Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Continua l’analisi sulla proposta di un regolamento “per un quadro sul libero flusso di dati non-personali all’interno dell’Unione europea”.

L’obiettivo del regolamento è la liberalizzazione dei flussi di dati. Liberalizzazione che, è bene precisare, sconta due limiti intrinseci alla proposta: da un lato si riferisce ai soli dati non-personali che, per evidente ragioni di coerenza, vengono definiti come “i dati diversi da quelli definiti dall’art. 4 del regolamento UE 2016/679”; dall’altro lato attiene unicamente al movimento dei dati entro i confini dell’Unione europea, mentre lascia inalterati i regimi dettati per gli scambi extra-UE.

La Commissione individua due ostacoli principali alla piena affermazione della libertà di imprese e PA di scegliere il luogo in cui conservare e gestire i propri dati.

Il primo ostacolo è rappresentato dalle ingiustificate restrizioni alla localizzazione dei dati imposte dalle autorità pubbliche degli Stati membri. Le ragioni che negli anni hanno spinto i diversi Stati a imporre l’archiviazione a livello locale dei dati delle proprie imprese o PA risiede principalmente in ragioni legate alla maggiore sicurezza e al più facile controllo da parte delle autorità nazionali. Si pensi ad esempio alle misure di conservazione dei dati in materia finanziaria, di contabilità e bilancio delle imprese previste da Germania, Danimarca, Belgio e altri stati nord europei, che richiedono l’archiviazione entro i confini dello stato membro. O anche ai dati inerenti alle vincite e alle transazioni in materia di gioco d’azzardo che stati come Bulgaria, Polonia e Romania impongono di conservare in territorio nazionale. Inoltre, anche ove non siano espresse specifiche restrizioni territoriali nazionali, la prassi imprenditoriale e il sentimento comune hanno comunque portato a privilegiare una conservazione localizzata dei dati, rinunciando alle alternative proposte oltre-confine.

Il secondo ostacolo alla liberalizzazione, invece, deriva dalle limitazioni del mercato privato che, attraverso le c.d. pratiche di vendor-lock in, impediscono la portabilità dei dati tra sistemi informatici. Tale diffuso fenomeno commerciale nasce dalla volontà dei fornitori di creare un rapporto di dipendenza artificiosa tra il cliente e i beni e servizi da essi forniti. Il cliente viene posto nella condizione di non poter acquistare beni e servizi concorrenti, senza che il passaggio di fornitore comporti il sostenimento di significativi oneri economici e riorganizzativi. Questa sorta di “fidelizzazione forzata” viene attuata sia attraverso l’adozione da parte del fornitore di tecnologie o standard diversi rispetto a quelli utilizzati dai concorrenti; sia attraverso la previsione di condizioni contrattuali particolarmente penalizzanti in caso di passaggio.

Per mettere un freno alla diffusione di tali pratiche e disposizioni, la Commissione, con la proposta di regolamento, intende affrontare le problematiche attraverso quattro linee d’azione.

In primo luogo, viene introdotto il generale principio di libera circolazione dei dati tra gli Stati membri, che garantisce alle imprese di poter scegliere liberamente il luogo dove trattare o conservare i dati. Restrizioni normativamente previste dovranno essere attentamente scrutinate e saranno legittimate solo in forza di esigenze di sicurezza pubblica e nazionale.

In secondo luogo, nell’intento di rassicurare i legislatori nazionali, viene garantito che le autorità competenti avranno accesso ai dati archiviati o elaborati in un altro Stato membro alle medesime condizioni di accesso garantite sul territorio nazionale.

In terzo luogo, la proposta incoraggia l’elaborazione in autoregolamentazione di codici di condotta che agevolino le condizioni di portabilità e facilitino quindi il cambio, per esempio, di fornitore di servizi di cloud. Si cerca quindi anche per i dati non-personali di costituire una sorta di “diritto alla portabilità”, alla pari di quanto già espresso dal Regolamento privacy con riferimento ai dati personali. L’esigenza, cioè, di assicurare che la libertà di scelta del cliente non solo sia presente al momento iniziale del rapporto, ma sia anche mantenuta e resa tecnicamente possibile in corso di esecuzione.

Infine, viene istituito per ciascuno Stato membro un punto di contatto unico, al fine di garantire l’effettiva applicazione delle nuove norme sul libero flusso dei dati non personali.

