Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Le autorità europee per la protezione dei dati del gruppo Article 29 Working Party hanno pubblicato un report relativo alle consultazioni avvenute in seno al Gruppo su aspetti controversi del Regolamento privacy, in particolare sul concetto di “consenso”, sull’adempimento relativo alla notificazione di data breach e sull’attività di profilazione.

Com’è noto il Regolamento europeo 679/2016 sul trattamento dei dati personali, già in vigore dal 24 maggio 2016, sarà pienamente efficace dal 25 maggio 2018. Allo scopo di intervenire tempestivamente con implementazioni e modifiche il gruppo Article 29 Working Party  ha organizzato alcuni workshop volti a costruire un confronto con partecipanti provenienti dal settore industriale europeo, dalle università, dal mondo associativo e dalla società civile. All’ultimo workshop, tenutosi in aprile a Bruxelles sono intervenuti 90 partecipanti che hanno dialogato con i Garanti privacy Europei su particolari aspetti del Regolamento Europeo.

Sul tema del “consenso”, che costituisce la principale base legale del trattamento dei dati, è emerso che in alcuni casi la definizione di consenso contenuta nel Regolamento potrebbe non rappresentare una base affidabile per l’utilizzo dei dati. Particolare preoccupazione desta il trattamento di dati relativi ad un minore perché attualmente non c’è un modo si verificare l’età di chi presta un consenso online né è possibile verificare l’identità di colui che dichiara online di detenere la responsabilità genitoriale.

Per quanto riguarda il consenso al trattamento dei dati utilizzati per fini di ricerca, sono state sollevate delle perplessità riguardo l’utilizzo dei dati per fini secondari alla ricerca.

I partecipanti hanno anche espresso incertezza riguardo alla possibilità di ritiro di un consenso già accordato e alle possibili conseguenze che affronta chi non accorda il proprio consenso. Particolare perplessità sono state espresse in merito a quelle situazioni in cui chi non dà il consenso non può usufruire di un servizio.

Un altro tema su cui sono state espresse perplessità riguarda le notifiche dei “data breach”. Dai partecipanti è emersa la necessità di una maggiore flessibilità sul contenuto della notifica in considerazione del danno reputazionale che si profila per le compagnie vittime di attacchi.

Viene inoltre richiesta  maggiore chiarezza sui sulle modalità. In particolare, si richiedono chiarimenti sul destinatario della notifica nel caso di dati relativi a cittadini di diversi paesi. E’ necessario comunicare la notifica alle Authority di ogni stato coinvolto?

I partecipanti si sono inoltre confrontati sul tema della profilazione come particolare trattamento dei dati personali. Ci sono molte forme di profilazione che variano da settore a settore e non possono essere regolamentate da un’unica disposizione. È stata dunque richiesta la produzione di linee guida differenziate per tipologia. Inoltre le linee guida dovranno tenere conto delle finalità diverse per cui si fa profilazione. A questo proposito è emerso il dubbio se non ci debba essere una limitazione nelle tipologie di dati utilizzabili. In particolare per quanto riguarda dati di minori. I partecipanti hanno anche obiettato che attualmente non c’è una chiara distinzione tra le profilazioni basate su intervento umano e quelle invece completamente automatizzate.

L’intero report dell’incontro è disponibile sulla pagina della Commissione Europea dedicata all’Article 29 Working Party.

posted by admin on maggio 11, 2017

Libertà di Internet

(No comments)

Sabato 29 aprile 2017 le autorità turche hanno bloccato l’accesso a Wikipedia dalle utenze del paese. Ciò ha comportato la perdita di accesso per la popolazione a una imponente quantità di informazioni storiche, culturali e scientifiche.

In seguito alle accuse di censura da parte della comunità internazionale, il Garante alle telecomunicazioni turco ha giustificato il blocco citando una legge del Paese (legge Nr. 5651 relativa alla regolamentazione di Internet nel paese) che permette di inibire l’accesso ai siti ritenuti osceni o che costituiscono minaccia per la sicurezza nazionale. In particolare, alcuni media turchi hanno fatto sapere che il blocco è stato attuato in risposta a delle voci di Wikipedia che accusavano la Turchia di collegamenti con gruppi islamici militanti.

