Dato il crescente interesse sul tema delle firme elettroniche, vi proponiamo l’articolo della Prof. Avv. Giusella Finocchiaro “Ancora novità legislative in materia di documento informatico: le recenti modifiche al Codice dell’amministrazione digitale”, pubblicato sul periodico giuridico Contratto ed Impresa, n.2, 2011.
Il Dipartimento di Studi Giuridici “Angelo Sraffa” dell’Università Commerciale Luigi Bocconi, in collaborazione con DPCE, organizza il convegno “La tutela dei dati personali in Italia 15 anni dopo – Tempo di bilanci e di bilanciamenti”.
Il convegno si svolgerà venerdì 11 novembre 2011 presso l’aula Notari via Sarfatti 25, dalle ore 9.30 alle 18.00.
L’evento vedrà la presenza del presidente dell’Autorità Garante per la protezione dei dati personali, Prof. Franco Pizzetti. Alle 14.30 la Prof.Avv. Giusella Finocchiaro parteciperà con un intervento sul tema delle misure tecnologiche e la protezione della privacy.
La partecipazione all’evento è gratuita, previa iscrizione. Per maggiori informazioni e per effettuare l’iscrizione all’evento, si rimanda alla pagina degli eventi dell’Università Bocconi.
Il programma è consultabile QUI.
La Prof. Avv. Giusella Finocchiaro è stata designata rappresentante italiano presso l‘UNCITRAL (United Nations Commission for International Trade Law) per il commercio elettronico.
La Commissione delle Nazioni Unite inizierà i lavori sul commercio elettronico lunedi 10 ottobre.
In passato, l’UNCITRAL ha guidato lo sviluppo del commercio elettronico in modo assai significativo: emanando il Model Law on Electronic Commerce (1996), il Model Law on Electronic Signatures (2001) e la United Nations Convention on the Use of Electronic Communications in International Contracts (2005), sempre precorrendo i tempi e indicando le soluzioni poi seguite a livello europeo e internazionale.
Le novità introdotte dal cosiddetto Decreto Sviluppo (Dl. 70/2011), sono il tema a cui è dedicata la Guida Privacy pubblicata oggi su “Il Sole 24 Ore”.
Dopo la bocciatura espressa dal presidente dell’Authority, che ha criticato il provvedimento per il “linguaggio incerto” e “l’incoerenza con il sistema delle fonti”, lo speciale del Sole 24 Ore mira a portare un po’ di chiarezza su norme considerate di difficile interpretazione.
Tra i giuristi chiamati a spiegare le nuove norme del decreto è presente anche la Prof.Avv. Giusella Finocchiaro, che ha curato la pagina dedicata alle novità trattamento dei dati nella circolazione dei curricula e nello scambio di informazioni nelle reti aziendali.
La Prof. Finocchiaro è inoltre tra gli esperti che risponderanno alle domande dei lettori sul forum online. Gli argomenti a cui è dedicato il forum riguardano: le autocertificazioni che sostituiscono il documento programmatico sulla sicurezza, le procedure per trattare i dati dei curricula, il registro delle opposizioni e i casi di esenzione dal consenso dell’interessato nella circolazione dei dati personali.
I quesiti, da parte di aziende e privati, dovranno essere inviati entro le ore 18 al sito www.ilsole24ore.com/privacy.
Le risposte di Giusella Finocchiaro e degli altri esperti saranno pubblicate su Il Sole 24 Ore a partire da domani.
Esaminare il tema, assai complesso, della responsabilità del provider oggi impone di distinguere due profili: il primo, tecnico-giuridico; il secondo, di politica legislativa.
1) Profilo tecnico-giuridico: applicazione delle norme vigenti
L’aspetto tecnico-giuridico è in estrema sintesi il seguente: è corretto argomentare, come fanno molte recenti sentenze italiane, nel senso dell’esclusione dell’esonero da responsabilità per il provider previsto dall’art. 17 del d. lgs. 70/2003? E quindi affermare che il provider è responsabile?
