio. Immagini o video ritenuti violenti e potenzialmente favorevoli alla diffusione del terrorismo verrebbero “taggati” attraverso un codice identificativo univoco (hash) e schedati nel database. La condivisione del database consentirebbe non solo di eliminare il contenuto originale ma di bloccare ogni eventuale caricamento di copie dello stesso, su una qualsiasi delle piattaforme social coinvolte, impedendone la circolazione.

telefonoSecondo l’Authority gli attuali strumenti non sono in grado di tutelare adeguatamente gli abbonati da forme invasive e moleste di marketing telematico.

A seguito di innumerevoli interventi del Garante privacy, nonché della recente sentenza della Corte di Cassazione sulle c.d. telefonate mute, il Presidente del Garante privacy, Antonello Soro, ha nuovamente ribadito l’esigenza di tutelare in maniera più incisiva i cittadini nei confronti di pratiche commerciali telefoniche sempre più invasive della vita privata e della quiete domestica degli utenti. Il Registro delle Opposizioni, come strumento di contrasto alle telefonate indesiderate, non sembra infatti aver conseguito il risultato sperato. Pochi sono attualmente gli utenti iscritti rispetto al numero effettivo di utenze, limitate le condizioni di iscrizione (solo telefoni fissi presenti negli elenchi) e pressoché inesistenti le responsabilità in capo ai call center che, incuranti del Registro, continuano a contattare i numeri telefonici registrati.

Per rafforzare le tutele dei cittadini e responsabilizzare maggiormente i promotori di campagne pubblicitarie si prospettano due percorsi da seguire. Da un lato, il Garante puntualizza la necessità di riformulare la normativa in materia di telemarketing, ampliando il novero di utenze iscrivibili nel Registro delle Opposizioni, includendo tutta la telefonia fissa o mobile, anche se non iscritta negli elenchi. Ritiene inoltre auspicabile l’introduzione di un chiaro regime di responsabilità tra il soggetto che materialmente chiama il cittadino (di solito il call center) e l’azienda per conto della quale viene effettuata la chiamata. Dall’altro lato, sembra essenziale promuovere misure che aumentino il grado di consapevolezza degli utenti sulla gestione dei propri dati, sensibilizzando al contempo le stesse imprese, anche attraverso la previsione di piani di incentivazione a favore delle società “diligenti”.

Da ultimo il Garante evidenzia che una riforma delle regole di settore gioverebbe peraltro gli stessi call center. Infatti, incoraggiando i committenti di campagne pubblicitarie a selezionare call center qualificati e affidabili, si eviterebbe di penalizzare quanti nel settore operano correttamente, portando ad una generale riqualificazione dello stesso lavoro degli operatori.

NOTA: Il magazine canadese Nymity, specializzato in diritto di Internet e privacy ha pubblicato uno speciale sulla sentenza della Corte di Cassazione italiana numero 2196 del 4 febbraio 2016 sul tema delle cosiddette “telefonate mute” le telefonate automatiche inoltrate dai sistemi computerizzati di telemarketing. Lo speciale è accompagnato da un’intervista a Giusella Finocchiaro che contestualizza il fenomeno da un punto di vista giuridico e ne analizza i risvolti in tema di privacy e sicurezza.

Una panoramica del tema è stata precedentemente pubblicata in QUESTO POST.

Lo speciale di Nymity è disponibile QUI. Cliccando QUI è possibile scaricare il pdf con l’intervista a Giusella Finocchiaro. Entrambi i documenti sono in lingua inglese.

Il 12 maggio 2016 l’Avvocato generale Campos Sànchez-Bordona ha presentato le sue conclusioni in merito ad una questione pregiudiziale sollevata, dinanzi alla Corte di giustizia europea, dalla Corte federale di giustizia tedesca (Bundesgerichtshof) riguardante, in particolar modo, la qualificazione degli indirizzi IP dinamici come dati personali ai sensi dell’art. 2, lett. a) della direttiva 95/46/CE, attualmente ancora normativa europea di riferimento in materia di trattamento dei dati personali.