In conclusione, la proposta di regolamento appare indubbiamente indirizzata in primis a imprese e pubbliche amministrazioni, con un impatto decisamente inferiore per i singoli cittadini. Tuttavia, se letta alla luce e in coordinamento con il quadro normativo europeo in materia di dati, la proposta acquista una rilevanza di carattere più generale. Infatti, proprio grazie alla nuova formulazione, si verrebbe a conseguire un generale consolidamento di alcuni dei principi già sanciti dal Regolamento privacy, come quello di libera circolazione e di portabilità dei dati, attraverso un ampliamento del loro raggio d’azione.

Dopo l’adozione del Regolamento UE 2016/679 (Regolamento generale privacy, RGPD) e la recente proposta di regolamento che porterà all’abrogazione dell’attuale Direttiva 2002/58/EC (Direttiva e-privacy), la Commissione europea aggiunge un ulteriore tassello al suo progetto di espansione e regolamentazione del mercato digitale europeo, avanzando la proposta di un regolamento “per un quadro sul libero flusso di dati non-personali all’interno dell’Unione europea”.

Il regolamento si affiancherebbe e integrerebbe l’attuale (e futura) disciplina europea in materia di dati, colmando quella che viene ritenuta una dannosa lacuna nel panorama normativo: la circolazione dei dati-non personali. Attraverso l’adozione e a breve implementazione del Regolamento privacy si è infatti venuta a creare la paradossale situazione per cui mentre per i dati personali è espresso il principio di una libera circolazione entro i confini europei (art. 1, comma 3° del Regolamento), lo spostamento dei dati “non-personali” risulta ancora subordinato agli obblighi di localizzazione disposti da alcune normative nazionali. Le imprese di alcuni paesi non sarebbero cioè ancora libere di scegliere tra i diversi provider di servizi cloud per la gestione e conservazione dei propri dati, a causa di alcune limitazioni territoriali imposte all’archiviazione degli stessi.

È ormai chiaro da tempo che la Commissione europea sia impaziente di affermare a livello internazionale una forte data economy “made in” UE. La rivoluzione operata dalle nuove tecnologie digitali basate sullo sfruttamento di dati, dal cloud computing all’Internet of things, offre nuove opportunità di sviluppo, crea nuovi servizi e mobilità nel mercato e, soprattutto, attira ingenti volumi di investimenti. La tendenza è confermata dalle statistiche: nel 2016 il mercato europeo dei dati si stima abbia raggiunto i 60 miliardi di Euro, con la previsione di un quasi raddoppio della cifra entro il 2020 . Numeri che si attestano comunque ben al di sotto del potenziale espresso da altre nazioni, tra cui gli Stati Uniti, che primeggiano ancora indisturbate nel settore digitale.

Per l’Europa la vera corsa al digitale è iniziata nel 2015, quando la Commissione ha adottato una strategia per il mercato unico digitale europeo, i cui pilastri sono stati individuati nella necessità di 1. migliorare l’accesso ai beni e servizi digitali in tutta Europa per imprese e consumatori; 2. creare un contesto favorevole e parità di condizioni affinché le reti digitali e i servizi innovativi possano svilupparsi; 3. massimizzare il potenziale di crescita dell’economia digitale.

Sulla base di queste linee direttive, nei passati due anni è stato adottato un eterogeneo ventaglio di azioni mirate alla modernizzazione normativa di alcuni settori e al rafforzamento delle tutele e della fiducia di utenti e consumatori (tra cui si collocano, l’adozione del RGPD, la proposta di regolamento e-Privacy, la proposta di regolamento sul copyright e quella sui digital content). A queste si sono affiancati pacchetti di misure dirette ad affrontare le tematiche di accessibilità e riutilizzo di dati pubblici o di pubblico interesse, di promozione di soluzioni di cloud europee e di una migliore collaborazione digitale tra pubbliche amministrazioni.

Un panorama, quindi, già costellato da numerose iniziative che, pur perseguendo ciascuna uno specifico obiettivo, disegnano insieme la trama di un neonato ecosistema digitale. In questo quadro, si inserisce la nuova proposta di regolamento per un libero flusso di dati-non personali.