L’art. 17 dispone che il provider non è tenuto ad un obbligo di sorveglianza.
L’art. 16 dispone che il provider di hosting non è responsabile delle informazioni memorizzate se non è a conoscenza del fatto che l’informazione è illecita.
Il provider è invece responsabile se non rimuove o disabilita l’accesso, ma avendo ricevuto una richiesta dell’autorità.
La questione cruciale è: chi qualifica l’illiceità dell’informazione?
Certo non il soggetto che è interessato a rimuovere l’informazione, né il provider che cautelativamente potrebbe scegliere (anche a legislazione vigente) di rimuovere sempre le informazioni. Dovrebbe provvedere un terzo, rispetto alle parti, cioè il giudice.
Questa è la questione più delicata: la prova della conoscenza da parte del provider e la qualificazione dell’illiceità delle informazioni.
2) Profilo di politica legislativa: modifiche normative
Se si ritiene che chi trae anche indirettamente profitto dalla pubblicazione delle informazioni ne debba rispondere, allora va modificata la normativa vigente e va adottato un regime giuridico più vicino al DMCA statunitense, ove si declinano l’effettiva conoscenza e il sistema di notice and take down. E a questo ordinamento sembra ispirarsi il giudice della sentenza Yahoo!.
La giurisprudenza italiana sembra stia cercando di costruire una responsabilità del provider come fornitore di contenuti, nonostante una previsione normativa in senso diverso. Ma occorre un intervento legislativo.
È da oggi online Law & the Internet, la versione internazionale di Diritto & Internet.
L’iniziativa nasce per offrire un aggiornamento a quanti desiderano essere informati in lingua inglese sulle novità italiane del diritto di Internet e delle nuove tecnologie. Corrisponde ad una attività intensa dello Studio e della Prof.ssa Giusella Finocchiaro nello scenario internazionale.
Privacy, Data Protection, Electronic Commerce, Electronic Signatures, Intellectual Property Rights, saranno i temi piu’ affrontati.
Si tratta di una delle prime fonti di informazioni in lingua inglese sul Diritto di Internet in Italia.
Attraverso il nuovo spazio web, lo Studio Legale Finocchiaro vuole fornire nuove fonti di informazione e così contribuire al dibattito internazionale sulla materia.
Sarà dedicato al Commercio elettronico il colloquium organizzato dalla Segretariato della Commissione delle Nazioni Unite per il Diritto Commerciale Internazionale (UNCITRAL) che si terrà dal 14 al 16 febbraio a New York.
Presieduto nella sua terza sessione dalla professoressa Giusella Finocchiaro, il colloquium riunirà esperti da tutto il mondo allo scopo di identificare un tracciato per il futuro lavoro nel campo del commercio elettronico della Commissione.
Durante i giorni del meeting, il lavoro degli esperti si concentrerà soprattutto sui temi dell’electronic transferable records, della gestione dell’identità e dell’uso di dispositivi mobili nel commercio elettronico.
La terza sessione presieduta dalla prof.Finocchiaro, interamente dedicata al tema dell‘electronic transferable records, è programmata per il 15 febbraio alle ore 15, nel quartier generale delle Nazioni Unite.
Sul sito dell’UNCITRAL è disponibile il programma dettagliato del colloquium.
Le Commissioni Affari Costituzionali di Camera e Senato hanno espresso parere favorevole sulla proposta di riforma di CAD. Fra le modifiche apportate al Cad dalla bozza in circolazione, si devono segnalare l’introduzione della firma elettronica avanzata e la modifica delle norme sull’efficacia probatoria e sulla forma scritta.
Spiegare le definizioni delle varie firme informatiche, l’efficacia probatoria, il valore giuridico e le modifiche in corso è complicato.
Ci provo. Ma non pretendo di riuscirci con un solo post.
D’altronde il tema è caldo e c’è davvero tanta confusione….
1) Quante saranno i tipi di firme informatiche se verrà approvata la modifica al CAD oggi in circolazione?
