Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 15 aprile 2017 ha pubblicato un commento a cura di Giusella Finocchiaro sul tema della privacy e dei minori.

Sono valide le iscrizioni a Facebook (e in generale ad un social network) di bambini e adolescenti? Se per concludere un contratto è necessario essere maggiorenni, perché non occorre esserlo per iscriversi ad un social? Insomma: quanti anni occorre avere per prestare un valido consenso al trattamento dei dati personali? Secondo Facebook tredici, secondo la legge italiana diciotto.

E allora come si spiega la presenza di così tanti bambini e adolescenti italiani sui social? Semplice: secondo la maggior parte dei contratti di iscrizione, non vale la legge italiana, ma quella del social network e quindi per Facebook quella degli Stati Uniti e della California.

Quale legge prevale? È il più classico dei problemi giuridici su Internet: quello della determinazione della legge applicabile e della giurisdizione. Il nuovo Regolamento europeo 679/2016 sul trattamento dei dati personali, che costituisce una nuova disciplina europea sulla privacy, direttamente applicabile dal maggio 2018, lo risolve con un parziale compromesso. Prevede che prevalga il diritto europeo e che bastino 16 anni (ma i singoli Stati membri possono stabilire un’età inferiore, purchè non al di sotto dei 13 anni). Se il minore ha un’età inferiore ai 16 anni, il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Secondo recenti sentenze italiane su casi analoghi (pubblicazioni di foto dei propri figli sui social), in questo caso occorrerebbe il consenso di entrambi i genitori. È evidente che non sarà molto difficile eludere questa norma. Ma, come prevede il Regolamento europeo, è il social che deve controllare, utilizzando la tecnologia disponibile.

Il Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 10 aprile 2017 ha pubblicato oggi un’intervista a Giusella Finocchiaro sul tema della privacy e delle telefonate commerciali.

Il Registro delle opposizioni è stato un tentativo, ma non funziona. Per difenderci abbiamo tre strade giudiziarie. La segnalazione al Garante privacy, la denuncia penale o quella civile.

L’illecito trattamento dei dati è punito dal Codice Privacy con la reclusione dai sei ai diciotto mesi. Si arriva a 24 mesi quando ci sono di mezzo comunicazione e diffusione. Nei casi più gravi, per esempio in caso di violazione delle disposizioni sulle informazioni sensibili, è prevista la reclusione da uno a tre anni.

Il Garante fa un’istruttoria e commina una multa. Il problema è che è oberato di lavoro, i tempi non sono rapidi. Anche se le sanzioni erogate sono state parecchie. Il Garante può anche chiedere una tutela penale per il cittadino. Poi c’è la via civile: se il cittadino riceve disturbi, può chiedere il risarcimento. Alcune decisioni hanno riconosciuto un danno perché era stata turbata la vita di una persona.

Purtroppo per diventare vittime di violazioni della nostra privacy basta stipulare un qualunque contratto. Dovrebbero chiederci un consenso specifico per usare il nostro nome a fini di marketing. Supponiamo di comprare un bene su Internet. per la consegna a casa devo dare indirizzo e email. Sono informazioni necessarie, per legge non dovrebbero nemmeno chiedere il consenso privacy. Ma magari il fornitore vuole usare i miei dati anche per informarmi di altre offerte. Qui il consenso diventa necessario. Ma alcuni pensano che essere poco corretti sia vantaggioso e chiedono un unico sì per fare la consegna prima e il marketing poi. Di solito è scritto tra le righe dell’informativa privacy, ma nessuno la legge, è per addetti ai lavori. Questa cattiva pratica è abbastanza diffusa. Non sono così tanti quelli che si fanno un vanto di seguire le regole.

Ovviamente c’è una strada legale. Ci danno tutte le informazioni corrette, ci chiedono se siamo disponibili affinché i nostri dati vengano usati per fini di marketing. A questo punto le informazioni girano, e non è detto che lo facciano gratuitamente. Nomi numeri e abitudini commerciali hanno un valore. Sono frammenti della nostra personalità ma anche beni economicamente rilevanti. E passano magari da una società all’altra.