[continua]

La protezione dei dati personali si aggiunge alla lunga lista di diritti che sono stati fortemente colpiti dalla rivoluzione digitale. Quotidianamente, riversiamo i nostri dati personali, più o meno consciamente, all’interno del world wide web. Questa massa di informazioni personali viaggia indisturbata attraverso le reti telematiche per essere poi utilizzata per le finalità più disparate, non sempre nel rispetto dei presupposti (per esempio il consenso dell’interessato) che il nostro Codice privacy impone ai fini di un legittimo trattamento. In queste circostanze, al fine di tutelare l’interessato in maniera particolarmente rafforzata, il Codice privacy prevede all’art. 167 una specifica fattispecie di illecito volto a punire coloro che, per trarne un profitto o per recare danno, procedono al trattamento dei dati personali in assenza di quelle basilari condizioni grazie alle quali possa essere ritenuto legittimo.

Nel caso un messaggio diffamatorio sia diffuso in Rete e, oltre al contenuto di per sé offensivo indirizzato ad una determinata persona, porti, come spesso accade, alla divulgazione di dati personali della persona offesa, la giurisprudenza si è chiesta se possa configurarsi un concorso tra il reato di diffamazione aggravata e l’illecito trattamento di dati personali.

Con la sentenza n. 44390, pubblicata il 26 settembre 2017, la Corte di Cassazione penale risponde in maniera negativa. Nel caso di specie, l’imputato era stato condannato sia per diffamazione aggravata in quanto, in qualità di redattore, aveva pubblicato sul web due articoli diffamatori, sia per illecito trattamento di dati personali perché, con gli stessi articoli, aveva pubblicato dati personali dei soggetti offesi. La Corte di Cassazione, sulla base del ricorso presentato, delinea il suo ragionamento in due fasi. Innanzitutto la Corte rileva come l’art. 167 del Codice privacy contenga la clausola di sussidiarietà espressa “salvo che il fatto costituisca più grave reato”. La formula comporterebbe dunque l’assorbimento della fattispecie di minor gravità entro quella dell’illecito più gravoso. In secondo luogo, la Corte procede accertando quale tra i reati di diffamazione e illecito trattamento dei dati personali possa ritenersi più grave. In contrasto con l’orientamento che prevede che la gravita? del reato debba stabilirsi avendo riguardo alla pena massima in astratto comminata dai due reati, la Corte ritiene che “la maggiore gravita? del reato, comportando l’assorbimento di una fattispecie nell’altra in considerazione del suo effettivo minor disvalore dell’una a fronte dell’effettivo maggior disvalore dell’altra, va necessariamente valutata avendo riguardo alla pena in concreto irrogabile, e quindi tenendo anche conto delle circostanze in concreto ritenute e dell’esito dell’eventuale bilanciamento tra esse”. Nel caso di specie, alla luce delle pene concretamente inflitte, la Corte conclude che il reato di illecito trattamento di dati personali sia assorbito da quello di diffamazione aggravata.

In conclusione, si può quindi affermare come in materia di protezione degli individui negli ambienti online, la giurisprudenza si stia al momento rivelando il miglior alleato del legislatore. Infatti, l’opera interpretativa dei giudici permette di estendere alle attività effettuate in Rete la disciplina dettata in origine per i soli comportamenti offline, senza la necessità di creare una normativa specifica per il settore digitale. È evidente che date le peculiari caratteristiche di Internet, sono auspicabili alcuni aggiustamenti di stampo normativo. Tuttavia, in generale, il messaggio che è bene far passare è che le norme attualmente previste si applicano indipendentemente dal mezzo, o meglio dal “luogo”, in cui i comportamenti vengono messi in atto. Ciò che accade in Rete è soggetto alle medesime regole previste per ciò che accade fuori dalla Rete.

posted by Maria Chiara Meneghetti on ottobre 24, 2017

Diffamazione

(No comments)

La diffamazione di personaggi pubblici, datori di lavoro o ex fidanzate ha raggiunto con la Rete un nuovo livello di offensività, determinato dalla facilità di condivisione e dall’ampiezza del raggio di diffusione del messaggio lesivo. La necessità di colpire le condotte illecite degli utenti online alla pari di quelle realizzate nel mondo fisico impone il più delle volte una non facile interpretazione normativa, volta ad estendere le attuali fattispecie delittuose alle peculiari caratteristiche della realtà digitale.

Internet ha da tempo superato i confini che lo relegavano a mero mezzo di comunicazione tra persone, paragonabile alla televisione o al telefono, per acquisire i connotati di una vera e propria dimensione sociale. Si parla non a caso di “ciberspazio” per fare riferimento a quel luogo, privo di confini fisici e di limitazioni temporali, che è oggi contenitore e fornitore del più grande numero di dati e informazioni diversificate che la storia abbia mai visto.