Il primo Maggio 2017 il Tribunale di Ankara ha legittimato il blocco imposto dall’Authority per l’informazione e le tecnologie della comunicazione turca (BTK). Il capo dell’agenzia Turca delle comunicazioni, Omer Fatih Sayan, il 10 maggio ha dichiarato che l’inibizione all’accesso continuerà fino a quando Wikipedia non adempierà all’ordine del Tribunale di Ankara che impine di rimuovere i contenuti anti-governativi pubblicati sull’enciclopedia.

L’undici maggio 2017 Ahmet Arslan il ministro dei trasporti turco, in una dichiarazione all’emittente NTV, riferendosi a Wikipedia ha detto: “Ci sono molte questioni che ci disturbano ma soprattutto siamo molto irritati dal fatto che la Turchia è menzionata insieme a organizzazioni terroristiche e dal fatto che le loro pubblicazioni includono contenuti parziali che danno la percezione che la Turchia supporti queste organizzazioni”. Dopo aver sottolineato che Wikipedia ha rifiutato di correggere le “informazioni sbagliate” con le “informazioni precise” inviatele dal governo, il ministro ha aggiunto dichiarazioni di scontento riguardo alla situazione fiscale di Wikipedia in Turchia: “Vogliamo avere un interlocutore locale e vogliamo che Wikipedia paghi le giuste tasse alla Turchia secondo la nostra legislazione fiscale aprendo un ufficio fisico. Loro hanno dei ricavi dalle loro pubblicazioni in Turchia quindi noi vogliamo che siano soggetti al pagamento di tasse grazie all’apertura di un ufficio nel paese.”

Il ministro non ha citato il fatto che Wikipedia è un’organizzazione no-profit e non ha aggiunto particolari a supporto della sua dichiarazione su un supposto guadagno da parte di Wikipedia.

Contro il blocco all’accesso il 9 maggio Wikipedia ha presentato ricorso presso la Corte Costituzionale turca dopo il rifiuto da parte di un tribunale ordinario del Paese. Il giudice che ha rigettato l’appello contro il blocco ha dichiarato che sebbene la libertà di espressione è un diritto fondamentale  può essere limitato in casi di “necessità di regolazione”.

La Guida traccia un quadro generale delle principali innovazioni introdotte dal Regolamento e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa in materia di protezione dei dati personali.

Il Regolamento UE 2016/679, già in vigore dal 24 maggio 2016, sarà pienamente efficace dal 25 maggio 2018. La Guida vuole essere un primo “strumento” di ausilio ai soggetti pubblici e alle imprese che stanno affrontando il passaggio alla nuova normativa privacy e vuole contribuire a diffondere la consapevolezza sulle garanzie rafforzate e sui nuovi diritti che il Regolamento riconosce alle persone.

Il testo della Guida è articolato in 6 sezioni che illustrano in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all’attuale disciplina del trattamento dei dati personali, aggiungendo raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento. Il testo potrà subire modifiche e integrazioni, allo scopo di offrire sempre nuovi contenuti e garantire un adeguamento costante all’evoluzione della prassi interpretativa e applicativa della normativa.

La guida è disponibile sul sito del Garante in formato ipertestuale navigabile.

Palazzo ONU NY BandiereGiusella Finocchiaro è stata rieletta all’unanimità presidente del Gruppo di Lavoro IV sul Commercio elettronico della Commissione delle Nazioni Unite per il diritto commerciale internazionale (UNCITRAL).

L’elezione è avvenuta nel corso della 55esima sessione del Gruppo di lavoro, che si svolge a New York dal 24 al 28 aprile 2017. Contestualmente, il Working Group ha avviato i lavori sul tema dell’identità digitale e dei servizi fiduciari (identity management and trust services).

Sotto la presidenza di Giusella Finocchiaro il gruppo di esperti dovrà elaborare le prime bozze di lavoro, che riguarderanno i sistemi di Identificazione Digitale, sia con pluralità di soggetti sia bilaterali, e dovrà considerare l’identità sia delle persona fisiche che di quelle giuridiche, senza escludere al momento gli oggetti digitali. Il mandato della Commissione riguarda anche i “trust services” che saranno presi in considerazione fin dalle prime sessioni per quanto concerne l’elaborazione delle definizioni.

È possibile seguire l’andamento dei lavori sulla pagina del sito dell’UNCITRAL dedicata al Gruppo di lavoro.