Il punto di partenza della violazione è comunque sempre un consenso che non c’è o è mischiato. Poi le liste continuano a viaggiare. I rimedi per opporsi sulla carta ci sono, lo abbiamo verificato. Il problema è che sono parzialmente efficaci. E su internet si vedono anche identità digitali complete.


Anche se pubblicati con una modalità di privacy “elevata”,  i post su Facebook non possono essere ritenuti riservati ai soli “amici” pertanto, soprattutto per quanto riguarda le informazioni su minori, l’attenzione deve essere massima.

Con un recente provvedimento il Garante privacy ha ordinato a una donna di rimuovere dal proprio profilo Facebook due sentenze sulla cessazione degli effetti civili del matrimonio, che la donna aveva pubblicato in seguito alla sua separazione dal marito.L’Autorità è intervenuta su segnalazione dell’ex marito che lamentava una violazione del diritto alla riservatezza della figlia, citata nelle sentenze.

Il Garante ha effettivamente ritenuto che la divulgazione dei provvedimenti giurisdizionali in questione fosse incompatibile con quanto stabilito dal Codice privacy. Il Codice vieta infatti la pubblicazione “con qualsiasi mezzo” di notizie che consentano l’identificazione di un minore coinvolto in procedimenti giudiziari, nonché la diffusione di informazioni che possano rendere identificabili, anche indirettamente, i minori coinvolti.

Nel caso specifico, il Garante ha rilevato che le sentenze consentono di rendere identificabile la bambina nella cerchia di persone che condividono le informazioni “postate” dalla madre sul proprio profilo e contengono dettagli molto delicati, anche inerenti alla sfera sessuale, al vissuto familiare e a disagi personali della piccola.

L’Authority ha inoltre ritenuto che la violazione di diritti della persona, in questo caso per giunta minore di età, è aggravata dall’estrema pervasività della divulgazione su Internet. Il fatto che il post pubblicato sul profilo fosse accessibile ad una ristretta cerchia di ”amici” non può essere garanzia di riservatezza perché il profilo è facilmente modificabile, da “chiuso” ad “aperto”, in ogni momento da parte dell’utente. A questa eventualità si aggiunge quella in cui un “amico” condivida il post sulla propria pagina, rendendolo visibile ad altri iscritti “determinando così una possibile conoscibilità “dinamica”, più o meno ampia, del contenuto che può estendersi potenzialmente a tutti gli iscritti a Facebook”.

Il provvedimento ha disposto quindi la rimozione delle sentenze pubblicati dalla madre.

Recentemente la Corte di Cassazione si è trovata ad affrontare il tema della qualificazione della causale di bonifico come dato sensibile ove indichi indennizzi elargiti per malattia o invalidità, esplicitati della dicitura “assegno ex l. 210/1992”, legge che riconosce le indennità a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazioni di sangue o, in caso di decesso, in favore dei congiunti delle vittime.

Sul punto i giudici della Suprema Corte si sono espressi a più riprese con orientamenti contrastanti. In tutti i casi esaminati la questione concerneva i rapporti tra la Regione, erogatrice dell’indennizzo e ordinatrice del bonifico, e la banca del soggetto menomato o contagiato, ricevente il bonifico per conto del suo correntista.

Nella prima pronuncia risalente al 2014 (sentenza del 19 maggio 2014, n. 10947), la Corte ha ritenuto la causale di bonifico recante i menzionati riferimenti legislativi alla stregua di un dato sensibile, evidenziando l’illecito trattamento dei dati da parte della Regione e della banca posto che nel diffondere e conservare tali dati non avevano adottato idonee tecniche di cifratura o numeri di codici non identificabili, come prescritto dall’art. 22, 6° comma del Codice in materia di protezione dei dati personali.