Uno dei caratteri più interessanti della realtà digitale è la messa a disposizione di nuovi modi e nuove forme di espressione e condivisione della propria personalità. Ciò avviene, soprattutto per i c.d. nativi digitali, cioè coloro che sono nati e cresciuti in corrispondenza della diffusione delle tecnologie informatiche, attraverso l’utilizzo di piattaforme social che permettono con un tweet, un post o un video di condividere i propri pensieri con un vasto pubblico di internauti, amici o solo visitatori di passaggio. La Rete diventa uno spazio condiviso di espressione e sviluppo della personalità e al tempo stesso, grazie al suo carattere ubiquitario e alla sua facile accessibilità, uno strumento grazie a cui le informazioni condivise riescono a raggiungere una diffusione impensabile nel mondo fisico.

Tutto ciò, se dal punto di vista sociale e tecnologico è frutto di crescente entusiasmo, dal punto di vista giuridico pone il legislatore di fronte a nuove sfide. Da un lato, infatti, è sempre più sentita la necessità di tutelare questa nuova forma di espressione della persona e questo immenso bagaglio di cultura digitale da tutte quelle azioni che ne potrebbero illegittimamente ostacolare l’utilizzo. Dall’altro lato, cresce l’esigenza di trasporre le regole che governano il vivere civile offline anche nel mondo digitale, soprattutto alla luce della dilagante percezione che ciò che accade online, in quanto virtuale, sia immune da reali conseguenze legali.

In materia di diffamazione a mezzo Internet è stata particolarmente importante l’opera interpretativa della giurisprudenza, che negli ultimi anni ha adottato un corposo numero di decisioni sulle questioni più controverse.

La Corte di Cassazione ha ormai fugato ogni dubbio sulla qualificazione della condotta diffamatoria in Rete. Recenti sentenze hanno infatti confermato che, anche la diffusione di un messaggio diffamatorio attraverso l’uso di una bacheca Facebook o di un forum integra un’ipotesi di diffamazione aggravata ai sensi dell’art. 595, comma 3° c.p. poiché le modalità di comunicazione offerte da queste piattaforme virtuali hanno la capacita? di raggiungere un numero indeterminato di persone (v. Cass. pen. Sez. V, 23/01/2017, n. 8482 e Cass. pen. Sez. V, Sent., 20/01/2016, n. 2333). Lo stesso ragionamento è stato inoltre applicato alla condivisione di video offensivi attraverso un sistema peer-to-peer. La Corte ha rilevato infatti che la circostanza per cui la condivisione di materiali sia tecnicamente possibile solo tra due utenti per volta, non esclude le potenzialità diffusive e lesive dello strumento (v. Cass. pen. Sez. V, 19/03/2015, n. 41276).

La giurisprudenza non si è limita ad analizzare unicamente i profili di inquadramento giuridico della materia ma ha ampliato il suo campo di indagine anche agli aspetti concernenti la responsabilità e la competenza territoriale. Con riferimento al primo profilo, i giudici hanno avuto modo di affermare la responsabilità a livello concorsuale del gestore di un sito che, pur essendo a conoscenza del contenuto diffamatorio del messaggio caricato da un utente, non si era attivato per la sua immediata rimozione (v. Cass. pen. Sez. V, 14/07/2016, n. 54946). La sentenza si colloca sulla scia dell’orientamento giurisprudenziale europeo e nazionale che, pur non ponendo in capo agli Internet Service Provider un dovere di puntuale vigilanza su tutti i contenuti pubblicati dai propri utenti, ne sancisce la responsabilità ogni qual volta non provvedano ad eliminare un contenuto lesivo da loro conosciuto.

In relazione invece alla competenza territoriale del giudice penale nei casi di diffamazione a mezzo Internet, si sono posti problemi di individuazione del luogo in cui l’azione criminosa poteva dirsi effettivamente consumata. Più in generale, in materia di reati informatici, mentre parte della giurisprudenza ritiene che competente per territorio sia il tribunale del luogo nel quale il soggetto, a mezzo del client, si è connesso alla Rete effettuando il collegamento abusivo; per altra parte deve invece individuarsi nel tribunale del luogo ove è fisicamente allocato il server che costituisce l’oggetto dell’intrusione. Recente giurisprudenza, in materia di upload di un articolo dal contenuto diffamatorio, ha ritenuto di privilegiare il primo dei due criteri. Dunque, ai fini dell’individuazione della competenza territoriale, ha stabilito doversi far riferimento non al luogo dove si trovava il server che conservava e rendeva disponibili i dati per l’accesso degli utenti, bensì il luogo in cui il caricamento del dato “informatico” era stato effettivamente eseguito (v. Cass. pen. Sez. V, 19/05/2015, n. 31677).