Pubblicato per Giappichelli editore il commento al regolamento UE 910/2014 a cura di Giusella Finocchiaro e Francesco Delfini.

Il Regolamento eIDAS si inserisce nella strategia europea volta a rafforzare la fiducia nelle transazioni elettroniche e, quindi, a potenziare la realizzazione di un mercato unico digitale. “Identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno, commento al regolamento UE 910/2014” è un commentario diretto all’analisi delle innovazioni introdotte nel panorama giuridico europeo dal regolamento e-IDAS.

Il regolamento, che a partire dal 1° luglio 2016 è direttamente applicabile, mira alla creazione di un regime di interoperabilità dei sistemi di identificazione elettronica e dei servizi fiduciari, tra i rispettivi Stati membri.

Articolo per articolo, il volume indaga le questioni giuridiche emergenti dalla nuova disciplina analizzando temi quali l’identificazione elettronica, le firme e i sigilli elettronici, nonché le novità in ambito di servizi fiduciari e dei loro prestatori, anche attraverso un confronto con la previgente normativa europea e l’attuale Codice dell’Amministrazione digitale.

Il volume rappresenta quindi un utile strumento di lavoro per i professionisti interessati ad uno studio approfondito della materia.

È possibile acquistare il volume, anche in formato digitale, collegandosi alla pagina di Giappichelli editore.

Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 15 aprile 2017 ha pubblicato un commento a cura di Giusella Finocchiaro sul tema della privacy e dei minori.

Sono valide le iscrizioni a Facebook (e in generale ad un social network) di bambini e adolescenti? Se per concludere un contratto è necessario essere maggiorenni, perché non occorre esserlo per iscriversi ad un social? Insomma: quanti anni occorre avere per prestare un valido consenso al trattamento dei dati personali? Secondo Facebook tredici, secondo la legge italiana diciotto.

E allora come si spiega la presenza di così tanti bambini e adolescenti italiani sui social? Semplice: secondo la maggior parte dei contratti di iscrizione, non vale la legge italiana, ma quella del social network e quindi per Facebook quella degli Stati Uniti e della California.

Quale legge prevale? È il più classico dei problemi giuridici su Internet: quello della determinazione della legge applicabile e della giurisdizione. Il nuovo Regolamento europeo 679/2016 sul trattamento dei dati personali, che costituisce una nuova disciplina europea sulla privacy, direttamente applicabile dal maggio 2018, lo risolve con un parziale compromesso. Prevede che prevalga il diritto europeo e che bastino 16 anni (ma i singoli Stati membri possono stabilire un’età inferiore, purchè non al di sotto dei 13 anni). Se il minore ha un’età inferiore ai 16 anni, il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Secondo recenti sentenze italiane su casi analoghi (pubblicazioni di foto dei propri figli sui social), in questo caso occorrerebbe il consenso di entrambi i genitori. È evidente che non sarà molto difficile eludere questa norma. Ma, come prevede il Regolamento europeo, è il social che deve controllare, utilizzando la tecnologia disponibile.

posted by admin on aprile 13, 2017

Computer Crimes, data breach

(No comments)

Security_cybercrimePubblicato in Gazzetta Ufficiale il Decreto del Presidente del Consiglio dei Ministri del 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali”.

Il decreto definisce il workflow istituzionale dedicato alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica, indicando i compiti affidati a ciascuna componente ed i meccanismi e le procedure da seguire ai fini della riduzione delle vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi.

Con il nuovo decreto che sostituisce il il DPCM 24 gennaio 2013 recante “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”, il Comitato interministeriale per la Sicurezza della Repubblica (Cisr) ha lanciato un programma nazionale per la cyber-security in più fasi.

Il nuovo provvedimento, recependo la direttiva europea Nis (Network and Information Security), rafforza il ruolo del Cisr che emanerà direttive con l’obiettivo di innalzare il livello della sicurezza informatica del Paese, e si avvarrà in questa attività del supporto del coordinamento interministeriale del cosiddetto Cisr tecnico e del Dipartimento delle informazioni per la sicurezza (Dis).

Il nuovo decreto attribuisce al direttore generale del Dis il compito di definire le  linee di azione che dovranno portare ad assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, sia pubblici che privati, verificandone ed eliminandone le vulnerabilità.