Per ragioni di chiarezza, si precisa che un indirizzo IP (indirizzo di protocollo Internet) è una sequenze di numeri binari che, assegnata da un fornitore di accesso alla rete a un determinato dispositivo (es. computer), ne permette l’univoca identificazione e ne consente l’accesso alla rete di comunicazioni elettroniche. Si parla di “indirizzo IP dinamico” quando il fornitore di accesso alla rete assegna al dispositivo del cliente un indirizzo IP temporaneo per ciascun collegamento a Internet, modificandolo in occasione di successivi accessi alla Rete.

La controversia (causa C-582/2014) è nata dalla proposizione da parte del sig. Breyer di un’azione inibitoria contro la Repubblica federale di Germania a causa della memorizzazione, da parte dei siti istituzionali da questa gestiti, degli indirizzi IP associati al sistema host del sig. Beyer ogni volta che questi vi effettuava un accesso. A seguito del ricorso per Cassazione, la Corte federale di giustizia tedesca ha sollevato, tra le altre, una questione pregiudiziale in cui chiedeva se un indirizzo IP memorizzato da un fornitore di servizi in relazione ad un accesso al suo sito Internet costituisse per quest’ultimo un dato personale già nel momento in cui un terzo (nel caso di specie un fornitore di accesso alla rete) disponesse delle informazioni aggiuntive necessarie ai fini dell’identificazione della persona interessata.

In attesa della sentenza del giudice europeo, sembra interessante esaminare le conclusioni raggiunte dall’Avvocato generale. Prima di affrontare il merito della questione, l’Avvocato generale ne delimita l’ambito di analisi precisando che oggetto della questione sono esclusivamente gli “indirizzi IP dinamici”, non rientrando nell’analisi anche gli “indirizzi IP fissi o statici”, e che la valutazione che un indirizzo IP sia un dato personale deve inquadrarsi nelle specifiche circostanze della controversia (cioè quando soggetto conservatore è un fornitore di pagine web e soggetto terzo, che dispone di informazioni aggiuntive, è un fornitore di accesso alla rete). L’Avvocato generale entra poi nel cuore della questione. Innanzitutto viene chiarito che un indirizzo IP dinamico (che fornisce la data e l’ora di un collegamento) se associato ad altre informazioni consente indubbiamente l’identificazione indiretta del titolare del dispositivo utilizzato per l’accesso alla pagina web e debba quindi considerarsi un dato personale. Tali informazioni “aggiuntive” possono essere in possesso del medesimo soggetto che conosce l’indirizzo IP o possono essere in possesso di un terzo (nel caso di specie un fornitore di accesso alla rete). In secondo luogo l’Avvocato generale precisa che, per considerare un indirizzo IP quale dato personale, non è sufficiente la mera possibilità, in abstracto, di conoscere le informazioni aggiuntive in possesso di un soggetto terzo, ma è necessario che il fornitore di servizi possa “ragionevolmente” rivolgersi a quest’ultimo al fine di ottenere tali informazioni. Non sarà da considerarsi ragionevole il contatto che sia di fatto molto costoso in termini umani ed economici o praticamente irrealizzabile o vietato dalla legge. Nella fattispecie, essendo il terzo a cui si fa riferimento un fornitore di accesso alla rete, la possibilità del fornitore di servizi Internet di contattarlo e ottenere da lui la trasmissione delle informazioni aggiuntive risulta essere perfettamente “ragionevole”. L’Avvocato generale conclude quindi che, nello specifico caso così come inquadrato, l’indirizzo IP dinamico deve essere qualificato, ai fini dell’attività esercitata dal fornitore di servizi Internet, come dato personale.

Seguiranno aggiornamenti sull’esito della controversia.

Prof. Avv. Giusella Finocchiaro

Dott. Maria Chiara Meneghetti

Dopo oltre quattro anni dalla proposta della Commissione, il 14 aprile 2016 il Parlamento europeo ha approvato in seconda lettura il Regolamento europeo concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione dei dati.