[continua]

posted by Maria Chiara Meneghetti on dicembre 19, 2016

Miscellanee

(No comments)

Incitamento all’odio online, i primi risultati a seguito dell’adozione del Codice di condotta.

L’abbattimento di barriere fisiche e geografiche reso possibile dall’utilizzo della Rete ha conferito alle piattaforme di condivisione online (social network) un ruolo centrale nella promozione e nella garanzia della libertà di espressione e di opinione dei propri utenti, con modalità e intensità sconosciute ai media tradizionali. Dall’altro lato, questi nuovi sistemi di condivisione hanno notevolmente amplificato i pericoli legati a una diffusione d’informazione capillare e incontrollata, soprattutto quando l’informazione viene strumentalizzata per canalizzare fenomeni di incitamento all’odio e alla violenza. In particolare negli ultimi tempi, l’utilizzo dei social media da parte di associazioni terroristiche a fini propagandistici ha reso più urgente un’azione coordinata da parte di Istituzioni e privati coinvolti, allo scopo di prevenire e circoscrivere questi fenomeni.

Dalle esigenze di cooperazione tra pubblico e privato nasce il “Codice di Condotta sull’illecito incitamento all’odio online”, frutto della collaborazione tra Commissione europea, Stati membri e grandi aziende informatiche (Facebook, Google –Youtube–, Twitter e Microsoft). A seguito della presentazione del Codice nel maggio 2016, la Commissione ha reso pubblici in questi giorni i primi dati che permettono di valutare i progressi della sua concreta attuazione.

A livello europeo era stata adottata, già nel 2008, una decisione quadro sulla lotta contro talune forme ed espressioni di razzismo e xenofobia mediante il diritto penale (Decisione quadro 2008/913/GAI del Consiglio del 28 novembre 2008), al fine di creare una base giuridica comune per definire i contenuti illeciti (offline e online) e migliorare la cooperazione giudiziaria tra Stati membri in materia. La decisione, secondo la Relazione sulla sua attuazione elaborata nel 2014, risultava essere stata recepita in maniera non integrale o non corretta da diversi Paesi dell’Unione, impegnando la Commissione europea nell’apertura di nuovi dialoghi con gli Stati membri al fine di garantirne la piena e adeguata implementazione.

A seguito degli attentati terroristici di Bruxelles del 2015, il Consiglio straordinario “Giustizia e affari interni” aveva nuovamente sottolineato la necessità di intensificare i lavori in questo campo e di concordare un codice di condotta sull’incitamento all’odio che, affiancandosi ai sistemi giuridici nazionali sanzionatori delle condotte illecite, avrebbe coinvolto in prima linea gli operatori privati.

Il Codice di Condotta, presentato il 31 maggio 2016 dalla Commissione europea e dalle principali piattaforme di condivisione online, rappresenta una dichiarazione di pubblico impegno, da parte degli operatori nel mercato di Internet che lo hanno sottoscritto, nella lotta alla diffusione della propaganda terroristica sulla Rete. In particolare, il Codice prevede l’adozione in ciascuna azienda di procedure organizzative interne e l’adeguata formazione del personale in modo che sia possibile esaminare entro 24 ore la maggior parte delle richieste giustificate di rimozione di contenuti che incitano all’odio e, se del caso, cancellare tali contenuti o renderli inaccessibili. Inoltre, per incoraggiare il pensiero critico e promuovere il dibattito democratico, le Internet companies e la Commissione europea si impegnano nel “proseguire l’opera di elaborazione e promozione di narrazioni alternative indipendenti, di nuove idee e iniziative e di sostegno di programmi educativi”.

Dalle valutazioni elaborate da dodici ONG stabilite in nove diversi Stati membri, a seguito del primo periodo di applicazione del Codice, è emerso che di 600 segnalazioni riguardanti presunti illeciti di incitamento all’odio online, il 28% ha portato alla rimozione del contenuto denunciato. Tuttavia, solo il 40% delle segnalazioni, e non la maggioranza come prevede il Codice, sono al momento visionate nell’arco di 24 ore. Un secondo monitoraggio per valutare i progressi compiuti è previsto nel 2017.