Per la realizzazione di queste iniziative è previsto il coinvolgimento del mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, così come una diffusa collaborazione con le imprese di settore.

A livello operativo, il Nucleo sicurezza cibernetica (Nsc), ricondotto all’interno del Dis, assicurerà la risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei ministeri competenti in materia.

Il Decreto è consultabile a QUESTO link.

Il Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 10 aprile 2017 ha pubblicato oggi un’intervista a Giusella Finocchiaro sul tema della privacy e delle telefonate commerciali.

Il Registro delle opposizioni è stato un tentativo, ma non funziona. Per difenderci abbiamo tre strade giudiziarie. La segnalazione al Garante privacy, la denuncia penale o quella civile.

L’illecito trattamento dei dati è punito dal Codice Privacy con la reclusione dai sei ai diciotto mesi. Si arriva a 24 mesi quando ci sono di mezzo comunicazione e diffusione. Nei casi più gravi, per esempio in caso di violazione delle disposizioni sulle informazioni sensibili, è prevista la reclusione da uno a tre anni.

Il Garante fa un’istruttoria e commina una multa. Il problema è che è oberato di lavoro, i tempi non sono rapidi. Anche se le sanzioni erogate sono state parecchie. Il Garante può anche chiedere una tutela penale per il cittadino. Poi c’è la via civile: se il cittadino riceve disturbi, può chiedere il risarcimento. Alcune decisioni hanno riconosciuto un danno perché era stata turbata la vita di una persona.

Purtroppo per diventare vittime di violazioni della nostra privacy basta stipulare un qualunque contratto. Dovrebbero chiederci un consenso specifico per usare il nostro nome a fini di marketing. Supponiamo di comprare un bene su Internet. per la consegna a casa devo dare indirizzo e email. Sono informazioni necessarie, per legge non dovrebbero nemmeno chiedere il consenso privacy. Ma magari il fornitore vuole usare i miei dati anche per informarmi di altre offerte. Qui il consenso diventa necessario. Ma alcuni pensano che essere poco corretti sia vantaggioso e chiedono un unico sì per fare la consegna prima e il marketing poi. Di solito è scritto tra le righe dell’informativa privacy, ma nessuno la legge, è per addetti ai lavori. Questa cattiva pratica è abbastanza diffusa. Non sono così tanti quelli che si fanno un vanto di seguire le regole.

Ovviamente c’è una strada legale. Ci danno tutte le informazioni corrette, ci chiedono se siamo disponibili affinché i nostri dati vengano usati per fini di marketing. A questo punto le informazioni girano, e non è detto che lo facciano gratuitamente. Nomi numeri e abitudini commerciali hanno un valore. Sono frammenti della nostra personalità ma anche beni economicamente rilevanti. E passano magari da una società all’altra.

Il punto di partenza della violazione è comunque sempre un consenso che non c’è o è mischiato. Poi le liste continuano a viaggiare. I rimedi per opporsi sulla carta ci sono, lo abbiamo verificato. Il problema è che sono parzialmente efficaci. E su internet si vedono anche identità digitali complete.


Facebook ha annunciato l’introduzione di nuovi strumenti per impedire la diffusione online di immagini intime di persone non consenzienti, una forma di vendetta sempre più diffusa, non solo fra gli adolescenti.

Per le vittime di “revenge porn” le conseguenze, sia psicologiche che sociali, sono spesso devastanti. È tristemente noto, non solo in Italia, il caso di Tiziana, la donna di 31 anni che nel settembre 2016 morta suicida in seguito alla diffusione incontrollata di un video intimo pubblicato da un suo ex-partner per vendetta.

Si tratta di un crimine di difficile contrasto perché la condivisione incontrollata del contenuto non permette la cancellazione dalla memoria della rete.

Nell’ottobre 2016 In Irlanda un giudice della corte suprema di Belfast aveva respinto il tentativo di Facebook di evitare il tribunale nel caso di una 14enne, che nonostante vari tentativi di rimozione, non era riuscita a rimuovere una sua foto intima in una “pagina della vergogna” su social perché altri utenti continuavano a condividerla L’azienda californiana si era difesa spiegando di aver rimosso la foto a ogni segnalazione, ma secondo i legali della minorenne Facebook avrebbe avuto il potere di prevenire ogni ripubblicazione usando un sistema di identificazione dell’immagine.