Quattro: firma elettronica, firma elettronica avanzata, firma elettronica qualificata, firma digitale.
2) Cosa cambia rispetto al CAD oggi vigente?
Ci sarà una firma in più: la “firma elettronica avanzata”.
3) In cosa consistono le quattro firme?
a. La “firma elettronica” è un insieme di dati associato ad un altro insieme di dati, utilizzati come metodo di identificazione informatica (si va dalla password alla firma biometrica). Le caratteristiche tecniche non sono definite, né il livello di sicurezza.
b. La “firma elettronica avanzata” è una firma elettronica con alcune caratteristiche di sicurezza (essere connessa in maniera unica al firmatario; essere idonea ad identificare il firmatario; essere creata con mezzi sui quali il firmatario può conservare il proprio controllo esclusivo; essere collegata ai dati cui si riferisce in modo da consentire l’identificazione di ogni successiva modifica di detti dati). Può trattarsi, verificati i requisiti, dell’ OTP (One Time Password), ad esempio contenuta nella chiavetta utilizzata da alcune banche. Come sia associata la firma elettronica avanzata al firmatario, la definizione non lo precisa.
c. La “firma elettronica qualificata” è la firma elettronica avanzata basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma. Nella definizione di firma elettronica qualificata si precisa che l’associazione al firmatario avviene attraverso un certificato qualificato.
d. La “firma digitale” è un particolare tipo di firma elettronica qualificata basata su un sistema di crittografia a chiave pubblica. E’ la firma apposta con smart card o token rilasciato dal certificatore qualificato. In questo caso si sceglie una particolare tecnologia.
4) La definizione di “firma digitale” come “un particolare tipo di firma elettronica avanzata basata su un sistema di chiavi crittografiche” che sarebbe stata introdotta nel Cad era sbagliata?
Sì, perché stando a questa definizione la firma digitale sarebbe stata senza certificato. Stando alle notizie di oggi, risulta modificata la definizione, che tuttavia è ancora priva del riferimento al dispositivo di firma sicuro che invece è ancora presente nella definizione di firma elettronica qualificata. Si potrebbe, semplicemente, non modificare la definizione di firma digitale.
5) In sintesi, quali sono le firme più sicure?
Si confrontano cose diverse.
In sintesi, le definizioni di firma elettronica e di firma elettronica avanzata non si riferiscono a un livello di sicurezza predeterminato o a una tecnologia precisa. Sono “neutre”, come previsto dalla direttiva.
Invece, le definizioni di firma elettronica qualificata e digitale, sono collegate a livelli di sicurezza predeterminati e ad una tecnologia predefinita.
6) È corretto affermare che la “firma elettronica avanzata” è imposta dalla direttiva europea e che quella “qualificata” è un’invenzione italiana?
No, non è corretto. Vero è che la direttiva definisce la” firma elettronica avanzata” e non quella “qualificata”, ma gli effetti giuridici previsti dalla direttiva si riferiscono a “firme elettroniche avanzate basate su un certificato qualificato e create mediante un dispositivo per la creazione di una firma sicura”, cioè alle “firme qualificate”.
La “firma elettronica qualificata” è la “firma elettronica avanzata basata su un certificato qualificato e creata mediante un dispositivo per la creazione di una firma sicura” cui la direttiva collega determinati effetti giuridici.
7) Quale efficacia probatoria avranno i documenti con le quattro firme, secondo la bozza di modifica del Cad?
a. Il documento informatico con la firma elettronica sarà, come oggi, valutabile dal giudice, caso per caso, sulla base delle caratteristiche di caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.
b. I documenti informatici con firma elettronica avanzata, firma elettronica qualificata, firma digitale, avranno la medesima efficacia probatoria, quella prevista dall’art. 2702 del codice civile per la scrittura privata. Come oggi, l’utilizzo del dispositivo di firma si presumerà riconducibile al titolare, salvo che questi dia prova contraria.