Nel frattempo all’ “EU Internet Forum” dell’8 dicembre, che riunisce intorno a un unico tavolo i Ministri degli interni dell’Unione europea, i rappresentanti delle grandi Internet companies, l’Europol, il Coordinatore antiterrorismo europeo e il Parlamento europeo, sono stati discussi i risultati già raggiunti e i prossimi passi da intraprendere. Tra le iniziative di coordinamento per la lotta contro il terrorismo online, i Big di Internet hanno lanciato il “Civil Society Empowerment Programme”, che, sostenuto da un finanziamento iniziale di 10 milioni da parte della Commissione, aiuterà la società civile nella creazione di narrazioni alternative indipendenti. Il Forum è stato inoltre l’occasione per presentare un nuovo progetto che permetterà di creare un unico database di contenuti a rischio. Immagini o video ritenuti violenti e potenzialmente favorevoli alla diffusione del terrorismo verrebbero “taggati” attraverso un codice identificativo univoco (hash) e schedati nel database. La condivisione del database consentirebbe non solo di eliminare il contenuto originale ma di bloccare ogni eventuale caricamento di copie dello stesso, su una qualsiasi delle piattaforme social coinvolte, impedendone la circolazione.

telefonoSecondo l’Authority gli attuali strumenti non sono in grado di tutelare adeguatamente gli abbonati da forme invasive e moleste di marketing telematico.

A seguito di innumerevoli interventi del Garante privacy, nonché della recente sentenza della Corte di Cassazione sulle c.d. telefonate mute, il Presidente del Garante privacy, Antonello Soro, ha nuovamente ribadito l’esigenza di tutelare in maniera più incisiva i cittadini nei confronti di pratiche commerciali telefoniche sempre più invasive della vita privata e della quiete domestica degli utenti. Il Registro delle Opposizioni, come strumento di contrasto alle telefonate indesiderate, non sembra infatti aver conseguito il risultato sperato. Pochi sono attualmente gli utenti iscritti rispetto al numero effettivo di utenze, limitate le condizioni di iscrizione (solo telefoni fissi presenti negli elenchi) e pressoché inesistenti le responsabilità in capo ai call center che, incuranti del Registro, continuano a contattare i numeri telefonici registrati.

Per rafforzare le tutele dei cittadini e responsabilizzare maggiormente i promotori di campagne pubblicitarie si prospettano due percorsi da seguire. Da un lato, il Garante puntualizza la necessità di riformulare la normativa in materia di telemarketing, ampliando il novero di utenze iscrivibili nel Registro delle Opposizioni, includendo tutta la telefonia fissa o mobile, anche se non iscritta negli elenchi. Ritiene inoltre auspicabile l’introduzione di un chiaro regime di responsabilità tra il soggetto che materialmente chiama il cittadino (di solito il call center) e l’azienda per conto della quale viene effettuata la chiamata. Dall’altro lato, sembra essenziale promuovere misure che aumentino il grado di consapevolezza degli utenti sulla gestione dei propri dati, sensibilizzando al contempo le stesse imprese, anche attraverso la previsione di piani di incentivazione a favore delle società “diligenti”.

Da ultimo il Garante evidenzia che una riforma delle regole di settore gioverebbe peraltro gli stessi call center. Infatti, incoraggiando i committenti di campagne pubblicitarie a selezionare call center qualificati e affidabili, si eviterebbe di penalizzare quanti nel settore operano correttamente, portando ad una generale riqualificazione dello stesso lavoro degli operatori.

NOTA: Il magazine canadese Nymity, specializzato in diritto di Internet e privacy ha pubblicato uno speciale sulla sentenza della Corte di Cassazione italiana numero 2196 del 4 febbraio 2016 sul tema delle cosiddette “telefonate mute” le telefonate automatiche inoltrate dai sistemi computerizzati di telemarketing. Lo speciale è accompagnato da un’intervista a Giusella Finocchiaro che contestualizza il fenomeno da un punto di vista giuridico e ne analizza i risvolti in tema di privacy e sicurezza.

Una panoramica del tema è stata precedentemente pubblicata in QUESTO POST.