Nella seconda pronuncia – più articolata della precedente – (sentenza del 20 maggio 2015, n. 10280) i giudici supremi hanno ribaltato l’orientamento seguendo un iter decisionale del tutto opposto. In primo luogo, hanno negato alla causale di bonifico così compilata la natura di dato sensibile, rilevando come la legge a cui si faceva riferimento prevedeva che beneficiari dell’indennizzo potessero essere, alternativamente, i soggetti direttamente colpiti o anche i loro familiari. Dal momento che l’elargizione dell’assegno non dipendeva dalla malattia del soggetto che materialmente riceveva il bonifico, i giudici concludevano che l’informazione non fosse sufficiente a rivelare lo stato di salute del beneficiario e, dunque, non fosse dato sensibile.

In secondo luogo, secondo la Corte di Cassazione, non poteva parlarsi di “diffusione” di dati da parte della Regione alla banca giacché tale – a norma dell’art. 4, lett. m) del Codice – può considerarsi solo la comunicazione a soggetti indeterminati, mentre nel caso di specie la comunicazione avveniva solo nei confronti della banca del correntista beneficiario dell’indennizzo.

I giudici hanno poi rilevato che il riferimento all’art. 22, 6° comma del Codice Privacy era privo di fondamento posto che, come correttamente riportato, l’adozione di tecniche di cifratura risulta applicabile solo a casi specifici ove i dati provengano da elenchi o registri e la finalità sia quella di gestione ed interrogazione degli stessi. Neppure la banca poteva essere considerata onerata dell’adozione di tali misure per tre ragioni: la disposizione in oggetto si applicava ai soli soggetti pubblici; in capo ai soggetti privati sorgeva l’obbligo di cifratura solo per i dati idonei a rivelare lo stato di salute e se trattati con strumenti elettronici, condizioni entrambi assenti nel caso di specie; la comunicazione al proprio cliente di dati personali riguardanti esso stesso non costituiva trattamento.

Secondo la Cassazione, infine, la banca operava come rappresentante del correntista che riceveva il pagamento della Regione per conto di quest’ultimo: l’imputazione del pagamento dunque valeva come compiuta dal debitore (Regione) direttamente al creditore (beneficiario dell’assegno).

La Suprema Corte ha così ritenuto legittime le condotte della Regione e della banca, non ravvisando alcun trattamento illecito di dati personali.

Il tema è tornato recentemente all’attenzione della Prima sezione civile della Corte di Cassazione, la quale con due ordinanze interlocutorie (rispettivamente nn. 3455 e 3456 depositate il 9 febbraio 2017) ha demandato alle Sezioni Unite il compito di sanare il contrasto giurisprudenziale in oggetto. In tale occasione, senza aderire all’uno o all’altro orientamento, la Cassazione si è solo espressa circa la qualificazione dell’indicazione dei riferimenti normativi nella causale del bonifico come “dato sensibile”, precisando che, sebbene il pagamento possa avvenire tanto nei confronti dei congiunti quanto del soggetto contagiato o menomato, solo verso quest’ultimo il pagamento sarebbe corrisposto in rate (mentre ai congiunti sarebbe corrisposta una somma una tantum). Tale forma di pagamento sarebbe dunque idonea a identificare inequivocabilmente il soggetto destinatario del pagamento come vittima di contagio o menomazione e, per tale motivo, l’indicazione del pagamento dei ratei costituirebbe dato sensibile.

Si rimane dunque in attesa di conoscere come le Sezioni Unite risolveranno il contrasto giurisprudenziale appena descritto e, in particolare, se daranno un’interpretazione estensiva o restrittiva al concetto di dato sensibile.

posted by admin on marzo 6, 2017

Eventi

(No comments)

Schermata 2017-03-09 alle 13.36.12Nella cornice della II edizione Master di II Livello “Internet ecosystem: governance e diritti” del Dipartimento di Giurisprudenza dell’Università di Pisa, venerdì 10 marzo dalle ore 14,30 alle 9,15 Giusella Finocchiaro terrà la lezione “Privacy and data protection. Profili giuridici e applicazioni pratiche”.