Gli incessanti progressi tecnologici degli ultimi anni, frutto di una società dell’informazione sempre più intrusiva nella sfera privata degli individui, avevano evidenziato da un lato l’inadeguatezza di una normativa europea a protezione dei dati personali, la Direttiva 95/46/CE, elaborata nelle prime fasi dell’evoluzione digitale e, dall’altro lato, la frammentazione normativa causata dal recepimento della stessa nelle legislazioni degli Stati membri.

Il Regolamento risponde quindi all’esigenza, da tempo avvertita, di riformare la disciplina a tutela dei dati personali ampliando il novero dei diritti dell’interessato, rispetto a quanto previsto dalla Direttiva, e di uniformare la normativa degli Stati, anche nell’ottica di rafforzare il mercato unico interno. Significativa in tal senso è la scelta del legislatore europeo di adottare lo strumento del regolamento, che a differenza della direttiva non richiede alcun atto di recepimento, essendo di diretta e identica applicabilità in ogni Stato membro.

Tra le principali indicazioni introdotte dal Regolamento (Per una rassegna delle principali novità del Regolamento si rimanda a QUESTA PAGINA) pare rilevare il nuovo campo di applicazione territoriale di cui all’art. 3. In precedenza la Direttiva 95/46/CE prevedeva che la disciplina fosse applicabile, per il tramite delle legislazioni nazionali, quando il trattamento di dati personali fosse effettuato nel contesto delle attività di uno stabilimento del titolare situato nell’Unione europea. Criterio centrale per la determinazione dell’ambito di applicazione della Direttiva era, dunque, il luogo fisico in cui i dati venivano trattati. Ad oggi tale criterio sembra essere stato rovesciato dall’art. 3, comma 1° del Regolamento, il quale specifica l’applicabilità dell’atto “indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.

Già negli ultimi due anni, a partire dalla decisione Google Spain fino alla recente Schrems, gli orientamenti delineatisi nella giurisprudenza della Corte di giustizia europea hanno evidenziato la tendenza ad un’interpretazione meno restrittiva di tale criterio. Sembra infatti che sia emersa la volontà di estendere la normativa europea anche a casi in cui i titolari di trattamento sono soggetti non europei e i dati sono trattati principalmente fuori dall’Europa. Ora, l’art. 3 del Regolamento sembra avere, per così dire, codificato l’interpretazione estensiva della Corte attraverso la previsione di molteplici criteri di collegamento, che consentono di attrarre nell’ambito di applicazione della normativa europea anche trattamenti che prima era difficile includere. Il Regolamento è, infatti, applicabile non solo ai trattamenti effettuati nell’ambito delle attività di uno stabilimento del titolare situato nell’Unione, ma anche nel caso si tratti di uno stabilimento del responsabile. Inoltre, è applicabile quando l’attività di trattamento riguardi l’offerta di beni o la prestazione di servizi rivolti, anche gratuitamente, a interessati situati in territorio europeo o quando l’attività sia volta al monitoraggio del comportamento di questi ultimi, anche se i titolari o responsabili non siano stabiliti nell’Unione.

Diverse sono poi le novità introdotte dalla riforma, tra cui si annovera la previsione di nuovi diritti dell’interessato (tra cui il diritto all’oblio e il diritto alla portabilità dei dati), la responsabilizzazione dei soggetti coinvolti nel trattamento dei dati personali (in particolare l’obbligo per i titolari di effettuare la c.d. privacy impact assesment e di notificare le violazioni dei dati), nuove garanzie per i trasferimenti di dati all’estero, nonché la conferma delle due figure di vigilanza rappresentate dal Data Protection Officer e dalla Supervisory Authority.

Quanto al coordinamento con la normativa europea (il Regolamento sarà applicabile decorsi due anni dalla data di entrata in vigore) il legislatore italiano dovrà scegliere tra le due strade ora percorribili: l’applicazione diretta del Regolamento, con la conseguente abrogazione di tutte le disposizioni nazionali incompatibili con la norma europea, o l’integrazione dell’attuale Codice in materia di protezione dei dati personali, con gli inevitabili rischi di erronee trasposizioni o interpretazioni del dettato europeo.