Lo speciale di Nymity è disponibile QUI. Cliccando QUI è possibile scaricare il pdf con l’intervista a Giusella Finocchiaro. Entrambi i documenti sono in lingua inglese.

Il 12 maggio 2016 l’Avvocato generale Campos Sànchez-Bordona ha presentato le sue conclusioni in merito ad una questione pregiudiziale sollevata, dinanzi alla Corte di giustizia europea, dalla Corte federale di giustizia tedesca (Bundesgerichtshof) riguardante, in particolar modo, la qualificazione degli indirizzi IP dinamici come dati personali ai sensi dell’art. 2, lett. a) della direttiva 95/46/CE, attualmente ancora normativa europea di riferimento in materia di trattamento dei dati personali.

Per ragioni di chiarezza, si precisa che un indirizzo IP (indirizzo di protocollo Internet) è una sequenze di numeri binari che, assegnata da un fornitore di accesso alla rete a un determinato dispositivo (es. computer), ne permette l’univoca identificazione e ne consente l’accesso alla rete di comunicazioni elettroniche. Si parla di “indirizzo IP dinamico” quando il fornitore di accesso alla rete assegna al dispositivo del cliente un indirizzo IP temporaneo per ciascun collegamento a Internet, modificandolo in occasione di successivi accessi alla Rete.

La controversia (causa C-582/2014) è nata dalla proposizione da parte del sig. Breyer di un’azione inibitoria contro la Repubblica federale di Germania a causa della memorizzazione, da parte dei siti istituzionali da questa gestiti, degli indirizzi IP associati al sistema host del sig. Beyer ogni volta che questi vi effettuava un accesso. A seguito del ricorso per Cassazione, la Corte federale di giustizia tedesca ha sollevato, tra le altre, una questione pregiudiziale in cui chiedeva se un indirizzo IP memorizzato da un fornitore di servizi in relazione ad un accesso al suo sito Internet costituisse per quest’ultimo un dato personale già nel momento in cui un terzo (nel caso di specie un fornitore di accesso alla rete) disponesse delle informazioni aggiuntive necessarie ai fini dell’identificazione della persona interessata.

In attesa della sentenza del giudice europeo, sembra interessante esaminare le conclusioni raggiunte dall’Avvocato generale. Prima di affrontare il merito della questione, l’Avvocato generale ne delimita l’ambito di analisi precisando che oggetto della questione sono esclusivamente gli “indirizzi IP dinamici”, non rientrando nell’analisi anche gli “indirizzi IP fissi o statici”, e che la valutazione che un indirizzo IP sia un dato personale deve inquadrarsi nelle specifiche circostanze della controversia (cioè quando soggetto conservatore è un fornitore di pagine web e soggetto terzo, che dispone di informazioni aggiuntive, è un fornitore di accesso alla rete). L’Avvocato generale entra poi nel cuore della questione. Innanzitutto viene chiarito che un indirizzo IP dinamico (che fornisce la data e l’ora di un collegamento) se associato ad altre informazioni consente indubbiamente l’identificazione indiretta del titolare del dispositivo utilizzato per l’accesso alla pagina web e debba quindi considerarsi un dato personale. Tali informazioni “aggiuntive” possono essere in possesso del medesimo soggetto che conosce l’indirizzo IP o possono essere in possesso di un terzo (nel caso di specie un fornitore di accesso alla rete). In secondo luogo l’Avvocato generale precisa che, per considerare un indirizzo IP quale dato personale, non è sufficiente la mera possibilità, in abstracto, di conoscere le informazioni aggiuntive in possesso di un soggetto terzo, ma è necessario che il fornitore di servizi possa “ragionevolmente” rivolgersi a quest’ultimo al fine di ottenere tali informazioni. Non sarà da considerarsi ragionevole il contatto che sia di fatto molto costoso in termini umani ed economici o praticamente irrealizzabile o vietato dalla legge. Nella fattispecie, essendo il terzo a cui si fa riferimento un fornitore di accesso alla rete, la possibilità del fornitore di servizi Internet di contattarlo e ottenere da lui la trasmissione delle informazioni aggiuntive risulta essere perfettamente “ragionevole”. L’Avvocato generale conclude quindi che, nello specifico caso così come inquadrato, l’indirizzo IP dinamico deve essere qualificato, ai fini dell’attività esercitata dal fornitore di servizi Internet, come dato personale.

Seguiranno aggiornamenti sull’esito della controversia.