Con un approccio interdisciplinare a Internet, il master intende formare operatori in grado di affrontarne in modo critico le problematiche giuridiche, economiche, sociali e tecniche. Tre sono gli obiettivi di fondo del corso: interconnessione delle conoscenze, acquisite in studi universitari di diverso orientamento o in pregresse esperienze lavorative; sviluppo delle capacità critiche riferite alla rete nella sua globalità, sul presupposto che la complessità di Internet sfugge a un inquadramento fondato sulle competenze acquisibili nei singoli corsi universitari; specializzazione sulle problematiche innescate dalla rete e dal suo sviluppo, grazie all’approfondimento dei singoli temi proposti.

L’approccio interdisciplinare e la presenza dei più qualificati docenti di varie aree esperti della Rete nonché di professionisti del settore mirano all’emersione di una piattaforma di conoscenze condivise tra i partecipanti di diversa formazione.

Il Master è convenzionato con la Fondazione Scuola Forense Alto Tirreno per il riconoscimento delle attività di tirocinio svolte negli studi professionali iscritti agli Ordini di: Pisa, Lucca, Livorno, Massa Carrara e La Spezia.

Per ulteriori informazioni si rimanda alla pagina web del Master: internetecosystem.it

I datori di lavoro non possono accedere in maniera indiscriminata alle email o ai dati contenuti negli smartphone in dotazione ai loro dipendenti. Lo ha ribadito il Garante privacy vietando a una multinazionale l’utilizzo dei dati personali trattati in violazione di legge.

L’Autorità ha affermato che il datore di lavoro, pur avendo la facoltà di verificare lo svolgimento delle attività professionali e le modalità di utilizzo degli strumenti aziendali, deve in ogni caso dare priorità alla salvaguardia della libertà e della dignità dei lavoratori. Quest’ultimi devono essere sempre informati in modo esauriente sulle modalità di utilizzo degli strumenti di lavoro ed eventuali verifiche da parte dei superiori. La disciplina di settore in materia di controlli a distanza, inoltre, vieta di effettuare attività di controllo massivo, anche indiretto, prolungato e indiscriminato dell’attività del lavoratore.

Il Garante è intervenuto sul tema in seguito al reclamo di un ex-dipendente di una multinazionale, che lamentava che l’azienda per cui lavorava avrebbe acquisito informazioni anche private contenute nella e-mail e nel telefono aziendale, sia durante il rapporto professionale sia dopo il suo licenziamento.

L’Autorità ha effettivamente constatato che la società non aveva adeguatamente informato i lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative al trattamento dei dati. Inoltre, il sistema di posta elettronica aziendale era configurato in modo da conservare copia di tutta la corrispondenza per dieci anni, un tempo non proporzionato allo scopo della raccolta. Esisteva anche una procedura che consentiva ai datori di lavoro di accedere al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere anche carattere privato. È inoltre emerso che la società continuava a mantenere attive le caselle email fino a sei mesi dopo la cessazione del contratto, senza però dare agli ex dipendenti la possibilità di consultarle o, comunque, senza informare i mittenti che le lettere non sarebbero state visionate dai legittimi destinatari ma da altri soggetti.

Nel corso dell’istruttoria è stato accertato inoltre, che il titolare poteva accedere da remoto – non solo per attività di manutenzione – alle informazioni contenute negli smartphone in dotazione ai dipendenti (anche privatissime e non attinenti allo svolgimento dell’attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.

Il Garante ha disposto l’apertura di un autonomo procedimento per verificare l’applicazione di eventuali sanzioni amministrative.

Presentiamo qui l’intervista a Giusella Finocchiaro pubblicata sul numero 39/2016 del settimanale Vanity Fair.

Che leggi abbiamo per tutelarci?

«Moltissime. In entrambe le vicende recenti, per esempio, c’è una serie di illeciti civili, dalla violazione della disciplina sulla privacy a quella dei diritti fondamentali della persona. In sede penale si possono configurare ipotesi di vari reati come istigazione al suicidio, interferenze illegali nella vita privata, trattamento di materiale pedopornografico».

Chi denunciare? E con quale efficacia?