In quest’ottica, il social network ha studiato un meccanismo che possa evitare tempestivamente la condivisione di un contenuto segnalato.

Funziona così: gli utenti possono segnalare le foto con uno speciale contrassegno che allerta il personale tecnico specializzato per una revisione dell’immagine che possa stabilire se il contenuto viola gli standard della community. In caso di accertata violazione l’immagine viene rimossa e, grazie alla tecnologia di foto-matching, individuata anche sulle bacheche di altri utenti che possono averla già condivisa.

Questo intervento non riguarda solo i post su Facebook, anche Messenger e Instagram sono coinvolti nel sistema di segnalazione e rimozione. Per ora però l’innovazione non riguarda WhatsApp.

Dal punto di vista legislativo la “revenge pornography” è considerata un crimine in diverse giurisdizioni nazionali, come ad esempio in 34 stati degli USA, in Australia e nel Regno Unito. Attualmente in Italia non esiste una legge specifica e la casistica rientra nella fattispecie del reato di diffamazione e di violazione della privacy.

il 27 settembre del 2016 è stata presentata una proposta di legge per l’introduzione dell’articolo 612-ter del codice penale , concernente il reato che si manifesta attraverso la pubblicazione via internet di contenuti pornografici, sia fotografici che video, senza l’esplicito consenso dei soggetti interessati. La proposta prevede che la pubblicazione online di simili contenuti sia punita con la reclusione da uno a tre anni e la pena sia aumentata della metà se il fatto è commesso dal coniuge, anche separato o divorziato, o da persona che è o è stata legata da relazione affettiva alla persona offesa.

A seguito del reclamo presentato dalla madre di Tiziana Cantone, il Garante per la protezione dei dati personali ha avviato un’istruttoria chiedendo ai principali motori di ricerca?, ?Google e Yahoo?, ?di giustificare le ragioni per le quali sugli stessi risultino ancora indicizzate pagine sulle quali sono pubblicate immagini o video pornografici associati al nome della donna.

Anche se pubblicati con una modalità di privacy “elevata”,  i post su Facebook non possono essere ritenuti riservati ai soli “amici” pertanto, soprattutto per quanto riguarda le informazioni su minori, l’attenzione deve essere massima.

Con un recente provvedimento il Garante privacy ha ordinato a una donna di rimuovere dal proprio profilo Facebook due sentenze sulla cessazione degli effetti civili del matrimonio, che la donna aveva pubblicato in seguito alla sua separazione dal marito.L’Autorità è intervenuta su segnalazione dell’ex marito che lamentava una violazione del diritto alla riservatezza della figlia, citata nelle sentenze.

Il Garante ha effettivamente ritenuto che la divulgazione dei provvedimenti giurisdizionali in questione fosse incompatibile con quanto stabilito dal Codice privacy. Il Codice vieta infatti la pubblicazione “con qualsiasi mezzo” di notizie che consentano l’identificazione di un minore coinvolto in procedimenti giudiziari, nonché la diffusione di informazioni che possano rendere identificabili, anche indirettamente, i minori coinvolti.

Nel caso specifico, il Garante ha rilevato che le sentenze consentono di rendere identificabile la bambina nella cerchia di persone che condividono le informazioni “postate” dalla madre sul proprio profilo e contengono dettagli molto delicati, anche inerenti alla sfera sessuale, al vissuto familiare e a disagi personali della piccola.

L’Authority ha inoltre ritenuto che la violazione di diritti della persona, in questo caso per giunta minore di età, è aggravata dall’estrema pervasività della divulgazione su Internet. Il fatto che il post pubblicato sul profilo fosse accessibile ad una ristretta cerchia di ”amici” non può essere garanzia di riservatezza perché il profilo è facilmente modificabile, da “chiuso” ad “aperto”, in ogni momento da parte dell’utente. A questa eventualità si aggiunge quella in cui un “amico” condivida il post sulla propria pagina, rendendolo visibile ad altri iscritti “determinando così una possibile conoscibilità “dinamica”, più o meno ampia, del contenuto che può estendersi potenzialmente a tutti gli iscritti a Facebook”.

Il provvedimento ha disposto quindi la rimozione delle sentenze pubblicati dalla madre.