8) Saranno gli atti firmati con le quattro firme idonei ad integrare la forma scritta?
a. L’atto con la firma elettronica sarà, come oggi, valutabile dal giudice, caso per caso, sulla base delle caratteristiche di caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità.
b. Gli atti con firma elettronica avanzata, firma elettronica qualificata, firma digitale potranno integrare la forma scritta.
c. Unica eccezione: la firma elettronica avanzata non basterà per gli atti aventi ad oggetto beni immobili (art. 1350 c.c., nn. 1-12). Solo per questi atti sono richieste la firma elettronica qualificata o la firma digitale.
9) Alcuni esempi?
Le banche potranno utilizzare la firma elettronica avanzata per i contratti bancari. Potrebbero ricondursi alla firma elettronica avanzata (ma occorre verificarne caratteristiche e requisiti) sistemi OTP e firma autografa su dispositivi elettronici.
10) A cosa servirà la firma digitale?
Certamente alla conclusione di contratti aventi ad oggetto beni immobili, alla stipula dell’atto pubblico informatico, alla conservazione sostitutiva.
Dalla recente indagine internazionale contro il servizio di Google Street View fino alle proteste contro la privacy di Facebook, la questione della protezione dei dati personali si è rivelata essere oggi di fondamentale importanza per un sano sviluppo della società della rete.
Il tema, al centro anche della discussa sentenza sul caso Google/Vividown, ha sollevato un ampio dibattito. Da un lato si è rilevata la difficoltà nello stabilire una policy interna coerente con le varie normative nazionali per le aziende che operano internazionalmente sulla rete. Dall’altro lato la violazione della privacy attraverso contenuti generati dagli utenti ha portato nuovamente in primo piano la questione dell’attribuzione di responsabilità ai meri fornitori di servizi.
All’interno del dibattito non sono mancate prese di posizione radicali, come quella del giovane CEO di Facebook, Mark Zuckerberg che ha recentemente dichiarato in un’intervista a Repubblica: “Per i miei genitori la privacy era un valore, per i miei coetanei condividere è un valore”.
Ma qual è l’attuale spazio di intervento dell’Autorità Garante della privacy sui social network? Quali i criteri delle istituzioni della policy aziendale sulla protezione dei dati personali di un azienda che, come Google, opera in tutto il mondo?
Questi sono alcuni degli spunti di riflessione che saranno sollevati durante l’incontro coordinato da Giusella Finocchiaro, Professore ordinario di diritto di Internet e di diritto privato nell’Università di Bologna, con il Cons. Giovanni Buttarelli, Garante europeo aggiunto dei dati personali, e il Dott. Marco Pancini, European Policy Counsel and Director of institutional relations of Google Italia.
L’evento si terrà giovedì prossimo, 8 luglio, alle 17 presso Villa Guastavillani, sede di Alma Graduate School, via degli Scalini 18, Bologna. Per ulteriori informazioni e iscrizioni cliccare QUI.
Si comunica che l’incontro “Privacy, social network e motori di ricerca” per il ciclo su Diritto e Innovaione Tecnologica, che avrebbe dovuto tenersi il 14 maggio, è stato rinviato a data da definirsi.
Il prossimo appuntamento del ciclo sarà quindi quello del 10 Giugno sul tema “Free model vs. paying model: modelli di business emergenti nel web 2.0” con la partecipazione del Dott.Paolo Barberis, presidente e fondatore di Dada S.p.a., del Prof.Diego Lanzi, professore aggregato di Economia e Politica nell’Università di Bologna e del Dott.Marco Zamperini, Chief Technology Officer a Value Team. Come sempre
L’incontro, coordinato dalla Prof.Avv. Giusella finocchiaro e organizzato da Alma Graduate School, si terrà come di consueto a Villa Guastavillani dalle 15 alle 18. A seguire un aperitivo di discussione. Ulteriori informazioni sul sito di Alma Graduate school.
-
Tutti i contenuti pubblicati su questo blog sono sottoposti ad una licenza Creative Commons