«I soggetti contro cui agire sono gli autori, le persone che hanno messo i video online. Poi, naturalmente, si può agire anche contro i provider, le aziende che forniscono l’accesso alla rete, ma a certe condizioni: non hanno l’obbligo di controllare preventivamente ciò che viene messo online, ma sono tenuti per legge a rimuovere contenuti, se c’è un provvedimento dell’autorità giudiziaria o delle autorità competenti».

Ma si riesce a oscurare tutto e per sempre?

«Non si può escludere che il video sia stato scaricato da altri e continui a girare. Naturalmente questi altri compiono a loro volta un illecito. Nei fatti, è una continua rincorsa: nella dimensione digitale, fare molte copie, anche di un messaggio, è facilissimo».

I provider dovrebbero essere più responsabilizzati?

«Sicuramente, ma non con il sistema del controllo, perché è molto difficoltoso. Servirebbe un meccanismo che metta in contatto utente e provider. Perché questo, ricevendo la richiesta di una persona, verifichi e rimuova in tempi molto veloci un contenuto».

Un consiglio per usare bene la rete?

«Non dimenticate mai che entrando in rete si lascia la dimensione strettamente privata e si entra in una di carattere pubblico».

posted by admin on ottobre 18, 2016

Miscellanee

(No comments)

Vanity FairPresentiamo un estratto all’intervista di Vanity Fair a Giusella Finocchiaro. La Professoressa è stata invitata a chiarire alcuni aspetti giuridici che sottendono ad alcuni fatti di cronaca legati al tema della privacy online.

I social permettono di scegliere il grado di visibilità dei post, per gli usi come quello del video circolato illegalmente serve il giudice. Spiega come Giusella Finocchiaro, avvocato e prima in Italia a insegnare diritto di internet.

Due casi nelle cronache in appena 24 ore. Il suicidio di una 31enne un cui video hard girava da oltre un anno illecitamente sul web e la vicenda di una 17enne le cui amiche hanno girato e postato un video mentre la ragazza veniva stuprata in una discoteca. Due casi che portano a chiedersi quasi siano i limiti della privacy su internet. Il garante Antonello Soro ha parlato di «gogna cui la rete rischia di esporci in mancanza di una adeguata consapevolezza, da parte degli utenti, della natura di spazio non circoscritto e degli effetti lesivi che può avere una comunicazione violenta o la ferocia nella irrisione degli altri»

Non ha parlato di mancanza di leggi, ma della necessità di «procedure di risposta più tempestive da parte delle diverse piattaforme» e di un altro bisogno fondamentale: «far crescere il rispetto delle persone in rete». L’investimento in educazione digitale è fondamentale anche secondo Giusella Finocchiaro, avvocato e docente a Bologna di diritto privato e diritto di internet, prima cattedra in Italia in questa materia. Perché le leggi ci sono e la via seguita da Tiziana Cantone è quella corretta, ma i tempi restano lunghi e e non tutti ancora sanno come proteggersi.

L’articolo continua su Vanity Fair.it.

La Suprema Corte ha condannato la Zecca dello Stato poiché monitorava, in violazione di alcune norme dello Statuto dei Lavoratori, la navigazione web, le posta elettronica e le telefonate dei suoi dipendenti.

Con sentenza del 19 settembre 2016, n. 18302, la Corte di Cassazione ha stabilito l’illegittimità dell’attività di memorizzazione e conservazione sul server aziendale della posta elettronica, delle telefonate e della navigazione web del lavoratore senza la preventiva procedura di autorizzazione prevista dallo Statuto dei lavoratori e dal Codice in materia di protezione dei dati personali.

I fatti alla base della decisione sono questi: in un provvedimento sanzionatorio del 2011 il Garante per la protezione dei dati personali aveva evidenziato che il servizio di navigazione in Internet predisposto dall’Istituto Poligrafico e Zecca dello Stato per i propri dipendenti non si limitava ad impedire l’accesso a siti web non inerenti l’attività lavorativa, ma memorizzava ogni accesso a qualunque sito, ed anche ogni tentativo di accesso, generando la possibilità di ricostruire la navigazione di ogni singolo lavoratore. I dati di navigazione dei dipendenti venivano inoltre conservati nel sistema per una durata variabile da sei mesi ad un anno.