Prof. Avv. Giusella Finocchiaro

Dott. Maria Chiara Meneghetti

Dopo oltre quattro anni dalla proposta della Commissione, il 14 aprile 2016 il Parlamento europeo ha approvato in seconda lettura il Regolamento europeo concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione dei dati.

Gli incessanti progressi tecnologici degli ultimi anni, frutto di una società dell’informazione sempre più intrusiva nella sfera privata degli individui, avevano evidenziato da un lato l’inadeguatezza di una normativa europea a protezione dei dati personali, la Direttiva 95/46/CE, elaborata nelle prime fasi dell’evoluzione digitale e, dall’altro lato, la frammentazione normativa causata dal recepimento della stessa nelle legislazioni degli Stati membri.

Il Regolamento risponde quindi all’esigenza, da tempo avvertita, di riformare la disciplina a tutela dei dati personali ampliando il novero dei diritti dell’interessato, rispetto a quanto previsto dalla Direttiva, e di uniformare la normativa degli Stati, anche nell’ottica di rafforzare il mercato unico interno. Significativa in tal senso è la scelta del legislatore europeo di adottare lo strumento del regolamento, che a differenza della direttiva non richiede alcun atto di recepimento, essendo di diretta e identica applicabilità in ogni Stato membro.

Tra le principali indicazioni introdotte dal Regolamento (Per una rassegna delle principali novità del Regolamento si rimanda a QUESTA PAGINA) pare rilevare il nuovo campo di applicazione territoriale di cui all’art. 3. In precedenza la Direttiva 95/46/CE prevedeva che la disciplina fosse applicabile, per il tramite delle legislazioni nazionali, quando il trattamento di dati personali fosse effettuato nel contesto delle attività di uno stabilimento del titolare situato nell’Unione europea. Criterio centrale per la determinazione dell’ambito di applicazione della Direttiva era, dunque, il luogo fisico in cui i dati venivano trattati. Ad oggi tale criterio sembra essere stato rovesciato dall’art. 3, comma 1° del Regolamento, il quale specifica l’applicabilità dell’atto “indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.

Già negli ultimi due anni, a partire dalla decisione Google Spain fino alla recente Schrems, gli orientamenti delineatisi nella giurisprudenza della Corte di giustizia europea hanno evidenziato la tendenza ad un’interpretazione meno restrittiva di tale criterio. Sembra infatti che sia emersa la volontà di estendere la normativa europea anche a casi in cui i titolari di trattamento sono soggetti non europei e i dati sono trattati principalmente fuori dall’Europa. Ora, l’art. 3 del Regolamento sembra avere, per così dire, codificato l’interpretazione estensiva della Corte attraverso la previsione di molteplici criteri di collegamento, che consentono di attrarre nell’ambito di applicazione della normativa europea anche trattamenti che prima era difficile includere. Il Regolamento è, infatti, applicabile non solo ai trattamenti effettuati nell’ambito delle attività di uno stabilimento del titolare situato nell’Unione, ma anche nel caso si tratti di uno stabilimento del responsabile. Inoltre, è applicabile quando l’attività di trattamento riguardi l’offerta di beni o la prestazione di servizi rivolti, anche gratuitamente, a interessati situati in territorio europeo o quando l’attività sia volta al monitoraggio del comportamento di questi ultimi, anche se i titolari o responsabili non siano stabiliti nell’Unione.

Diverse sono poi le novità introdotte dalla riforma, tra cui si annovera la previsione di nuovi diritti dell’interessato (tra cui il diritto all’oblio e il diritto alla portabilità dei dati), la responsabilizzazione dei soggetti coinvolti nel trattamento dei dati personali (in particolare l’obbligo per i titolari di effettuare la c.d. privacy impact assesment e di notificare le violazioni dei dati), nuove garanzie per i trasferimenti di dati all’estero, nonché la conferma delle due figure di vigilanza rappresentate dal Data Protection Officer e dalla Supervisory Authority.

Quanto al coordinamento con la normativa europea (il Regolamento sarà applicabile decorsi due anni dalla data di entrata in vigore) il legislatore italiano dovrà scegliere tra le due strade ora percorribili: l’applicazione diretta del Regolamento, con la conseguente abrogazione di tutte le disposizioni nazionali incompatibili con la norma europea, o l’integrazione dell’attuale Codice in materia di protezione dei dati personali, con gli inevitabili rischi di erronee trasposizioni o interpretazioni del dettato europeo.