Il Garante aveva inoltre rilevato l’illegittimo sistema di conservazione sul server aziendale dei messaggi di posta elettronica inviati e ricevuti dai dipendenti, che ne consentiva la visualizzazione integrale da parte degli amministratori di sistema, senza che fosse stata fornita alcuna specifica informativa in merito.

Era stato inoltre evidenziato che l’Istituto Polifgrafico attuava una modalità di controllo del traffico telefonico mediante il sistema VoIP, che consentiva la registrazione e la prolungata conservazione dei dati del traffico, anche in questo caso senza che fosse stata fornita un’adeguata informazione ai dipendenti.

Il Garante aveva così ritenuto l’attività del Poligrafico in violazione della L. n. 300 del 1970, artt. 4 ed 8, (Statuto dei Lavoratori), per la possibilità di rilevare dati sensibili dei lavoratori senza aver acquisito il previsto consenso degli interessati (e conseguentemente anche in violazione degli artt. 11, 113 e 114 del Codice sulla protezione dei dati personali). Pertanto nel provvedimento si vietava al Poligrafico la conservazione e la categorizzazione dei dati di navigazione su Internet dei dipendenti, delle mail e delle chiamate telefoniche dei lavoratori, obbligando l’istituto ad informare gli interessati delle modalità trattamento dei loro dati personali. Il Garante aveva anche richiesto che fosse resa nota ai dipendenti l’identità degli amministratori di sistema abilitati ad accedere alle banche dati aziendali e che fosse assicurata la completezza del tracciamento di tutti gli accessi effettuati dagli amministratori.

Nel 2011 il Tribunale di Roma ha respinto il ricorso dell’Istituto Poligrafico e Zecca dello Stato contro il provvedimento del Garante, chiarendo che, come stabilito dall’art. 4 dello Statuto dei lavoratori, l’utilizzazione di impianti di controllo per esigenze organizzative e produttive è consentita al datore di lavoro solo in accordo con le rappresentanze sindacali o a seguito di obblighi di legge, mentre la loro utilizzazione è vietata se attuata per vigilare sull’attività dei lavoratori. Menzionando alcune pronunce precedenti, il tribunale ha evidenziato che le esigenze di tutela aziendale non possono rendere legittima la soppressione di diritti fondamentali del dipendente, come la riservatezza.

L’Istituto Poligrafico si è dunque rivolto alla Corte di Cassazione, sostenendo che  rimangono completamente fuori dal confine operativo della norma dello Statuto dei Lavoratori i controlli che abbiano ad oggetto non l’attività lavorativa, ma altri comportamenti tenuti dal lavoratore sul posto di lavoro, eventualmente anche illeciti, che espongano ad un pericolo i beni dell’azienda o concretino fatti potenzialmente dannosi per i terzi, con conseguente responsabilità del datore di lavoro. Un pericolo tanto più rilevante in quanto l’Istituto svolge attività di interesse pubblico quali la stampa della Gazzetta Ufficiale e della Raccolta ufficiale degli atti normativi della Repubblica italiana, la produzione di documenti identificativi della persona, di sistemi di sicurezza e anticontraffazione, di monete, ecc.

La Cassazione ha tuttavia ritenuto che il rilievo pubblicistico dei compiti affidati all’Istituto Poligrafico dello Stato non giustifica la violazione della normativa vigente, che intende assicurare garanzia ai diritti costituzionalmente riconosciuti ai lavoratori. A tal proposito, il giudice ha posto l’accento sul secondo comma dell’art.4 che prevede che i sistemi di controllo che siano richiesti da esigenze organizzative o per la sicurezza del lavoro, ma dai quali deriva anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere istallati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti.

Rigettando quindi il ricorso e avvallando le osservazioni presenti nella decisione del Tribunale di Roma, la Cassazione ha sottolineato la necessità di operare, in materia, un contemperamento tra i diritti del datore di lavoro e, in particolare, alla libera iniziativa economica ed alla protezione dei beni aziendali, con la tutela dei diritto del lavoratore, in primo luogo alla riservatezza.